Ctrl+C, Ctrl+Comply: El auge de los DSAR habilitados por IA
La concienciación de los individuos sobre sus derechos de protección de datos, impulsada en parte por litigios de alto perfil, ha contribuido a un aumento sostenido en el número de solicitudes de acceso de los interesados (DSAR) que las organizaciones están recibiendo. Este aumento parece estar impulsado en parte por solicitudes generadas por máquinas, ya que la IA generativa produce DSAR detalladas y expansivas en segundos, reduciendo la barrera para redactar demandas complejas y de gran alcance.
IA en la práctica: amplitud y complejidad de los DSAR
Bajo el RGPD del Reino Unido y la Ley de Protección de Datos de 2018, los individuos tienen derecho a la confirmación del procesamiento y al acceso a sus datos personales, junto con información asociada sobre fuentes, retención y salvaguardias. Por lo tanto, los DSAR siempre han tenido el potencial de ser amplios en alcance; sin embargo, las solicitudes generadas por IA ahora rutinariamente buscan más allá de un simple «¿qué tienen sobre mí?» y pretenden solicitar todo tipo de datos concebibles a través de todos los sistemas concebibles: correos electrónicos y archivos adjuntos, plataformas de mensajería, notas de llamadas, sistemas de tickets, archivos de RRHH, CCTV y registros de acceso. Frecuentemente también exigen la divulgación de parámetros de búsqueda, los sistemas relevantes y las auditorías, junto con explicaciones detalladas de cualquier redacción o exclusión.
Este marco puede tener consecuencias reales para la carga de trabajo y la defensa. A menos que la organización tenga un proceso disciplinado en marcha, el riesgo es una búsqueda extensa y poco enfocada que genera altos costos de revisión y retrasos. Agregar incluso un pequeño número de otros DSAR al mix puede rápidamente volverse difícil de manejar.
Identificación de DSAR generados por IA
Una organización no debe negarse a cumplir con un DSAR válido simplemente por su tono, estilo o el uso sospechado de IA por parte del solicitante. Sin embargo, el reconocimiento temprano de las características de una solicitud redactada por IA puede ayudar a anticipar la complejidad, estimar el esfuerzo y participar de manera efectiva con el solicitante.
Los indicadores comunes de DSAR redactados por IA incluyen:
– Terminología inusualmente formal o centrada en EE. UU. que contrasta con el lenguaje que se esperaría que usara el individuo.
– Plantillas exhaustivas que enumeran cada derecho y exención legal por nombre.
– Afirmaciones dispersas que abarcan múltiples jurisdicciones o citan regímenes inaplicables.
– Detalles personales inconsistentes, pronombres o formateo que sugieren contenido copiado.
– Texto idéntico o casi idéntico en múltiples solicitudes recibidas en un corto período de tiempo.
Ninguna de estas características es concluyente por sí sola, pero juntas pueden proporcionar una señal temprana útil de que una solicitud merece una atención más cercana en la etapa de triaje.
Lo que las organizaciones pueden hacer
Responder a todos los DSAR, ya sean asistidos por IA o no, requiere comprender lo que se está pidiendo y la habilidad para traducir esa comprensión en una estrategia de búsqueda documentada, razonable y proporcionada.
Bajo la Ley de Uso y Acceso de Datos de 2025, los controladores deben llevar a cabo búsquedas razonables y proporcionadas, en lugar de rastreos exhaustivos de todos los datos personales que la organización podría tener sobre el solicitante. La ley también permite a los controladores «detener el reloj» en el plazo legal para buscar aclaraciones cuando una solicitud es poco clara o excesivamente amplia.
Compromiso temprano sobre el alcance
Si un DSAR se presenta como una solicitud de «todo menos lo que no tengo», hay valor en involucrar al solicitante en una etapa temprana:
– Preguntar al solicitante que aclare lo que realmente busca, haciendo referencia a sistemas específicos, rangos de fechas o tipos de documentos.
– Explicar que parámetros más claros permitirán enfocar las búsquedas y entregar respuestas precisas.
– Enmarcar el proceso como un diálogo constructivo, en lugar de una táctica de retraso, mientras se es transparente con el solicitante de que el plazo legal se está pausando a la espera de su respuesta.
Al hacerlo bien, la clarificación temprana sobre el alcance ayuda a las organizaciones a proporcionar una respuesta proporcionada, eficiente y precisa, mientras minimiza la revisión de materiales irrelevantes y reduce la carga administrativa total en la respuesta al DSAR.
Documentar decisiones sobre proporcionalidad
Una vez que una organización ha determinado lo que constituye una búsqueda razonablemente proporcionada, debe registrar el alcance elegido, los sistemas incluidos (y excluidos), los factores considerados y la justificación que vincula esos factores a las disposiciones legales relevantes y guías regulatorias. Este proceso ayudará a demostrar que el enfoque adoptado fue considerado, defensible y adaptado a la solicitud en cuestión.
Documentar decisiones es especialmente importante en el entorno actual porque los reguladores también están sintiendo el impacto de la redacción asistida por IA, de manera más visible en el aumento de volúmenes de quejas sobre, entre otras cosas, el manejo de DSAR. Los últimos informes confirmaron que las quejas relacionadas con el Artículo 15 del RGPD del Reino Unido siguen siendo la categoría más grande de quejas sobre protección de datos, con números en aumento año tras año.
De manera similar, el Comisionado de Protección de Datos y Libertad de Información de Berlín informó recientemente que había recibido casi un 50 % más de quejas sobre protección de datos en 2025 en comparación con 2024. El Comisionado identificó a la IA como el principal impulsor detrás de este aumento, señalando que las evaluaciones legales en las que se basan las reclamaciones generadas por IA son a menudo incompletas o simplemente incorrectas.
El fenómeno de la redacción asistida por IA de quejas es parte de una tendencia más amplia, agnóstica al sector, con escuelas y autoridades de planificación en el Reino Unido informando que están siendo inundadas con cartas de quejas y objeciones generadas por IA. En última instancia, estas tendencias reflejan la facilidad con la que se pueden generar quejas posteriores, lo que significa que las respuestas mal estructuradas o una documentación débil pueden convertir un DSAR rutinario en una escalada regulatoria.
Gestionando los modernos DSAR
Al mismo tiempo que la IA contribuye al aumento de DSAR y quejas asociadas, también puede ser parte de la caja de herramientas de cumplimiento de una organización, siempre que se despliegue de manera reflexiva y con supervisión adecuada. Las organizaciones están recurriendo cada vez más a soluciones impulsadas por IA para agilizar y escalar partes de su proceso de DSAR. Entre otras cosas, las plataformas de IA pueden automatizar el descubrimiento y clasificación de datos, buscando en fuentes estructuradas y no estructuradas para identificar datos personales relevantes de manera rápida y precisa, reduciendo así el esfuerzo manual y el error humano.
Al combinar estas tecnologías con revisión humana, que sigue siendo importante para todos los DSAR, pero particularmente para aquellos con patrones de hechos complejos o desafiantes, los equipos legales y de cumplimiento pueden convertir el desafío del aumento de volúmenes de DSAR en una oportunidad para aumentar la eficiencia, mejorar la precisión y fortalecer el cumplimiento en toda la organización.
