Solicitudes de acceso a datos (DSAR) en comercios y centros comerciales
Publicado: 9/11/2025
Las solicitudes de acceso a datos (DSAR) se han convertido en uno de los aspectos más exigentes de la conformidad con el RGPD para comercios y operadores de centros comerciales. Estos entornos procesan grandes cantidades de datos personales, como grabaciones CCTV, analíticas Wi-Fi, bases de marketing, programas de fidelización, sistemas ANPR/LPR, controles de acceso y registros de atención al cliente. El derecho de acceso del RGPD exige proporcionar estos datos dentro de plazos estrictos [1].
¿Qué se considera una DSAR en el comercio?
Antes de analizar los procedimientos, es esencial definir qué constituye una DSAR en un comercio o centro comercial. Una DSAR es cualquier solicitud de una persona identificable que pide acceder a los datos personales que la organización posee sobre ella.
Canales por los que se reciben DSAR
Las solicitudes llegan habitualmente por correo electrónico, formularios web, redes sociales, tickets de soporte o peticiones presenciales. Los comercios con programas de fidelización también reciben DSAR a través de aplicaciones móviles o portales de clientes.
Tipos de datos personales solicitados
Además de información de cuenta e historial de compras, las DSAR incluyen cada vez más solicitudes de datos visuales. Los individuos pueden solicitar grabaciones CCTV en las que aparezcan, ya sea en tiendas, áreas comunes o aparcamientos.
Obligaciones y plazos para responder DSAR
Los comercios y centros comerciales deben cumplir los requisitos del RGPD sobre transparencia, plazos y divulgación segura.
Plazos de respuesta
El RGPD exige responder en un mes, conforme a los artículos 12 y 15 [1]. Los casos complejos, como la edición de vídeo, permiten extender el plazo dos meses más.
Requisitos de verificación de identidad
Debe verificarse la identidad del solicitante antes de revelar datos. El ICO destaca que esto previene divulgaciones indebidas [2].
Datos en formato accesible
Los datos deben entregarse en un formato común, como MP4 para vídeo. Es obligatorio difuminar rostros u otros elementos identificables antes de la entrega [2].
Por qué las DSAR son especialmente complejas en centros comerciales
Los centros comerciales integran múltiples responsables, sistemas compartidos y zonas comunes, complicando el proceso.
Responsabilidad conjunta entre operadores y tiendas
Los centros suelen ser corresponsables con los comercios. El EDPB exige definir claramente las responsabilidades en la gestión de DSAR [3].
CCTV en áreas comunes y presencia de terceros
Las grabaciones de zonas comunes incluyen a personas ajenas. El RGPD prohíbe revelar datos identificables de terceros, por lo que es necesaria la anonimización [2].
Grandes volúmenes de datos de videovigilancia
El elevado tráfico genera grandes cantidades de datos. La FRA documenta la complejidad y los riesgos de privacidad en entornos con vigilancia intensa [4].
Gestión de DSAR que incluyen CCTV y datos visuales
Las solicitudes relativas a vídeo son particularmente demandantes. El comerciante debe equilibrar el derecho de acceso con la privacidad de terceros.
Localizar la grabación relevante
Es necesario identificar qué cámaras pudieron grabar al solicitante analizando horarios, mapas de cámaras y periodos de conservación.
Requisitos de difuminado para proteger a terceros
No se pueden entregar grabaciones si otras personas son identificables. El difuminado es obligatorio. Herramientas automatizadas como Gallio PRO ayudan a anonimizar rostros, matrículas y elementos sensibles para cumplir el RGPD.
Políticas de retención y su impacto
Muchos comercios guardan el CCTV durante 30-60 días. Si una DSAR llega después, las grabaciones pueden no estar disponibles [1].
Buenas prácticas para gestionar DSAR en comercios
Un enfoque estructurado facilita el cumplimiento normativo y reduce la carga operativa.
Centralizar la recepción de DSAR
Un único canal evita retrasos. Los sistemas de tickets o portales de privacidad ayudan a garantizar trazabilidad.
Política formal de verificación de identidad
Para evitar divulgaciones indebidas, debe existir un procedimiento claro. Según el ICO, la verificación debe ser proporcional al tipo de datos [2].
Uso de herramientas automatizadas de anonimización
La edición manual de vídeo es lenta y propensa a errores. Automatizar este proceso con Gallio PRO mejora la precisión y reduce el tiempo necesario.
Gobernanza clara entre operador y tiendas
Cuando existe corresponsabilidad, deben formalizarse acuerdos claros. El EDPB recomienda documentos de reparto de responsabilidades [3].
Documentación y registros de DSAR
La documentación es clave. Los registros deben incluir la fecha de solicitud, verificaciones, fuentes de datos y difuminados aplicados.
FAQ - DSAR en comercios y centros comerciales
¿Pueden los clientes solicitar grabaciones CCTV donde aparezcan?
Sí, siempre que se verifique su identidad y se difuminen los terceros.
¿Puede una tienda negar la grabación si aparecen otras personas?
No. Debe anonimizarse a los terceros, no denegarse el acceso.
¿Puede cobrarse una tarifa por gestionar una DSAR?
Solo cuando la solicitud sea excesiva, repetitiva o infundada. Las DSAR normales son gratuitas.
¿Incluye la DSAR datos ANPR/LPR del aparcamiento?
Sí. Las matrículas vinculadas a una persona son datos personales.
¿Durante cuánto tiempo deben conservarse los vídeos preparados?
Solo el tiempo necesario para completar la solicitud y documentar la conformidad.
Lista de referencias
- [1] RGPD - Reglamento (UE) 2016/679, Artículo 15. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- [2] UK ICO - Guía sobre CCTV y datos visuales. https://ico.org.uk/for-organisations/
- [3] EDPB - Directrices sobre derechos de los interesados. https://edpb.europa.eu
- [4] FRA - Estudios sobre vigilancia y protección de datos. https://fra.europa.eu/en
- [5] National Retail Federation (NRF) - Informes sobre seguridad y privacidad en retail. https://nrf.com/research