Solicitudes de acceso del interesado (DSAR) del RGPD: Guía completa

Una solicitud de acceso del interesado es una de las formas más tangibles en que el RGPD afecta sus operaciones diarias. Cuando alguien envía un correo electrónico diciendo “quiero una copia de todos los datos que tienen sobre mí”, el reloj empieza a correr — y tiene exactamente un mes natural para entregar una respuesta completa y precisa.

Para las empresas SaaS, las DSAR son particularmente complejas porque los datos personales rara vez se almacenan en un solo lugar. Están dispersos en su base de datos de la aplicación, su CRM, su sistema de tickets de soporte, su plataforma de email marketing, sus herramientas de analítica y posiblemente en las bandejas de correo de sus empleados. Recopilar todo dentro del plazo legal requiere un proceso bien definido.

Esta guía repasa todo lo que los equipos SaaS necesitan saber sobre la gestión de las DSAR — desde la base legal hasta el proceso paso a paso, pasando por los errores que conducen a acciones de cumplimiento.

¿Qué es una DSAR?

Una Solicitud de Acceso del Interesado es un ejercicio formal del derecho de acceso según el artículo 15 del RGPD. Cualquier persona física cuyos datos personales usted trate — ya sea un cliente, un usuario final, un visitante del sitio web, un empleado o un candidato — puede solicitar:

Confirmación de si usted trata sus datos personales
Una copia de esos datos personales
Información complementaria sobre su tratamiento: las finalidades, las categorías de datos, los destinatarios, los plazos de conservación, el origen de los datos y si se aplica alguna toma de decisiones automatizada

Una DSAR no tiene que usar un lenguaje jurídico específico. Un correo electrónico que diga “¿Pueden decirme qué datos tienen sobre mí?” es válido. También lo es un mensaje a través de su chat de soporte, una solicitud verbal en una reunión o incluso un mensaje en redes sociales. No existe un formato obligatorio.

Por eso es importante formar a su equipo. Si un agente de soporte recibe lo que efectivamente es una DSAR pero no la reconoce como tal, el plazo de respuesta empieza a correr sin que nadie lo note.

¿Cuándo se aplica una DSAR a su SaaS?

Escenarios de SaaS B2B

Si es una empresa SaaS B2B, podría asumir que las DSAR son principalmente una preocupación B2C. No lo son. Considere los datos personales que maneja su plataforma:

Datos de usuarios finales: Si los empleados de sus clientes usan su plataforma, los detalles de sus cuentas, registros de actividad y cualquier contenido que creen pueden constituir datos personales.
Datos de contacto de clientes: Nombres, direcciones de correo electrónico, números de teléfono y cargos de las personas con las que trabaja en las organizaciones de sus clientes.
Interacciones de soporte: Historiales de tickets, transcripciones de chat y grabaciones de llamadas a menudo contienen datos personales.
Datos de analítica: Si rastrea el comportamiento de los usuarios con identificadores (incluso seudonimizados que pueda re-identificar), esto es dato personal.
Datos de empleados y candidatos: Sus propios registros de RR. HH. y datos de selección.

Responsable frente a encargado del tratamiento

Sus obligaciones de respuesta dependen de su rol:

Como responsable del tratamiento (usted decide por qué y cómo se procesan los datos): Usted gestiona la DSAR directamente y proporciona los datos.
Como encargado del tratamiento (procesa datos en nombre de su cliente): Normalmente redirige la solicitud a su cliente (el responsable) y le asiste en su cumplimiento. Su Acuerdo de Tratamiento de Datos debe especificar cómo funciona esto.

En la práctica, la mayoría de las empresas SaaS son responsables para algunos datos (sus propias relaciones con clientes, datos de empleados, datos de visitantes del sitio web) y encargados para otros datos (los datos que sus clientes almacenan y procesan a través de la plataforma). Este doble rol significa que necesita procesos para ambos escenarios.

El proceso de respuesta a DSAR: paso a paso

Paso 1: Registre la solicitud e inicie el reloj

En el momento en que reciba una DSAR, regístrela con una marca de tiempo. Su plazo de respuesta de 30 días empieza desde el día de recepción — no desde que la asigna a alguien ni desde que verifica la identidad del solicitante.

Registre:

Fecha y hora de recepción
Canal por el que se recibió
La identidad del solicitante (según lo declarado)
El alcance específico de su solicitud (si lo especificó)
El responsable asignado

Paso 2: Verifique la identidad del solicitante

Tiene el deber de confirmar que la persona que realiza la solicitud es quien dice ser. Responder a una DSAR fraudulenta divulgando los datos de otra persona sería en sí mismo una violación de datos.

La verificación debe ser proporcionada. Si alguien hace una solicitud a través de su cuenta autenticada en su plataforma, generalmente es suficiente. Si la solicitud llega por correo electrónico, puede solicitar verificación adicional — pero no haga el proceso tan gravoso que en la práctica disuada a las personas de ejercer sus derechos.

Métodos de verificación razonables:

Cotejar la solicitud con una cuenta existente
Pedir al solicitante que confirme detalles que solo él conocería
Solicitar una copia de un documento de identidad oficial (solo en casos de alto riesgo)

El reloj sigue corriendo durante la verificación. Si necesita información adicional para verificar la identidad, debe solicitarla con prontitud.

Paso 3: Determine el alcance

Algunas DSAR son amplias (“todos los datos que tienen sobre mí”) y otras son específicas (“los datos que recopilaron a través de su plataforma de analítica”). En cualquier caso, necesita identificar cada sistema donde puedan existir datos personales del solicitante.

Para una empresa SaaS típica, esto incluye:

Su base de datos de la aplicación (perfiles de usuario, datos de actividad, contenido generado por el usuario)
Su CRM (registros de contactos, historial de acuerdos, notas)
Su sistema de soporte (tickets, transcripciones de chat)
Su plataforma de email marketing (datos de suscriptores, historial de interacción)
Sus herramientas de analítica (datos de comportamiento, registros de eventos)
Su sistema de RR. HH. (si el solicitante es un empleado)
Cuentas de correo electrónico (cualquier correspondencia que mencione al solicitante)
Registros físicos (si los hubiera)

Paso 4: Recopile los datos

Reúna los datos personales de todos los sistemas identificados. Este es típicamente el paso más lento, especialmente si sus datos están aislados en múltiples plataformas sin una capacidad de búsqueda unificada.

Para cada sistema, extraiga:

Los datos personales en sí
Las categorías de datos (por ejemplo, datos de identidad, datos de contacto, datos de comportamiento)
Las finalidades del tratamiento
Los destinatarios con los que se han compartido los datos
El plazo de conservación o los criterios para determinarlo
El origen de los datos si no se recopilaron directamente del individuo

Paso 5: Revise las exenciones y los datos de terceros

Antes de entregar los datos recopilados, revíselos para:

Datos personales de terceros: Si sus registros contienen datos personales de otros individuos (por ejemplo, un ticket de soporte que menciona a otra persona por nombre), puede que necesite redactar esa información para proteger los derechos del tercero.
Secretos comerciales o propiedad intelectual: Puede retener datos si su divulgación afectaría negativamente los derechos y libertades de otros, incluidos secretos comerciales — pero esta exención se interpreta de forma restrictiva.
Privilegio legal: Las comunicaciones cubiertas por el privilegio profesional legal pueden retenerse.
Solicitudes repetitivas: Si la misma persona realiza solicitudes idénticas repetidamente, puede rechazar o cobrar una tarifa razonable — pero solo si las solicitudes son “manifiestamente infundadas o excesivas”.

Paso 6: Prepare y entregue la respuesta

Compile los datos en un formato estructurado, de uso común y legible por máquina. El PDF es ampliamente utilizado, pero CSV o JSON pueden ser más apropiados para datos técnicos. La respuesta debe incluir:

Confirmación de que usted trata sus datos personales (o de que no los trata)
Una copia de los datos personales
La información complementaria requerida por el artículo 15(1): finalidades, categorías, destinatarios, plazos de conservación, información sobre derechos, origen de los datos y detalles sobre la toma de decisiones automatizada

Entregue la respuesta a través de un canal seguro. El correo electrónico con un archivo adjunto cifrado es habitual. Un portal de descarga seguro es mejor.

Paso 7: Documente todo

Registre todo el proceso: qué se solicitó, qué pasos dio, qué datos recopiló, qué (si algo) redactó y por qué, cómo entregó la respuesta y la fecha de entrega.

Esta documentación cumple un doble propósito. Primero, demuestra el cumplimiento del principio de responsabilidad proactiva si alguna vez es auditado. Segundo, le ayuda a identificar mejoras en el proceso — si una DSAR tardó 25 días porque la recopilación de datos de un sistema fue lenta, ya sabe dónde enfocarse.

Plazos y exenciones

La regla de los 30 días

Debe responder a una DSAR en el plazo de un mes natural desde su recepción. Este es un plazo firme, no un objetivo.

Si la solicitud es compleja o si ha recibido un gran volumen de solicitudes del mismo individuo, puede ampliar el plazo dos meses adicionales — pero debe notificar al solicitante dentro del primer mes, explicar el motivo del retraso e informarle de su derecho a presentar una reclamación ante una autoridad de control.

Cuándo puede rechazar

El RGPD le permite rechazar o cobrar una tarifa por las DSAR que sean “manifiestamente infundadas o excesivas”. El umbral es alto:

Manifiestamente infundada: El solicitante no tiene intención de ejercer su derecho de acceso — por ejemplo, declara explícitamente que hace la solicitud para causar molestias.
Excesiva: El solicitante realiza la misma solicitud repetidamente sin un intervalo razonable entre solicitudes. Nota: una segunda solicitud después de que usted haya adquirido nuevos datos sobre la persona no es excesiva.

La carga de la prueba para demostrar que una solicitud es infundada o excesiva recae en usted. Ante la duda, cumpla con la solicitud.

Sin tarifa para la primera copia

La primera copia de sus datos debe proporcionarse de forma gratuita. Puede cobrar una “tarifa razonable basada en los costes administrativos” por copias adicionales o por solicitudes que sean manifiestamente excesivas.

Errores en las DSAR que conducen a acciones de cumplimiento

Incumplir el plazo. El error más común y más evitable. Si su proceso interno no está definido antes de que llegue la primera DSAR, perderá días averiguando quién la gestiona, dónde encontrar los datos y cómo responder. Para entonces, ya habrá consumido la mitad de su plazo.

Recopilación incompleta de datos. Las autoridades de control han impuesto multas cuando las organizaciones proporcionaron parte de los datos del solicitante pero omitieron datos almacenados en sistemas secundarios — bases de datos heredadas, archivos de correo electrónico o plataformas de terceros. Una respuesta a una DSAR que omite datos no cumple con la normativa.

Sin verificación de identidad. Entregar datos personales a alguien cuya identidad no ha sido debidamente verificada es una violación de datos. Pero una verificación excesivamente agresiva — exigir documentos notarizados para una solicitud sencilla — puede verse como una obstrucción al derecho de acceso.

Proporcionar datos sin la información complementaria. El artículo 15 exige más que un simple volcado de datos. También debe explicar las finalidades del tratamiento, las categorías de datos, los destinatarios, los plazos de conservación y los derechos del solicitante. Muchas organizaciones proporcionan los datos brutos pero olvidan el contexto.

Sin pista de auditoría. Si no puede demostrar cómo gestionó una DSAR — cuándo la recibió, qué pasos dio, cuándo respondió — ha suspendido la prueba de responsabilidad proactiva independientemente de si su respuesta fue sustancialmente correcta. Nuestra guía sobre multas y sanciones del RGPD cubre lo que está en juego.

Cómo GRCTrail automatiza las DSAR

Gestionar las DSAR manualmente funciona cuando recibe una o dos al año. Se desmorona rápidamente a escala — o incluso a volumen moderado si sus datos están dispersos en múltiples sistemas.

GRCTrail proporciona un flujo de trabajo estructurado para las DSAR:

Recepción y seguimiento. Reciba solicitudes a través de un portal dedicado o regístrelas manualmente. Cada solicitud tiene marca de tiempo con cálculo automático de plazos y seguimiento del progreso.

Recopilación automatizada de datos. Conecte sus fuentes de datos y GRCTrail extrae los datos personales relevantes de todos los sistemas, reduciendo las horas dedicadas a la recopilación manual.

Revisión y redacción. Revise los datos recopilados en una única interfaz. Marque elementos para redacción con justificación documentada.

Entrega de respuestas. Genere respuestas estructuradas y entréguelas a través de canales seguros. Cada paso queda registrado para la responsabilidad proactiva.

Alertas de plazos. Reciba notificaciones cuando se acerquen los plazos. Nunca pierda una ventana de 30 días porque una solicitud se quedó en la bandeja de entrada de alguien.

Gestione las DSAR en minutos, no en días →

Guías relacionadas

Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Registro de Actividades de Tratamiento (RAT) — Documente su tratamiento para las respuestas a DSAR
Requisitos del aviso de privacidad — Lo que debe comunicar a los interesados
Multas y sanciones del RGPD — El coste de gestionar mal las DSAR

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours