Volver al blog
Ley 21.719derechos ARCOdatos personalesChilecumplimiento

Derechos ARCO: cómo responder solicitudes de titulares en 15 días hábiles

Guía operativa para implementar el proceso de atención de derechos de Acceso, Rectificación, Cancelación y Oposición bajo la Ley 21.719: plazos, formato de respuesta y errores a evitar.

Equipo FideliNorm
Derechos ARCO: cómo responder solicitudes de titulares en 15 días hábiles

Bajo la Ley 21.719, cualquier persona puede pedirle a tu empresa que le muestre, corrija, elimine o deje de tratar sus datos. Y tienes 15 días hábiles para responder.

No es un cambio menor. Cambia la lógica con la que las áreas comerciales, de TI y de servicio al cliente vienen operando, y obliga a montar un proceso interno claro, trazable y rápido.

Acá te explicamos qué son los derechos ARCO (más los nuevos derechos que incorpora la ley), cómo construir el flujo de atención y qué errores se pagan caro frente a la APDP.

Qué son los derechos ARCO

La sigla ARCO se refiere a los cuatro derechos clásicos que el titular puede ejercer sobre sus datos personales:

  • Acceso: saber si tu organización trata sus datos, qué datos tiene, con qué finalidad y a quién los comunica.
  • Rectificación: corregir datos inexactos, incompletos o desactualizados.
  • Cancelación o supresión: pedir que sus datos sean eliminados cuando ya no son necesarios o no existe base legal para mantenerlos.
  • Oposición: oponerse a un tratamiento específico, por ejemplo marketing directo, perfilamiento o decisiones automatizadas.

La Ley 21.719 mantiene estos cuatro y agrega tres más, alineados con el GDPR europeo:

  • Portabilidad: recibir los datos en un formato estructurado y de uso común, y solicitar su transmisión directa a otro responsable.
  • Bloqueo: suspender temporalmente el tratamiento mientras se resuelve un reclamo o se verifica la exactitud.
  • Decisiones automatizadas y perfilamiento: derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos.

En conjunto, este paquete es lo que la ley llama el estatuto del titular.

El reloj: 15 días hábiles

La ley fija un plazo máximo de 15 días hábiles desde la recepción de la solicitud. Puede prorrogarse por una sola vez y por igual período cuando la complejidad lo justifique, siempre que avises al titular antes del vencimiento del plazo original.

En la práctica, tu empresa tiene tres semanas calendario aproximadamente para hacer cuatro cosas:

  1. Verificar la identidad del solicitante.
  2. Buscar y consolidar la información en todos los sistemas.
  3. Aplicar la acción correspondiente (entrega, corrección, eliminación, suspensión).
  4. Redactar y enviar la respuesta formal.

Quien no responde, responde mal o responde tarde queda expuesto a un reclamo ante la APDP, con multas que pueden alcanzar las 20.000 UTM en infracciones gravísimas. Hablamos de más de mil millones de pesos.

Cómo se arma el proceso de atención

Un flujo de atención de derechos ARCO maduro tiene siete componentes. Acá te dejamos cada uno con lo que tiene que pasar.

1. Canales de recepción

Define al menos dos canales: un correo dedicado (por ejemplo, datospersonales@tuempresa.cl) y un formulario web accesible desde la política de privacidad. Si tu empresa atiende clientes en oficinas físicas, suma un canal presencial.

Todos estos canales tienen que estar publicados con claridad en el sitio web y en los avisos de privacidad. Si están escondidos, la APDP entiende que no existen.

2. Verificación de identidad

Antes de actuar, tienes que asegurarte de que quien solicita es efectivamente el titular o su representante legal. Métodos típicos: copia de cédula con datos no necesarios enmascarados, validación a través de cuenta autenticada en tu plataforma, o un dato de contraste solo conocido por el titular.

Ojo: pedir más información de la necesaria es una vulneración del principio de minimización. La verificación tiene que ser proporcional al riesgo, no un examen notarial.

3. Mesa de entrada y asignación

Cada solicitud se registra en un libro o sistema con número correlativo, fecha de recepción, tipo de derecho ejercido y plazo límite. La asignación al área responsable (legal, TI, servicio al cliente, comercial) tiene que ser inmediata.

4. Búsqueda y consolidación

El equipo asignado consulta todos los sistemas que pueden contener datos del titular: CRM, ERP, base de marketing, sistemas de soporte, archivos físicos, copias de respaldo. Acá la arquitectura de datos es clave.

Si no sabes dónde están los datos del titular, no podrás cumplir el plazo. Por eso el mapa de tratamientos es prerrequisito de todo lo demás.

