Loading…
Una Solicitud de Acceso del Interesado (DSAR) es una solicitud de una persona para conocer qué datos personales suyos conserva usted. Todos los regímenes de privacidad importantes (RGPD, UK GDPR, CCPA/CPRA, DPDPA, LGPD, PDPA, APPI) otorgan a los interesados una versión de este derecho. El plazo legal más corto — el de California — es de 45 días. El más largo con prórrogas — el del RGPD — es de tres meses.
Construya un único flujo que cumpla el plazo aplicable más corto. Cinco etapas: Recepción → Verificación de identidad → Recopilación de datos → Revisión y redacción → Entrega y registro. Haga un seguimiento de cada paso. Trate el rastro de auditoría como un artefacto de primer orden, no como un efecto secundario.
La tentación es construir flujos de trabajo por marco normativo: uno para el RGPD, otro para la CCPA. No lo haga. Un único flujo con metadatos conscientes del marco normativo es:
El diagrama anterior muestra el flujo completo. Las cinco secciones siguientes cubren cada etapa con detalle operativo.
Ofrezca múltiples canales de recepción — un formulario web de autoservicio, una dirección de correo electrónico específica (normalmente privacy@ o dpo@), una dirección postal y (en algunas jurisdicciones) un número de teléfono. El RGPD es neutral respecto a la tecnología, pero las Autoridades de Control esperan paridad entre canales.
Cada evento de recepción debería registrar, como mínimo:
Asigne un ID de caso. Acuse recibo en un plazo de 10 días hábiles (el plazo de la CCPA) — aplíquelo a todas las solicitudes por coherencia.
El Art. 12(6) del RGPD le permite solicitar información adicional «necesaria para confirmar la identidad del interesado», pero no debe pedir más de lo proporcionado. La CCPA §1798.130(a)(2) exige «medidas razonables» para verificar la identidad, con un estándar que escala según la sensibilidad.
Un modelo pragmático de tres niveles:
Detenga el plazo durante la verificación solo en la medida razonable. La CCPA permite expresamente suspender el tiempo de respuesta durante la verificación (prórroga de 15 días); el RGPD no, por lo que sobredimensionar la verificación bajo el RGPD es en sí mismo un riesgo.
El paso operativamente más difícil. Construya un inventario de sistemas que mapee todos los sistemas que almacenan o transmiten datos personales, incluidos:
Para cada sistema, disponga de un procedimiento de extracción documentado basado en sus identificadores estándar (user_id, email, phone). Utilice el Registro de Actividades de Tratamiento del Artículo 30 del RGPD como base — cada entrada allí debería corresponder a una rutina de extracción de DSAR.
Una vez recopilados los datos, revíselos para detectar:
Designe a un revisor de redacción distinto del recopilador de datos cuando sea factible — la separación de funciones reduce los errores.
Entregue a través del mismo canal seguro que utilizó el interesado, u otro canal que elija. Cifre el paquete. Aporte una respuesta de acompañamiento que explique el contenido, las categorías de datos, los fines del tratamiento, los destinatarios, el período de conservación, el origen de los datos, los derechos y el derecho a presentar una reclamación ante la Autoridad de Control.
Registre: la solicitud, los pasos de verificación, los sistemas consultados, las redacciones aplicadas (con sus motivos), el canal de entrega y las marcas de tiempo. Este registro es su defensa en cualquier auditoría o reclamación.
| Régimen | Acuse de recibo | Respuesta sustantiva | Prórroga |
|---|---|---|---|
| GDPR / UK GDPR | Sin plazo específico — «sin dilación indebida» | 1 mes | +2 meses para solicitudes complejas/múltiples |
| CCPA / CPRA | 10 días hábiles | 45 días naturales | +45 días cuando sea razonablemente necesario |
| DPDPA (India) | Sin plazo específico | Según lo prescrito por el Reglamento; por defecto, un plazo razonable | No especificada |
| LGPD (Brasil) | Sin plazo específico | 15 días para el acceso; 30 días para la confirmación de existencia | Posible con justificación motivada |
| APPI (Japón) | Sin plazo específico | «Sin dilación» — normalmente 2 semanas | Se permiten prórrogas razonables |
| PDPA (Singapur) | Sin plazo específico | Tan pronto como sea razonablemente posible, ≤30 días | Notificar con una nueva fecha estimada si se demora más |
Aplique por defecto el plazo aplicable más corto. Si cubre RGPD + CCPA, planifique 45 días de extremo a extremo; si solo RGPD, planifique la base de referencia de 1 mes.
Puede denegar una solicitud, total o parcialmente, cuando:
Documente la base de la denegación. El interesado tiene derecho a conocer el motivo y a reclamar ante la Autoridad de Control.
Un riesgo real y creciente. Los actores maliciosos usan las DSAR para (a) extraer datos de competidores, (b) saturar a equipos de privacidad pequeños, (c) sondear debilidades de seguridad. El estándar de «manifiestamente infundada o excesiva» del Artículo 12(5) del RGPD es intencionadamente estrecho — puede cobrar una tarifa razonable o denegar, pero la documentación del motivo debe ser exhaustiva.
Salvaguardas operativas: limite la tasa de recepción anónima por formulario web; exija una verificación de identidad de Nivel 3 antes de divulgar datos sensibles; ponga un tope al volumen de envíos automatizados desde una sola IP/correo electrónico; y marque los patrones (p. ej., DSAR en serie desde dominios de correo de competidores) para revisión por la dirección.
Bajo el RGPD, por lo general no — el Artículo 12(5) hace que las respuestas sean gratuitas salvo que las solicitudes sean manifiestamente infundadas o excesivas. La CCPA prohíbe asimismo cobrar por las dos primeras solicitudes en un período de 12 meses. La PDPA de Singapur permite una tarifa razonable.
Técnicamente sí, si las copias de seguridad son razonablemente recuperables, pero las Autoridades de Control aceptan que no es necesario buscar en vivo en las copias de seguridad si su política de conservación está documentada y se compromete a suprimir los datos de las copias de seguridad cuando estas se renueven por rotación. Documente este enfoque.
El mismo derecho, pero a menudo de mayor volumen y más sensibles (evaluaciones de desempeño, notas del responsable, registros de monitorización). La BDSG alemana §26 impone una sensibilidad particular para los datos de empleados. Disponga de rutinas de extracción específicas de RR. HH. y consulte a un asesor laboral en las DSAR planteadas en un contexto de conflicto.
Sí — y el Artículo 22 del RGPD añade el derecho a información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de las decisiones automatizadas. El Reglamento de IA de la UE amplifica esto para la IA de alto riesgo en virtud del Artículo 26(11).
RegulatoryBridge entrega un flujo de DSAR llave en mano — formularios de recepción, flujo de verificación, biblioteca de extractores de sistemas, revisor de redacción, cifrado de la entrega, registro de auditoría — que cubre todos los regímenes de privacidad dentro del alcance.