Solicitudes de acceso del interesado (DSAR) — Guía completa para DPDs

Una solicitud de acceso del interesado es una petición formal de una persona a un responsable del tratamiento, ejerciendo su derecho en virtud del artículo 15 del RGPD de obtener confirmación sobre si sus datos personales están siendo tratados y, en caso afirmativo, acceso a dichos datos junto con información complementaria específica. Cualquier persona física cuyos datos sean tratados puede presentar una solicitud de derechos. No existen requisitos formales — la solicitud puede realizarse verbalmente, por correo electrónico, a través de un formulario web o incluso por redes sociales. La identidad del solicitante debe verificarse, pero la organización no puede imponer barreras irrazonables para presentar una solicitud. Las solicitudes de derechos no se limitan a los clientes. Empleados, antiguos empleados, candidatos a un puesto de trabajo, visitantes del sitio web e incluso contactos comerciales pueden presentarlas. Para organizaciones con operaciones significativas de RRHH, las solicitudes de empleados suelen ser las más complejas — implicando datos dispersos en sistemas de nóminas, archivos de correo electrónico, evaluaciones de rendimiento y más.

El plazo estándar para responder a una solicitud de derechos es de un mes desde la recepción de la solicitud — no un mes desde la verificación de identidad o el acuse de recibo, sino desde la recepción. Este plazo se calcula por mes natural: una solicitud recibida el 15 de marzo vence el 15 de abril. Las prórrogas son posibles en virtud del artículo 12(3) del RGPD: si la solicitud es particularmente compleja o si la organización recibe un gran número de solicitudes, el plazo puede extenderse dos meses adicionales. Sin embargo, el responsable debe informar al interesado de la prórroga dentro del plazo original de un mes, incluyendo los motivos del retraso. En la práctica, la mayoría de las autoridades de control ven con malos ojos las prórrogas utilizadas como práctica habitual. Están pensadas para casos genuinamente complejos — no como un margen por defecto. Si se encuentra necesitando prórrogas de forma rutinaria, es señal de que su proceso de gestión de solicitudes necesita mejorar. Para DPDs externos que gestionan 15 clientes con una media de 3 solicitudes por cliente al año, eso supone 45 plazos individuales que controlar. El seguimiento manual con entradas de calendario es propenso a errores y no escala. Un solo plazo incumplido puede resultar en una reclamación ante la autoridad de control y daño reputacional tanto para el cliente como para el DPD.

El artículo 15 exige a los responsables proporcionar la siguiente información en respuesta a una solicitud de derechos: las finalidades del tratamiento, las categorías de datos personales afectados, los destinatarios o categorías de destinatarios, el plazo de conservación previsto o los criterios para determinarlo, la existencia del derecho a la rectificación, supresión o limitación, el derecho a presentar una reclamación ante una autoridad de control, el origen de los datos (si no se recabaron directamente del interesado) y la existencia de decisiones automatizadas incluyendo la elaboración de perfiles. Además de estos metadatos, el responsable debe proporcionar una copia de los datos personales que están siendo tratados. La primera copia debe proporcionarse de forma gratuita; para copias adicionales, puede cobrarse una tasa administrativa razonable. La respuesta debe proporcionarse en un formato electrónico de uso común si la solicitud se realizó por medios electrónicos. Debe ser concisa, transparente y en un lenguaje claro y sencillo — especialmente si el interesado es un menor.

No todas las solicitudes de derechos deben atenderse en su totalidad. El artículo 12(5) permite a los responsables rechazar solicitudes que sean "manifiestamente infundadas o excesivas" — por ejemplo, solicitudes repetidas de la misma persona sin que se haya producido nuevo tratamiento. La carga de la prueba de que una solicitud es manifiestamente infundada recae en el responsable. El secreto profesional y los secretos comerciales también pueden limitar lo que debe divulgarse. Si proporcionar una copia completa de todos los datos revelaría algoritmos propietarios, estrategias comerciales o información sobre otras personas, el responsable puede redactar u ocultar esa información específica — pero debe responder a la solicitud en su conjunto. Las solicitudes de empleados son particularmente complejas. A menudo implican datos en poder de múltiples departamentos (RRHH, TI, finanzas, dirección) y pueden incluir comunicaciones internas sobre el empleado. Las autoridades de control generalmente esperan que las organizaciones busquen en todos los sistemas relevantes, incluido el correo electrónico, pero las discusiones confidenciales de dirección sobre reestructuración o acciones disciplinarias pueden estar exentas bajo ciertas condiciones. Ante la duda, documente su razonamiento para cualquier limitación o exención aplicada. Las autoridades de control son mucho más comprensivas cuando un responsable puede demostrar un proceso de toma de decisiones reflexivo y documentado que cuando se encuentran con rechazos generales.