5. Resolución

Cada derecho se resuelve distinto:

  • Acceso: prepara un informe con datos tratados, finalidades, base de licitud, plazos de conservación, destinatarios y derechos disponibles.
  • Rectificación: actualiza el dato en el sistema fuente y propaga la corrección a sistemas dependientes.
  • Cancelación: elimina los datos o, si existe obligación legal de conservar (por ejemplo, contabilidad por 6 años), bloquea el tratamiento y conserva solo lo legalmente exigible.
  • Oposición: registra la marca de "no contactar", "no perfilar" o "no comunicar a terceros" en todos los sistemas relevantes.
  • Portabilidad: exporta los datos en formato CSV, JSON o equivalente.

6. Comunicación al titular

La respuesta tiene que ser gratuita, clara, en lenguaje sencillo y por el mismo medio por el que se solicitó (salvo que el titular pida otro). Tiene que identificar la solicitud, la acción ejecutada, la información o evidencia entregada y los recursos disponibles si no queda conforme.

7. Trazabilidad y archivo

Conserva la evidencia completa de cada solicitud por al menos 5 años: solicitud original, verificación de identidad, gestiones internas, respuesta entregada y comunicaciones posteriores. Es tu defensa ante una eventual fiscalización.

Cuándo puedes legítimamente decir que no

No siempre estás obligado a acceder. La ley reconoce causales de denegación como:

  • La solicitud es de un tercero sin representación.
  • Hay obligación legal de conservar los datos (normativa tributaria, laboral, prevención de lavado de activos).
  • Los datos forman parte de un litigio en curso.
  • La solicitud es manifiestamente infundada o excesiva, especialmente cuando es repetitiva en cortos períodos.

Toda denegación tiene que ser motivada por escrito, indicar el fundamento legal e informar al titular de su derecho a reclamar ante la APDP. Una negativa sin motivación es una infracción adicional.

Errores que cuestan caro

Acompañando procesos de cumplimiento, vemos repetirse los mismos tropiezos:

  • No tener canal claro. La solicitud llega al correo de un ejecutivo comercial, queda olvidada y el plazo vence. Una casilla central monitoreada lo soluciona.
  • Pedir documentación excesiva. "Mándeme certificado notarial" es ilegal. La verificación tiene que ser proporcional al riesgo.
  • Confundir cancelación con bloqueo. Si existe deber legal de conservar (boletas, contratos, antecedentes laborales), bloquea el tratamiento, no elimines.
  • Olvidar a los proveedores. Si transferiste datos a un encargado, debes propagar la solicitud y exigir evidencia de cumplimiento.
  • Responder con jerga legal. La ley exige lenguaje claro. Una respuesta llena de citas legales pero incomprensible para el titular es deficiente.
  • No contar el plazo desde la recepción. El plazo corre desde que la solicitud entra a tu organización por cualquier canal, no desde que el área responsable la recibe.

Qué medir para gestionar el proceso

Una buena gestión de derechos ARCO se mide con indicadores simples:

  • Tiempo medio de respuesta (objetivo: bajo 10 días hábiles para tener holgura).
  • Porcentaje de solicitudes atendidas dentro de plazo.
  • Porcentaje de solicitudes denegadas y motivos.
  • Reclamos escalados a la APDP.
  • Reincidencia por titular como alerta de problemas estructurales.

Estos indicadores deberían revisarse mensualmente por el Delegado de Protección de Datos o, en su defecto, por el Comité de Cumplimiento.

Cinco cosas que tienes que hacer ya

  1. Mapea tus sistemas antes de recibir la primera solicitud. Sin mapa, no hay respuesta posible en 15 días hábiles.
  2. Capacita a quien atiende clientes. Recepcionistas, ejecutivos comerciales y mesas de ayuda tienen que saber reconocer una solicitud ARCO y derivarla.
  3. Automatiza lo que puedas. Para volúmenes altos (e-commerce, fintech, retail), un portal de autoservicio reduce el costo y el riesgo de incumplimiento.
  4. Integra el flujo con tus contratos de encarguía. Tus proveedores tienen que saber que recibirán solicitudes propagadas y deben responderte en plazos compatibles.
  5. Documenta cada decisión. La trazabilidad es tu mejor defensa cuando llegue la fiscalización.

La diferencia entre llegar listo y llegar arrastrando

Los derechos ARCO dejan de ser declaración de buenas intenciones y se convierten en un proceso operativo medido en días hábiles. La diferencia entre las empresas que lleguen bien preparadas a la entrada en vigor de la Ley 21.719 y las que sufrirán multas, reclamos y daño reputacional no estará en el tamaño ni en el sector.

Estará en haber montado a tiempo un flujo simple, trazable y bien comunicado.

¿Tu empresa está lista para responder solicitudes ARCO en 15 días? Conversemos y diseñemos juntos el flujo.

Artículos relacionados

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →