Volver al blog
Ley 21.719derechos ARCOdatos personalesChilecumplimiento

Derechos ARCO: cómo responder solicitudes de titulares en 15 días hábiles

Guía operativa para implementar el proceso de atención de derechos de Acceso, Rectificación, Cancelación y Oposición bajo la Ley 21.719 de Chile: plazos, formato de respuesta y errores a evitar.

Equipo FideliNorm
Derechos ARCO: cómo responder solicitudes de titulares en 15 días hábiles

Bajo la Ley 21.719 de Protección de Datos Personales, cualquier persona puede pedirle a tu empresa que le muestre, corrija, elimine o deje de tratar sus datos. Y debe recibir respuesta en 15 días hábiles. Esta no es una novedad menor: cambia la lógica con la que las áreas comerciales, de TI y de servicio al cliente vienen operando, y obliga a montar un proceso interno claro, trazable y rápido. Esta guía explica qué son los derechos ARCO (más los nuevos derechos que incorpora la ley), cómo construir el flujo de atención y qué errores se pagan caro frente a la nueva Agencia de Protección de Datos Personales.

📜 Qué son los derechos ARCO

La sigla ARCO se refiere a los cuatro derechos clásicos que el titular puede ejercer sobre sus datos personales:

  • Acceso: saber si tu organización trata sus datos, qué datos tiene, con qué finalidad y a quién los comunica.
  • Rectificación: corregir datos inexactos, incompletos o desactualizados.
  • Cancelación (o supresión): pedir que sus datos sean eliminados cuando ya no son necesarios o no existe base legal para mantenerlos.
  • Oposición: oponerse a un tratamiento específico, por ejemplo marketing directo, perfilamiento o decisiones automatizadas.

La Ley 21.719 mantiene estos cuatro derechos y agrega tres más, alineados con el GDPR europeo:

  • Portabilidad: recibir los datos en un formato estructurado y de uso común, y solicitar su transmisión directa a otro responsable.
  • Bloqueo: suspender temporalmente el tratamiento mientras se resuelve un reclamo o se verifica la exactitud.
  • Decisiones automatizadas y perfilamiento: derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos.

En conjunto, este paquete de derechos es lo que la ley llama el estatuto del titular.

⏱️ El nuevo plazo: 15 días hábiles

La ley fija un plazo máximo de 15 días hábiles desde la recepción de la solicitud para responder. Este plazo puede prorrogarse por una sola vez y por igual período, cuando la complejidad o el volumen de información lo justifique, siempre que se notifique la prórroga al titular antes del vencimiento del plazo original.

En la práctica, esto significa que tu empresa tiene tres semanas calendario (aproximadamente) para:

  1. Verificar la identidad del solicitante.
  2. Buscar y consolidar la información en todos los sistemas.
  3. Aplicar la acción correspondiente (entrega, corrección, eliminación, suspensión).
  4. Redactar y enviar la respuesta formal.

Quien no responde, responde mal o responde tarde queda expuesto a un reclamo ante la Agencia de Protección de Datos Personales (APDP), con multas que pueden alcanzar las 20.000 UTM en infracciones gravísimas.

🏗️ Cómo implementar el proceso de atención

Un flujo de atención de derechos ARCO maduro tiene siete componentes:

1. Canales de recepción

Define al menos dos canales: un correo electrónico dedicado (por ejemplo, datospersonales@tuempresa.cl) y un formulario web accesible desde la política de privacidad. Si tu empresa atiende clientes en oficinas físicas, suma un canal presencial. Todos los canales deben estar publicados con claridad en el sitio web y en los avisos de privacidad.

2. Verificación de identidad

Antes de actuar, debes asegurarte de que quien solicita es efectivamente el titular o su representante legal. Métodos típicos:

  • Adjuntar copia de cédula de identidad (cuidando enmascarar datos no necesarios).
  • Validar a través de la cuenta autenticada del usuario en tu plataforma.
  • Solicitar un dato de contraste solo conocido por el titular.

Cuidado: pedir más información de la necesaria es una vulneración del principio de minimización.

3. Mesa de entrada y asignación

Cada solicitud debe registrarse en un libro o sistema de gestión con número correlativo, fecha de recepción, tipo de derecho ejercido y plazo límite. La asignación al área responsable (legal, TI, servicio al cliente, comercial) debe ser inmediata.

4. Búsqueda y consolidación

El equipo asignado consulta todos los sistemas que pueden contener datos del titular: CRM, ERP, base de marketing, sistemas de soporte, archivos físicos, copias de respaldo, etc. Aquí la arquitectura de datos es clave: si no sabes dónde están los datos del titular, no podrás cumplir el plazo.

5. Resolución

  • Acceso: prepara un informe con los datos tratados, finalidades, base de licitud, plazos de conservación, destinatarios y derechos disponibles.
  • Rectificación: actualiza el dato en el sistema fuente y propaga la corrección a sistemas dependientes.
  • Cancelación: elimina los datos o, si existe obligación legal de conservar (por ejemplo, contabilidad por 6 años), bloquea el tratamiento y conserva solo lo legalmente exigible.
  • Oposición: registra la marca de "no contactar", "no perfilar" o "no comunicar a terceros" en todos los sistemas relevantes.
  • Portabilidad: exporta los datos en formato CSV, JSON o equivalente.

