- RGPD Artículo 15: Las personas tienen derecho a acceder gratuitamente a sus datos personales
- Usted tiene 30 días calendario para responder; extensible en dos meses para solicitudes complejas
- Usted debe buscar todos los sistemas — CRM, correo electrónico, archivos, copias de seguridad — no sólo los obvios
- Nunca divulgar datos personales de terceros en su respuesta; redactarlo cuidadosamente
A Data Subject Access Request (DSAR) es una solicitud formal de un individuo para recibir una copia de todos los datos personales que su organización tiene sobre ellos, junto con información sobre cómo se está procesando. Cualquier persona cuyos datos tenga puede presentar uno, incluyendo empleados actuales y antiguos, clientes, perspectivas y miembros del público.
El derecho de acceso en virtud del RGPD El artículo 15 es uno de los derechos más comunes de los datos sujetos, y uno de los más exigentes para cumplir correctamente. Las autoridades supervisoras de toda Europa reciben regularmente quejas sobre organizaciones que respondieron tarde, incompletamente, o divulgaron datos de terceros sin redactarlo.
Relacionados HubSecure
CRM CRM guía CRM cumplimiento CRM para empresas crecientes CRM módulo HubSpot cumplimiento de la comparación CRM guía guía Guía Biblioteca reservar un flujo de trabajo
Seguridad relacionada, privacidad y recursos de gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo de Guías de consolidación de herramientas y alternativas de espacios de trabajo. Continúe con el centro de productos para alternativas de espacio de trabajo y consolidación de herramientas.
Lo que un DSAR debe incluir en la respuesta
Al responder a un DSAR, debe proporcionar:
- Confirmación de si procesas datos personales del individuo
- Una copia de los propios datos personales.
- Los fines del procesamiento
- Las categorías de datos correspondientes
- Recipientes o categorías de destinatarios a los que se han divulgado datos
- El período de retención o los criterios utilizados para determinarlo
- Los derechos del individuo a la rectificación, borrado, restricción y objeción
- The right to lodge a complaint with a supervisory authority
- Si no se recopilan datos del individuo: información sobre la fuente
- Si está sujeto a la toma de decisiones automatizada: información significativa sobre la lógica implicada
El reloj de 30 días
El plazo es de 30 días naturales a partir de la recepción de la solicitud, no de 30 días hábiles. Si la solicitud es compleja o recibe un alto volumen de solicitudes simultáneas, puede extender el plazo por otros dos meses, pero debe informar al individuo dentro de los primeros 30 días que se está tomando una extensión y explicar por qué.
El reloj comienza cuando recibe la solicitud, no cuando la reconoces o cuando empiezas a procesarla. Una solicitud hecha verbalmente, a través de las redes sociales, o a través de un correo electrónico informal todos cuentan.
donde buscar
Una respuesta de la RAE de D debe ser amplia. Usted no puede limitar la búsqueda a su CRM primario o una cuenta de correo electrónico. Cada sistema que pueda tener datos personales sobre el individuo debe ser buscado:
- CRM y sistemas de gestión de clientes
- Cuentas de correo electrónico (incluyendo buzones de correo compartidos y correo archivado)
- Servidores de archivos y sistemas de gestión de documentos
- HR and payroll systems (for employee DSARs)
- Sistemas de contabilidad y facturación
- Sistemas de grabación de llamadas
- CCTV (si existen imágenes identificables)
- Procesadores de terceros — compruebe sus DPAs para los datos de los proveedores
- Archivo de respaldo (si los datos se incluirían de otro modo)
Consejo práctico: Mantener un mapa de datos (recordia de actividades de procesamiento) reduce drásticamente el tiempo de respuesta de la RAE de D. Si usted sabe exactamente qué sistemas tienen qué categorías de datos, puede buscar sistemáticamente en lugar de ad hoc.
Redacción de datos de terceros
Uno de los errores más comunes del DSAR es divulgar documentos que contienen datos personales sobre otros individuos. Un archivo cliente, por ejemplo, puede contener detalles de contrapartes, referencias o funcionarios. Estas personas de terceros no han hecho la solicitud, y revelar sus datos podría ser una violación del RGPD.
Antes de enviar cualquier documento, revísalo para datos personales de terceros y redacte adecuadamente. Cuando la redacción es tan extensa que el documento pierde todo significado, usted puede considerar si proporcionarlo en forma redactada sirve al propósito del derecho de acceso. Documenta tus decisiones de reacción.
Cuándo puedes rechazar o limitar un DSAR
DSARs can be refused or limited in narrow circumstances:
- Solicitudes manifiestamente infundadas o excesivas, especialmente peticiones repetitivas claramente destinadas a hostigar; usted debe ser capaz de demostrar esto
- Prerrogativas jurídicas profesionales: los documentos de asesoramiento jurídico pueden ser retenidos por motivos de privilegio cuando proceda
- Prevención y detección de delitos: se puede retener alguna información relacionada con el fraude o la investigación penal
- AML tipping-off — information that would disclose a SAR filing or ongoing investigation under AML legislation
Si usted rechaza una solicitud, debe informar al individuo de las razones y su derecho a reclamar a la autoridad supervisora y buscar recurso judicial.
¿Podemos cobrar un cargo por DSARs?
No, en la mayoría de casos. Las respuestas deben proporcionarse gratuitamente. Una excepción se aplica para solicitudes manifiestamente infundadas o excesivas — usted puede cobrar una cuota razonable o negarse a actuar, pero usted debe ser capaz de justificar la caracterización.
¿Y si no podemos identificar al individuo?
Si no puede verificar la identidad del solicitante con seguridad razonable, puede solicitar información adicional para identificarlos. No debe solicitar más información de lo necesario. Si la identidad sigue siendo inverosímil, es posible que no pueda cumplir — documente esto cuidadosamente.
¿Los empleados tienen el mismo derecho que los clientes?
Sí. Los empleados (y antiguos empleados) tienen derechos completos de la RAE de D bajo el GDPR. Las RAE de D de los empleados son a menudo las más complejas: abarcan sistemas de RRH, correo electrónico, exámenes de rendimiento, registros disciplinarios y más.
Datos estructurados = respuestas DSAR más rápidas
HubSecure CRM y Vault guardan todos los datos personales del cliente en un espacio de trabajo gobernado, así que cuando llega un DSAR, usted sabe exactamente dónde buscar.
Reserva una demostraciónRevisión de los equipos regulados
Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.
Autores · Revisores · Política editorial