¿Qué es una solicitud de acceso del interesado? Nuevas leyes sobre privacidad
A medida que la legislación sobre protección de datos y privacidad personal, como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Derechos de Privacidad de California (CCPA), sigue siendo promulgada en países de todo el mundo, muchas empresas y organizaciones están ahora obligadas a proporcionar a los consumidores acceso a los datos personales que han recopilado de dichos consumidores. Dicho esto, las Solicitudes de Acceso del Sujeto a los Datos (DSAR) son el principal medio por el que una empresa puede mantener la transparencia con los clientes a los que sirve, así como cumplir con las responsabilidades que dichas empresas pueden tener en virtud de las leyes de privacidad de datos aplicables. En este punto, las obligaciones que tienen las empresas en relación con las DSAR serán sin duda variadas.
Para ilustrar aún más este punto, la ley GDPR de la UE explica los derechos de los interesados a acceder a sus datos personales de conformidad con los DSAR al afirmar que “un interesado debe tener derecho a acceder a los datos personales que se hayan recopilado sobre él, y a ejercer ese derecho fácilmente y a intervalos razonables, con el fin de conocer y verificar la legalidad del tratamiento.” Alternativamente, la CCPA de California establece lo siguiente en relación con los DSAR “es intención de la Legislatura promover el derecho a la intimidad de los californianos ofreciendo a los consumidores una forma efectiva de controlar su información personal, garantizando los siguientes derechos: […] (4) El derecho de los californianos a acceder a su información personal”.
¿Qué información debe figurar en un DSAR?
Independientemente de las leyes de privacidad o protección de datos que se hayan aprobado en una jurisdicción en la que una empresa u organización atiende a posibles clientes, la gran mayoría de los DSAR proporcionarán a dichos clientes ciertas formas de información básica. Del mismo modo, las formas comunes de información que se pueden proporcionar a los clientes a través de un DSAR incluyen, pero no se limitan a:
- La base jurídica que respalda el tratamiento de la información personal de un cliente.
- La confirmación de que una empresa ha procesado la información personal de un cliente.
- Los pasos que debe seguir un cliente para acceder a su información personal.
- El periodo de tiempo durante el cual una empresa conservará la información personal de un cliente.
- Información pertinente sobre la elaboración de perfiles en línea y la toma de decisiones automatizada.
- Información pertinente sobre el modo o las circunstancias en que se recopilaron los datos de un cliente.
- Los nombres de los terceros con los que una empresa ha compartido los datos personales de un cliente.
¿Quién puede presentar un DSAR a una empresa?
Aunque los DSAR se asocian a un cliente que solicita a una empresa que le proporcione más información sobre las prácticas de recogida y tratamiento de datos de la empresa en relación con una ley de protección de datos, también pueden solicitarse DSAR en otras circunstancias. Por ejemplo, los empleados, contratistas y candidatos a un puesto de trabajo que hayan facilitado sus datos personales a una organización también pueden presentar un DSAR para acceder a dicha información. Además, una persona también puede presentar un DSAR en nombre de otra persona, como un padre o tutor que solicita información en relación con uno de sus hijos, así como un interesado que puede solicitar asistencia de un amigo o familiar.
¿Cuándo puede una empresa denegar un DSAR?
Por otra parte, las empresas y organizaciones también conservan el derecho a denegar una DSAR en determinadas condiciones. En particular, un particular que presente una DSAR a una empresa debe ejercer sus derechos adecuadamente, ya que una empresa no está obligada a atender una solicitud de este tipo si un cliente pretende utilizar la información que se le facilita para calumniar o hacer afirmaciones infundadas sobre la empresa u organización. Además de esto, las empresas y organizaciones tampoco son responsables de responder a un cliente que haga solicitudes excesivas para acceder a su información personal, como un cliente que haga solicitudes repetidas sin dar a la empresa tiempo suficiente para responder a su solicitud inicial.
¿En cuánto tiempo deben responder las empresas a un DSAR?
Aunque el plazo en el que una empresa u organización debe responder a un DSAR dependerá de las leyes de privacidad que existan en un país concreto, así como del tipo de sector en el que opere la empresa, por lo general se aconseja a las empresas que respondan a dichas solicitudes tan pronto como sea razonablemente posible, pero a más tardar un mes después de la recepción de un DSAR. Por ejemplo, una empresa que atiende a clientes en Estados miembros de la UE que entran dentro de la jurisdicción del RGPD está obligada a responder a un DSAR en el plazo de un mes, so pena de ser objeto de multas y sanciones reglamentarias.
Aunque las solicitudes de acceso de los interesados no son en absoluto un fenómeno nuevo, es indudable que se han hecho más frecuentes a medida que las empresas y organizaciones recopilan diariamente una amplia gama de datos personales de sus clientes. Dado que estas empresas y organizaciones tienen el deber de proteger esta información, dar a los clientes la oportunidad de acceder a cualquier información que una empresa haya recopilado, procesado o almacenado en relación con dichos clientes es ventajoso para todas las partes implicadas. De este modo, las empresas y organizaciones pueden responsabilizarse de sus actividades y prácticas de recopilación de datos.