Solicitudes de Acceso del Interesado (DSAR) del RGPD: Cómo Responder (2026)

Una Solicitud de Acceso del Interesado (DSAR, por sus siglas en inglés) es una solicitud formal conforme al artículo 15 del Reglamento (UE) 2016/679 (el RGPD) mediante la cual una persona pide a una organización que confirme si trata datos personales sobre ella y, en caso afirmativo, que le facilite una copia. Las organizaciones sujetas al RGPD deben responder en el plazo de un mes natural desde la recepción de la solicitud, sin coste alguno, de forma concisa e inteligible.
Para conocer el contexto general del reglamento, consulta qué es el RGPD. Para el conjunto completo de derechos que tienen los interesados, incluido el derecho de supresión y el derecho de oposición, consulta los derechos de los interesados del RGPD.
¿Qué Es una DSAR y Quién Puede Presentarla?
Una DSAR es cualquier comunicación, en cualquier formato, mediante la cual una persona física ejerce el derecho de acceso conforme al artículo 15. El solicitante no necesita citar el artículo 15 ni completar ningún formulario que proporcione la organización. "¿Qué información tenéis sobre mí?" es una DSAR válida.
El derecho pertenece exclusivamente a las personas físicas: individuos vivos cuyos datos personales se tratan. Las empresas y otras personas jurídicas no pueden presentar una DSAR. Las personas fallecidas quedan generalmente fuera del ámbito del RGPD, aunque varios Estados miembros de la UE otorgan derechos de acceso a los representantes de la herencia o a los familiares más cercanos.
Una solicitud puede presentarse directamente o a través de un representante autorizado, como un abogado o un progenitor que actúe en nombre de un menor de 16 años. Cuando una solicitud llega a través de un representante, el responsable debe verificar la autorización antes de divulgar datos, pero ese paso no amplía el plazo de un mes.
Las solicitudes pueden hacerse verbalmente o por escrito, por correo electrónico, correo postal o cualquier otro medio. El artículo 12(1) exige respuestas en un lenguaje claro y sencillo; el considerando 59 anima a los responsables a facilitar la presentación, incluso electrónicamente. Los portales en línea o las direcciones de correo específicas son una buena práctica, pero no son legalmente obligatorios.
El derecho se aplica a todos los datos personales que un responsable trata sobre el interesado, en cualquier formato (electrónico o en papel, estructurado o no estructurado, actual o de archivo), sujeto a las excepciones que se analizan más adelante.
Alcance Jurisdiccional
Este artículo aborda el derecho de acceso conforme al RGPD de la UE y la guía del CEPD. Se aplica a las organizaciones establecidas en la UE/EEE y a las organizaciones no pertenecientes a la UE que ofrecen bienes o servicios a personas de la UE/EEE o supervisan su comportamiento (artículo 3(2)). El UK GDPR es sustancialmente idéntico; las diferencias se señalan a lo largo del texto. Los equivalentes canadiense, estadounidense y de otros países quedan fuera de alcance.
¿Qué Información Debe Proporcionar una Organización?
Los artículos 15(1) y 15(3) exigen dos cosas distintas: la confirmación de que se está produciendo el tratamiento (o que no se conservan datos), y una copia de los datos personales junto con información complementaria.
La Copia de los Datos Personales
El artículo 15(3) exige "una copia de los datos personales objeto de tratamiento": los datos reales, no una descripción. Si un responsable conserva un hilo de correos electrónicos, un registro de cuenta, una grabación de llamada, un vídeo de CCTV o una solicitud de crédito que contenga datos personales del solicitante, este tiene derecho a una copia, salvo que se aplique una excepción.
Las Directrices 01/2022 del CEPD sobre el derecho de acceso (versión 2.1, adoptadas el 28 de marzo de 2023) confirman que "copia" significa una reproducción fiel, no un resumen ni una exportación de portabilidad de datos. El derecho de copia del artículo 15 y el derecho de portabilidad del artículo 20 son independientes: la portabilidad solo se aplica cuando la base jurídica es el consentimiento o el contrato y el tratamiento es automatizado.
Cuando el responsable trata grandes volúmenes de datos, el considerando 63 establece que el responsable "debe poder solicitar que, antes de facilitar la información, el interesado precise la información o las actividades de tratamiento a que se refiere su solicitud". Se trata de una herramienta de gestión práctica, no de un derecho a negarse o a exigir una reducción del alcance como condición para responder.
Información Complementaria Exigida por el Artículo 15(1)
| Disposición del Artículo 15(1) | Qué Debe Explicar el Responsable |
|---|---|
| (a) Finalidades del tratamiento | Por qué la organización conserva los datos, por cada finalidad específica |
| (b) Categorías de datos personales | Tipos conservados: contacto, financieros, salud, ubicación, etc. |
| (c) Destinatarios o categorías de destinatarios | Todo tercero a quien se hayan divulgado o se vayan a divulgar los datos; para destinatarios en terceros países, también deben identificarse las garantías del artículo 46 |
| (d) Plazo de conservación previsto | El plazo específico o los criterios utilizados para determinarlo |
| (e) Derechos de rectificación, supresión, limitación y oposición | Información sobre los derechos del interesado conforme a los artículos 16, 17, 18 y 21 |
| (f) Derecho a presentar una reclamación | Nombre y datos de contacto de la autoridad nacional de protección de datos pertinente |
| (g) Origen de los datos | Cuando los datos no se recopilaron directamente del interesado, la fuente de la que se obtuvieron |
| (h) Toma de decisiones automatizada y elaboración de perfiles | Cuando se aplique el artículo 22, información significativa sobre la lógica, la importancia y las consecuencias previstas |
El apartado (g) (el origen de los datos de terceros) es una de las deficiencias más citadas en las medidas de aplicación. Si el responsable compró una lista de marketing u obtuvo datos de un intermediario, debe divulgar esa fuente.
Para las transferencias a terceros países, el apartado (c) exige la divulgación de la garantía específica: cláusulas contractuales tipo, decisión de adecuación, normas corporativas vinculantes u otro mecanismo del artículo 46.
¿Cuánto Tiempo Tiene una Organización Para Responder?
El artículo 12(3) exige una respuesta sin dilación indebida y, en cualquier caso, en el plazo de un mes desde la recepción de la solicitud. "Recepción" significa el día en que la solicitud llega a la organización, no el día en que un empleado la lee.
La Ampliación de Dos Meses
El artículo 12(3) permite una ampliación de dos meses cuando la solicitud es compleja o el responsable ha recibido numerosas solicitudes simultáneamente. Complejidad significa solicitudes que requieren un esfuerzo sustancial en múltiples sistemas o que plantean cuestiones difíciles de alcance o de excepción, no simplemente que el responsable conserve muchos datos.
El aviso de ampliación debe llegar al interesado antes de que expire el plazo inicial de un mes; un aviso enviado en el segundo mes no es válido. El aviso debe identificar el motivo específico; un aviso genérico de "complejidad" sin detalles no satisface las Directrices 01/2022 del CEPD.
| Situación | Plazo |
|---|---|
| Solicitud estándar | 1 mes desde la recepción |
| Solicitudes complejas o numerosas | 3 meses desde la recepción, siempre que el aviso de ampliación se envíe dentro del primer mes |
| El responsable rechaza la solicitud | Debe notificar al interesado en el plazo de 1 mes conforme al artículo 12(4), con motivos e información sobre recursos |
Cuándo Comienza el Plazo
El plazo comienza en la recepción, no en la verificación de identidad. Cuando el responsable no puede identificar al interesado sin información adicional, puede solicitar el mínimo necesario para la identificación; el plazo queda efectivamente pausado durante ese periodo. Los responsables no pueden exigir de forma rutinaria un documento de identidad con fotografía a cada solicitante como táctica dilatoria.
¿Cómo Debe Entregarse la Respuesta?
El artículo 12(3) exige que la información se facilite por escrito o por otros medios, incluidos los electrónicos cuando sea apropiado. El artículo 15(3) añade que, cuando la solicitud se realice electrónicamente, la respuesta debe facilitarse en un formato electrónico de uso común, salvo que el interesado solicite otra cosa. PDF, Word, Excel o un portal seguro son todos válidos. Un formato propietario que requiera software especializado que el solicitante probablemente no tenga no lo es.
La respuesta debe cumplir los estándares del artículo 12(1): concisa, transparente, inteligible y en un lenguaje claro y sencillo. Un volcado de datos con campos de base de datos en bruto sin explicación de lo que significa cada campo probablemente incumpliría el requisito de inteligibilidad conforme a la guía del CEPD, incluso si contiene todos los datos exigidos.
Cuando los datos incluyen categorías especiales del artículo 9 (registros de salud, origen racial o étnico, datos biométricos), enviarlos por correo electrónico sin cifrar o a través de un portal con controles de acceso inadecuados constituye tanto una violación de datos personales como una respuesta DSAR deficiente. Los responsables deben usar transmisión cifrada para cualquier respuesta que contenga datos del artículo 9.
Verificación de Identidad: Qué Pueden y No Pueden Exigir los Responsables
El considerando 64 establece que los responsables deben usar "todas las medidas razonables para verificar la identidad de un interesado que solicite acceso". La verificación está permitida, pero debe ser proporcional; los responsables no pueden solicitar más información de la necesaria.
Si el responsable ya tiene la dirección de correo electrónico del interesado y la solicitud llega desde esa dirección, exigir un documento de identidad oficial con fotografía es desproporcionado. Si una persona contacta a una organización por primera vez por correo postal alegando ser cliente, solicitar datos de la cuenta para confirmar la identidad es razonable.
Los responsables no deben:
- Exigir de forma rutinaria copias certificadas de pasaporte o carné de conducir cuando la solicitud proviene de la dirección de correo registrada de un cliente existente.
- Exigir verificación presencial salvo que un error en la divulgación pudiera causar un daño grave.
- Usar la verificación como pretexto para retrasar las respuestas más allá del plazo de un mes.
Rechazar una DSAR o Cobrar una Tarifa
El Umbral de "Manifiestamente Infundada o Excesiva"
El artículo 12(5) es el único motivo para cobrar una tarifa o negarse a actuar: la solicitud debe ser "manifiestamente infundada o excesiva, en particular debido a su carácter repetitivo". La repetición es un indicio, no una condición suficiente. Un solicitante que presenta una segunda DSAR seis meses después de la primera (porque se ha producido un nuevo tratamiento o la primera respuesta fue deficiente) no está haciendo una solicitud repetitiva conforme al artículo 12(5).
La carga recae en el responsable. El artículo 12(5) establece explícitamente: "el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud". Las autoridades de control han multado en repetidas ocasiones a organizaciones que rechazaron DSAR alegando motivos vagos de "excesividad".
Cuando se cumple el umbral, el responsable tiene dos opciones: cobrar una tarifa razonable que refleje los costes administrativos, o negarse a actuar. En caso de negativa, se aplica el procedimiento del artículo 12(4): notificar al interesado en el plazo de un mes, explicar el motivo e informarle de su derecho a presentar una reclamación ante una autoridad de control y a interponer un recurso judicial.
Tarifas por Copias Adicionales
El artículo 15(3) permite por separado cobrar una tarifa por "cualquier otra copia solicitada por el interesado", es decir, copias adicionales de datos ya divulgados, no nuevas DSAR sobre datos tratados recientemente. Esta disposición es limitada y rara vez aplicable.
Excepciones: Cuándo Pueden Retenerse los Datos Personales
El artículo 23 permite a los Estados miembros de la UE restringir el derecho de acceso en circunstancias definidas. Las normas nacionales de aplicación varían significativamente.
Categorías de excepción comunes:
Prevención, investigación y enjuiciamiento de infracciones penales. La mayoría de los Estados miembros permiten a los cuerpos policiales y a los organismos reguladores retener datos cuando la divulgación perjudicaría una investigación.
Seguridad nacional e inteligencia. Estándar en todas las leyes de aplicación de los Estados miembros.
Secreto profesional legal. Las comunicaciones entre cliente y abogado, o el trabajo preparatorio para procedimientos judiciales, pueden retenerse cuando el derecho del Estado miembro conserva la excepción.
Información comercial confidencial y secretos empresariales. Una restricción puede aplicarse solo en la medida estrictamente necesaria para proteger información que sea propia de la organización, no del interesado.
Empleo y negociaciones. Varios Estados miembros permiten retener información cuando se divulgaría la estrategia de gestión o negociación del empleador.
Las excepciones limitan qué datos se divulgan, no si la organización debe responder. Incluso cuando una excepción se aplica a parte de los datos, la organización debe responder dentro del plazo, reconocer que conserva datos, divulgar todo lo que no esté exento e informar al interesado de que se retuvo cierta información y por qué.
Excepciones del Reino Unido
El UK GDPR incorpora un régimen de excepciones más amplio a través de los anexos 2 a 4 y la parte 4 de la Data Protection Act 2018, incluida una excepción de previsión y planificación de la gestión cuando la divulgación perjudicaría la conducción del negocio.
Datos de Terceros: Redacción, No Negativa
Cuando los datos conservados sobre el solicitante también incluyen datos personales de otras personas (algo común en disputas laborales, quejas de consumidores y registros sanitarios), el enfoque correcto conforme al artículo 15 y las Directrices 01/2022 del CEPD es la redacción específica, no la negativa total.
El responsable debe proporcionar los datos personales propios del interesado mientras redacta los datos personales de terceros cuando su divulgación vulnere los derechos de esas partes. Factores a ponderar:
- Si el tercero ha consentido la divulgación.
- Si el solicitante ya conoce la identidad del tercero (si el tercero es el supervisor directo del solicitante, nombrado en una evaluación de desempeño, su nombre no está protegido de divulgación en ese documento).
- Si es razonable, en todas las circunstancias, proporcionar la información sin el consentimiento del tercero.
- Si la información del tercero está tan entrelazada con los datos del solicitante que la redacción efectiva es imposible.
Las autoridades de control han rechazado sistemáticamente el uso de la protección de datos de terceros como justificación general para retener documentos enteros cuando la redacción específica es factible.
Errores Comunes en las Respuestas a DSAR
Incumplir el plazo sin una ampliación válida. Los responsables que tratan el mes como un objetivo en lugar de un requisito legal se exponen a multas y órdenes de cumplimiento.
Proporcionar respuestas incompletas. Ignorar los sistemas archivados o de copia de seguridad, los archivos fuera de línea o los datos conservados por encargados es una deficiencia recurrente. La respuesta debe cubrir todos los datos personales que el responsable conserva en cualquier formato.
Exigir una identificación excesiva. Exigir un documento de identidad oficial con fotografía a clientes existentes a través de canales conocidos retrasa las respuestas y puede constituir en sí misma una infracción del RGPD.
No identificar el origen de los datos de terceros. El artículo 15(1)(g) se omite de forma sistemática. Cuando los datos provienen de un intermediario, un socio de referidos o una fuente pública, esto debe divulgarse.
Redactar los propios datos del solicitante. Un responsable no puede tachar los datos personales del solicitante en su respuesta DSAR alegando que también aparecen junto a datos de terceros.
Negarse alegando motivos "manifiestamente infundados" sin pruebas. Negarse porque la solicitud es incómoda, implica litigio o requiere un trabajo considerable no cumple el umbral del artículo 12(5).
Enviar datos de categoría especial sin cifrar. Transmitir datos del artículo 9 por correo electrónico sin cifrar combina un fallo de DSAR con una violación de datos personales.
Ignorar las solicitudes verbales. El artículo 12(1) permite las solicitudes verbales. Los responsables que solo aceptan DSAR por escrito o mediante formularios en línea corren el riesgo de pasar por alto solicitudes legítimas; el personal de primera línea necesita formación para reconocerlas y escalarlas.
Un Flujo de Trabajo Paso a Paso Para Responder a una DSAR
Paso 1: Reconocer la solicitud. Forma a todo el personal que interactúa con clientes, empleados o el público para reconocer las DSAR independientemente de las palabras utilizadas. Registra la fecha de recepción de inmediato.
Paso 2: Identificar al interesado. Confirma si la persona puede identificarse con la información proporcionada. Si no, solicita el mínimo de información adicional necesaria. Documenta por qué se requiere.
Paso 3: Iniciar el plazo. Registra la fecha de recepción. Establece un plazo interno de 28 días para permitir tiempo de preparación antes del plazo legal de un mes.
Paso 4: Buscar en todos los sistemas. Busca en todas las bases de datos, archivos de correo electrónico, expedientes en papel y registros conservados por encargados en tu nombre. La búsqueda debe ser exhaustiva.
Paso 5: Evaluar excepciones y datos de terceros. Revisa los datos localizados frente a las excepciones nacionales aplicables del artículo 23. En los registros que también contengan datos personales de terceros, determina si es factible la redacción específica.
Paso 6: Considerar una ampliación. Si la solicitud es realmente compleja o has recibido numerosas solicitudes simultáneas, documenta la decisión de ampliar el plazo y envía el aviso de ampliación antes de que expire el plazo de un mes.
Paso 7: Preparar la respuesta. Reúne la copia de los datos junto con toda la información complementaria del artículo 15(1)(a) a (h). Usa un formato electrónico de uso común si la solicitud se hizo electrónicamente.
Paso 8: Entregar de forma segura. Usa transmisión cifrada para los datos del artículo 9. Registra qué se envió, cuándo y en qué formato.
Paso 9: Documentar el proceso. Conforme al principio de rendición de cuentas del artículo 5(2), mantén un registro de DSAR: fecha de recepción, pasos de verificación de identidad, metodología de búsqueda, datos divulgados, excepciones aplicadas, aviso de ampliación (si lo hubo) y fecha en que se emitió la respuesta.
Paso 10: Gestionar las solicitudes de seguimiento. Trata cualquier consulta de seguimiento sobre la integridad de la respuesta, o cualquier solicitud sobre datos recién generados, según sus propios términos.
El Equivalente en el Reino Unido: Solicitudes de Acceso Bajo el UK GDPR
Tras el Brexit, el Reino Unido conservó el RGPD como el "UK GDPR" a través de la European Union (Withdrawal) Act 2018, complementada por la Data Protection Act 2018. El plazo de un mes, el alcance de la información que debe proporcionarse, las normas sobre tarifas y los motivos de negativa se conservan todos en el texto del Reino Unido.
Diferencias clave:
- La aplicación recae en la ICO, no en una autoridad de control de la UE. Las transferencias de la UE al Reino Unido tras el Brexit requieren una decisión de adecuación (adoptada por la Comisión Europea el 28 de junio de 2021) o una garantía apropiada.
- Los anexos 2 a 4 de la Data Protection Act 2018 contienen excepciones adicionales específicas del Reino Unido: previsión de gestión, negociaciones y excepciones ampliadas de aplicación de la ley.
- Las organizaciones que operan tanto en la UE como en el Reino Unido pueden enfrentarse a obligaciones concurrentes: una DSAR de un residente de la UE implica el RGPD de la UE; una DSAR de un residente del Reino Unido implica el UK GDPR.
Para una guía detallada de la ICO, consulta ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/right-of-access/.
Las DSAR en el Contexto Laboral
El empleo genera más DSAR que casi cualquier otra relación, particularmente cuando la relación laboral está terminando o ha terminado recientemente.
El litigio no crea una excepción. Un procedimiento laboral amenazado o activo no convierte a una DSAR en manifiestamente infundada o excesiva. Las autoridades de control y la ICO lo han confirmado de forma constante. Rechazar una DSAR laboral porque se anticipa un litigio casi con certeza generará una queja adicional de aplicación.
La confidencialidad empresarial es limitada. La documentación de gestión del desempeño, las notas disciplinarias y las actas de reuniones contienen los propios datos personales del empleado y deben divulgarse. El responsable puede tachar las opiniones sobre otros empleados, pero no puede tachar los datos propios del solicitante.
El secreto profesional legal se aplica solo a documentos específicos. Cuando un abogado laboral asesoró a la organización en previsión de un litigio, esas comunicaciones privilegiadas pueden retenerse. Solo esos documentos específicos están cubiertos, no categorías enteras de expedientes de RR. HH.
Las referencias y las notas de entrevista son datos personales. Las referencias sobre un empleado y las hojas de puntuación de entrevistas son datos personales del empleado y generalmente deben divulgarse, sujetas únicamente a la redacción específica de información de otras personas.
Las DSAR y la Toma de Decisiones Automatizada
Cuando el responsable utiliza toma de decisiones automatizada o elaboración de perfiles que produce efectos jurídicos o efectos significativos similares, el artículo 15(1)(h) exige que la respuesta DSAR incluya "información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado".
Las Directrices 06/2022 del CEPD sobre la toma de decisiones automatizada aclaran que la "información significativa sobre la lógica" no tiene que ser todo el algoritmo o el código fuente, pero debe ir más allá de una descripción vaga. El interesado tiene derecho a comprender: qué datos de entrada se usaron; qué hace el algoritmo con ellos; cuál fue el resultado en su caso específico; y qué consecuencias conlleva ese resultado.
Esto se aplica en la puntuación crediticia, la suscripción de seguros, la selección de personal y la moderación de contenido. Un rechazo de crédito desencadenado por una evaluación automatizada sin una explicación significativa del modelo vulnera tanto el artículo 15(1)(h) como el derecho a la revisión humana del artículo 22(3).
Aplicación Normativa de las DSAR: Qué Han Hecho los Reguladores
Temas comunes de aplicación entre las autoridades de control miembros del CEPD:
Servicios financieros. Los bancos y las aseguradoras han sido multados por respuestas incompletas, en particular por no divulgar datos conservados en sistemas heredados o por encargados.
Sector de la salud. Los hospitales y las aseguradoras de salud han sido sancionados por incumplir plazos y por negarse a divulgar registros debido a datos clínicos de terceros que podrían haberse redactado.
Empresas tecnológicas. Las grandes plataformas han sido objeto de escrutinio por respuestas en formatos propietarios no legibles por máquina que impidieron a los interesados comprender sus datos.
Empleadores. Los empleadores que rechazan DSAR por motivos de "litigio" o "excesividad" sin pruebas se enfrentan sistemáticamente a resoluciones desfavorables.
El CEPD publica un registro central de medidas de aplicación en edpb.europa.eu/about-edpb/who-we-are/members_en y a través de los sitios web de las autoridades nacionales de protección de datos.
Cómo Se Relaciona el Derecho de Acceso con Otros Derechos del RGPD
El derecho de acceso normalmente precede al ejercicio de otros derechos. Un interesado que aún no sabe qué datos se conservan a menudo presenta primero una DSAR y luego usa la información divulgada para decidir si solicita la rectificación conforme al artículo 16, la supresión conforme al artículo 17 (consulta el derecho al olvido del RGPD), la limitación conforme al artículo 18, o la oposición conforme al artículo 21.
El derecho de acceso es distinto del derecho a la portabilidad de datos conforme al artículo 20. La portabilidad solo se aplica cuando la base jurídica es el consentimiento o el contrato y el tratamiento es automatizado; exige los datos en un formato estructurado y legible por máquina. El derecho a una copia del artículo 15 se aplica con independencia de la base jurídica, pero tiene un requisito de formato menos exigente.
Una DSAR tampoco es una solicitud de libertad de información. La FOIA y las leyes equivalentes otorgan derechos sobre la información conservada por las autoridades públicas relativa a sus funciones públicas. Una DSAR otorga derechos sobre los datos personales de la persona específica que hace la solicitud. Ambos derechos pueden surgir simultáneamente cuando un interesado contacta a una autoridad pública, y muchas organizaciones del sector público los procesan en paralelo.
Aviso legal: Este artículo ofrece información legal general sobre el derecho de acceso del RGPD (artículo 15) y las solicitudes de acceso del interesado. No constituye asesoramiento legal ni sustituye el asesoramiento de un abogado cualificado y habilitado en tu jurisdicción. El derecho del RGPD y su interpretación por parte de las autoridades de control y los tribunales evoluciona de forma continua; la información de este artículo se verificó en junio de 2026. Si eres responsable del cumplimiento de las DSAR en una organización, o si deseas ejercer tus derechos como interesado, consulta a un profesional de la protección de datos o a un abogado cualificado en el Estado miembro de la UE o la jurisdicción del Reino Unido correspondiente.
Preguntas frecuentes
¿Cuánto tiempo tienes para responder a una DSAR?
El artículo 12(3) exige una respuesta sin dilación indebida y, en cualquier caso, en el plazo de un mes desde la recepción de la solicitud. Se permite una ampliación de hasta dos meses adicionales cuando la solicitud es compleja o se han recibido numerosas solicitudes simultáneamente, siempre que el responsable notifique al interesado antes de que expire el plazo inicial de un mes. Incumplir el plazo de un mes sin una ampliación válida constituye una infracción del RGPD.
¿Se puede cobrar por una solicitud de acceso del interesado?
No, como regla general. La única excepción conforme al artículo 12(5) es cuando una solicitud es manifiestamente infundada o excesiva, en cuyo caso el responsable puede cobrar una tarifa razonable basada en los costes administrativos o negarse a atender la solicitud. La carga de demostrar que la solicitud cumple ese umbral recae en el responsable. El artículo 15(3) permite por separado una tarifa por copias adicionales de datos ya divulgados, pero no para nuevas solicitudes DSAR.
¿Se puede rechazar una DSAR?
Sí, en circunstancias limitadas. El artículo 12(5) permite el rechazo únicamente cuando la solicitud es manifiestamente infundada o excesiva; el responsable soporta la carga de la prueba. El artículo 23 permite a los Estados miembros de la UE restringir el derecho de acceso por motivos de seguridad nacional, investigación penal o secreto profesional. En caso de rechazo, el responsable debe notificar al interesado en el plazo de un mes, indicar los motivos y explicar cómo presentar una reclamación ante una autoridad de control y recurrir a la vía judicial.
¿Cuál es la diferencia entre una DSAR y el derecho al olvido?
Una DSAR conforme al artículo 15 es una solicitud para obtener una copia de los datos personales y comprender cómo se tratan. El derecho al olvido (derecho de supresión) conforme al artículo 17 es una solicitud de eliminación en una de seis circunstancias definidas. Son derechos separados con motivos y procedimientos distintos. En la práctica, muchas personas presentan una DSAR para entender qué existe antes de decidir si solicitan la supresión. Consulta [el derecho al olvido del RGPD](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/gdpr-right-to-be-forgotten/) para más detalle.
¿Debe una DSAR presentarse por escrito?
No. El artículo 12(1) establece que la información puede proporcionarse verbalmente a solicitud del interesado, y las solicitudes verbales son válidas. Los responsables que solo aceptan DSAR a través de un formulario escrito formal o un portal en línea corren el riesgo de pasar por alto solicitudes verbales presentadas por teléfono o en persona. El personal de primera línea debe estar formado para reconocer y escalar las DSAR verbales.
¿Qué ocurre si una organización no responde a una DSAR?
No responder dentro del plazo aplicable infringe el artículo 12(3). El interesado puede presentar una reclamación ante la autoridad de control competente de su Estado miembro de la UE. Las autoridades de control pueden imponer multas conforme al artículo 83; las multas del RGPD por infracciones de los artículos 12 o 15 pueden alcanzar hasta 20 millones de euros o el 4% de la facturación mundial anual total, lo que sea mayor.
¿Cubre una DSAR los datos conservados por los encargados del tratamiento de la organización?
Sí. El responsable es responsable de todos los datos personales que trata, incluidos los datos tratados en su nombre por encargados externos, como proveedores de nube, servicios de nómina o plataformas de marketing. El responsable debe instruir a los encargados para que asistan en las búsquedas de DSAR conforme a los acuerdos de tratamiento de datos exigidos por el artículo 28. El interesado presenta la DSAR al responsable; el responsable es quien debe recuperar los datos de los encargados e incluirlos en la respuesta.
¿Puede un empleador rechazar una DSAR laboral debido a un litigio en curso?
No. La participación en un procedimiento laboral no convierte a una DSAR en manifiestamente infundada o excesiva conforme al artículo 12(5). Las autoridades de control y la ICO lo han confirmado de forma constante. El secreto profesional legal puede aplicarse a comunicaciones privilegiadas específicas, pero no justifica rechazar o retrasar la DSAR en su conjunto.
¿En qué formato debe presentarse la respuesta a una DSAR?
El artículo 15(3) exige que, cuando la solicitud se realice electrónicamente, la respuesta se facilite en un formato electrónico de uso común, salvo que el interesado solicite otra cosa. PDF, Word, Excel y el acceso a un portal seguro son todos aceptables. La respuesta también debe satisfacer el artículo 12(1): concisa, transparente, inteligible y en un lenguaje claro y sencillo.
¿Existe una obligación de DSAR del RGPD para organizaciones fuera de la UE?
Sí, para las organizaciones alcanzadas por el artículo 3(2). El RGPD se aplica a las organizaciones no pertenecientes a la UE que ofrecen bienes o servicios a personas de la UE/EEE o que supervisan su comportamiento. Una empresa estadounidense que vende a clientes de la UE, o una empresa global cuya aplicación rastrea la ubicación de usuarios de la UE, debe responder a las DSAR de esas personas. Dichas organizaciones también deben designar un representante en la UE conforme al artículo 27, salvo que se aplique una excepción.
Fuentes y referencias
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos), artículo 15 (Derecho de acceso del interesado)(eur-lex.europa.eu).gov
- Reglamento (UE) 2016/679, artículo 12 (Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado)(eur-lex.europa.eu).gov
- Reglamento (UE) 2016/679, considerando 63 (Derecho de acceso a los datos personales)(eur-lex.europa.eu).gov
- Reglamento (UE) 2016/679, considerando 64 (Verificación de identidad para las solicitudes de acceso del interesado)(eur-lex.europa.eu).gov
- Comité Europeo de Protección de Datos, Directrices 01/2022 sobre los derechos de los interesados - Derecho de acceso, versión 2.1, adoptadas el 28 de marzo de 2023(edpb.europa.eu).gov
- Comité Europeo de Protección de Datos, Directrices 06/2022 sobre la aplicación del artículo 65(1)(a) del RGPD (Toma de Decisiones Individuales Automatizadas y Elaboración de Perfiles)(edpb.europa.eu).gov
- Information Commissioner's Office (Reino Unido), Guía sobre el derecho de acceso conforme al UK GDPR(ico.org.uk).gov
- Comisión de Protección de Datos de Irlanda, Derecho de acceso a la información conforme al artículo 15 del RGPD(dataprotection.ie).gov
- Comisión Europea, Decisión de adecuación para el Reino Unido, 28 de junio de 2021(ec.europa.eu).gov
- European Union (Withdrawal) Act 2018 (Reino Unido) y Data Protection Act 2018, anexo 2 (excepciones al derecho de acceso)(legislation.gov.uk).gov