6. Comunicación al titular

La respuesta debe ser gratuita, clara, en lenguaje sencillo y por el mismo medio por el que se solicitó (salvo que el titular pida otro). Debe incluir:

  • Identificación de la solicitud.
  • Acción ejecutada.
  • Información solicitada o evidencia de la acción.
  • Indicación de los recursos disponibles (reclamo ante la APDP).

7. Trazabilidad y archivo

Conserva la evidencia completa de cada solicitud por al menos 5 años: solicitud original, verificación de identidad, gestiones internas, respuesta entregada y cualquier comunicación posterior. Será tu defensa ante una eventual fiscalización.

🚫 Causales legítimas de denegación

No siempre estás obligado a acceder a la solicitud. La ley reconoce causales de denegación como:

  • No corresponden al titular: la solicitud es de un tercero sin representación.
  • Obligación legal de conservar: por ejemplo, normativa tributaria, laboral o de prevención de lavado de activos.
  • Ejercicio o defensa de reclamaciones legales: hay un litigio en curso y los datos forman parte del expediente.
  • Solicitud manifiestamente infundada o excesiva: especialmente cuando es repetitiva en cortos períodos.

Toda denegación debe ser motivada por escrito, indicar el fundamento legal e informar al titular de su derecho a reclamar ante la APDP.

⚠️ Errores frecuentes que cuestan caro

Acompañando procesos de cumplimiento, vemos repetirse los mismos tropiezos:

  • No tener canal claro. La solicitud llega al correo de un ejecutivo comercial, queda olvidada y el plazo vence. Evítalo con una casilla central monitoreada.
  • Pedir documentación excesiva. "Mándeme certificado notarial" es ilegal: el método de verificación debe ser proporcional al riesgo.
  • Confundir cancelación con bloqueo. Si existe deber legal de conservar (boletas, contratos, antecedentes laborales), bloquea el tratamiento, no elimines.
  • Olvidar a los proveedores. Si transferiste los datos a un encargado del tratamiento, debes propagar la solicitud (rectificación, eliminación) y exigir evidencia de cumplimiento.
  • Responder con jerga legal. La ley exige lenguaje claro. Una respuesta llena de citas legales pero incomprensible para el titular es una respuesta deficiente.
  • No contar el plazo desde la recepción. El plazo corre desde que la solicitud entra a tu organización por cualquier canal, no desde que el área responsable la recibe.

📊 Qué medir para gestionar el proceso

Una buena gestión de derechos ARCO se mide con indicadores simples:

  • Tiempo medio de respuesta (objetivo: bajo 10 días hábiles para dar holgura).
  • % de solicitudes atendidas dentro de plazo.
  • % de solicitudes denegadas y motivos.
  • Reclamos escalados a la APDP.
  • Reincidencia por titular (alerta de problemas estructurales).

Estos KPI deberían revisarse mensualmente por el Delegado de Protección de Datos o, en su defecto, por el Comité de Cumplimiento.

💡 Recomendaciones para arrancar bien

  1. Mapea tus sistemas antes de recibir la primera solicitud. Sin mapa, no hay respuesta posible en 15 días hábiles.
  2. Capacita a quien atiende clientes. Recepcionistas, ejecutivos comerciales y mesas de ayuda deben saber reconocer una solicitud ARCO y derivarla.
  3. Automatiza lo que puedas. Para volúmenes altos (e-commerce, fintech, retail), un portal de autoservicio reduce el costo y el riesgo de incumplimiento.
  4. Integra el flujo con tus contratos de encarguía. Tus proveedores deben saber que recibirán solicitudes propagadas y deben responderte en plazos compatibles con los tuyos.
  5. Documenta cada decisión. La trazabilidad es tu mejor defensa.

📌 Conclusión

Los derechos ARCO dejan de ser una declaración de buenas intenciones y se convierten en un proceso operativo medido en días hábiles. La diferencia entre las empresas que llegarán bien preparadas a la entrada en vigor de la Ley 21.719 y las que sufrirán multas, reclamos y daño reputacional no estará en el tamaño ni en el sector, sino en haber montado a tiempo un flujo simple, trazable y bien comunicado.

Empezar hoy a mapear sistemas, definir canales, capacitar al personal y firmar contratos adecuados con proveedores te dará margen para llegar a 2026 con un proceso probado, no con un improvisado de última hora.

🚀 ¿Tu empresa está lista para responder solicitudes ARCO en 15 días?

En FideliNorm ayudamos a diseñar e implementar el flujo completo de atención de derechos: canales, plantillas de respuesta, sistema de trazabilidad y capacitación para los equipos que están en primera línea. Si quieres llegar al cierre de 2026 con un proceso auditable y libre de fricción, conversemos.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →