Saltar al contenido principal
PrivacidadWeb
Guía10 min de lectura·

Derechos ARCOP: Qué Son y Cómo Tu Empresa Debe Responder

Guía práctica sobre los derechos ARCOP de la Ley 21.719: acceso, rectificación, cancelación, oposición y portabilidad. Plazos, procedimientos y cómo documentar cada solicitud.

P

PrivacidadWeb

PrivacidadWeb.cl

Cuando un cliente te escribe diciendo "quiero saber qué datos tienes de mí" o "pido que elimines mi información", no está siendo difícil ni amenazante. Está ejerciendo un derecho reconocido por ley. La Ley 21.719 entrega a todas las personas un conjunto de derechos sobre sus datos personales que las empresas están obligadas a respetar — con plazos, procedimientos y consecuencias si no se cumplen.

Ese conjunto de derechos se conoce como ARCOP: Acceso, Rectificación, Cancelación/Supresión, Oposición y Portabilidad. No responder una solicitud ARCOP dentro del plazo legal es una infracción a la Ley 21.719, sancionable con multa de hasta 5.000 UTM (~$335M CLP) para una primera infracción.

Esta guía explica qué significa cada derecho, qué debes entregar cuando alguien lo ejerce y cómo crear el flujo mínimo para gestionar estas solicitudes en tu empresa.

Derecho de Acceso (Art. 5)

El derecho de acceso es el más fundamental de todos: permite que cualquier persona sepa exactamente qué datos personales suyos tienes, para qué los usas y con quién los compartes.

¿Qué puede pedir el titular?

  • Confirmación de si tratas o no datos personales suyos
  • Qué categorías de datos tienes (identidad, contacto, financieros, de salud, de comportamiento)
  • Las finalidades del tratamiento — para qué usas esos datos
  • El origen de los datos — cómo los obtuviste
  • Con quién los has compartido o a quién los has transferido
  • Por cuánto tiempo los conservarás

¿Qué debes entregar?

Una copia de los datos personales que tratas del solicitante, junto con la información de contexto que describe arriba. Debe ser entregada en un formato comprensible — no basta con señalar que están "en el sistema". Si el titular te pide sus datos de compras, debes entregarle la lista de compras, no decirle que están en tu base de datos.

Plazo: 30 días corridos desde que recibes la solicitud (Art. 11).

Ejemplo práctico: Una ex clienta de tu e-commerce te escribe pidiendo saber qué datos tienes de ella. Debes entregarle: su nombre, correo, dirección de despacho, historial de pedidos y si compartiste su correo con algún proveedor de marketing. No puedes negarte porque "son datos internos".

Derecho de Rectificación (Art. 6)

Si los datos que tienes de una persona son incorrectos, están desactualizados o son incompletos, ella puede exigir que los corrijas.

¿Cuándo procede?

Siempre que haya un error factual en los datos: un apellido mal escrito, una dirección antigua, un número de teléfono equivocado, una fecha de nacimiento incorrecta. No aplica a opiniones o evaluaciones que hayas emitido sobre esa persona — solo a datos objetivos.

¿Qué debes hacer?

Corregir el dato en todos los sistemas donde lo tengas. Si ese dato lo habías cedido a terceros (por ejemplo, un proveedor de marketing que recibió el correo del cliente), también debes comunicarles la corrección para que la repliquen.

Plazo: 30 días corridos para responder y efectuar la rectificación (Art. 11).

Ejemplo práctico: Un cliente te dice que su apellido está mal escrito en tu sistema (aparece "Gonzales" en vez de "González") y que eso le causó problemas en la emisión de su boleta. Debes corregirlo en tu sistema de gestión, en tu CRM y notificar a tu proveedor de facturación electrónica si corresponde.

Derecho de Cancelación / Supresión (Art. 7)

El titular puede pedir que elimines sus datos personales en ciertas circunstancias. Es el derecho popularmente conocido como "derecho al olvido".

¿Cuándo procede la supresión?

  • Los datos ya no son necesarios para la finalidad que justificó su recopilación
  • El titular revoca el consentimiento y no hay otra base legal que justifique seguir tratando los datos
  • El tratamiento era ilícito desde el inicio
  • Existe una obligación legal de eliminar los datos

¿Cuándo NO estás obligado a borrar?

Aquí es donde muchas empresas se confunden. La supresión no es absoluta. Puedes negarte a eliminar datos cuando:

  • Tienes una obligación legal de conservarlos — por ejemplo, documentos tributarios que el SII exige conservar 6 años
  • Los datos son necesarios para reclamar o defender derechos legales — por ejemplo, datos de un contrato en litigio
  • El tratamiento es necesario para cumplir una misión de interés público
  • Los datos son necesarios para cumplir el propio contrato vigente con el titular

En estos casos, puedes rechazar la solicitud explicando la razón fundada.

Plazo: 30 días corridos para responder y ejecutar la supresión (Art. 11).

Ejemplo práctico: Un ex cliente pide que elimines todos sus datos. Puedes eliminar su historial de compras y datos de contacto, pero no los datos de sus boletas, que debes conservar por 6 años según la normativa tributaria del SII. Debes explicarle esto por escrito.

Derecho de Oposición (Art. 8)

El titular puede oponerse a que uses sus datos para ciertas finalidades, aunque el tratamiento sea legítimo.

¿Cuándo puede ejercerlo?

El caso más claro y frecuente es el marketing directo: cualquier persona puede oponerse a recibir publicidad, newsletters o comunicaciones comerciales, y debes cesar ese uso inmediatamente — sin que sea necesario que explique por qué.

También puede ejercer oposición cuando el tratamiento se basa en interés legítimo del responsable, si sus derechos y libertades prevalecen sobre ese interés en su situación particular.

¿Qué debes hacer?

Cesar inmediatamente el tratamiento al que se opone el titular. Si la oposición es al marketing, darlo de baja de todas las listas y plataformas de envío. Si la oposición es a otro tratamiento, evaluar si tienes otra base legal que justifique continuar y comunicárselo.

Plazo: Debes actuar sin dilación ante la oposición de marketing directo. Para otras formas de oposición, el plazo general de 30 días aplica para la respuesta formal.

Ejemplo práctico: Un cliente marca "unsubscribe" en tu newsletter. Eso es una oposición al marketing directo. Debes darlo de baja de tu lista de Mailchimp, de cualquier segmento de remarketing y de cualquier otra comunicación comercial — el mismo día que recibes la oposición.

Derecho de Portabilidad (Art. 9)

El derecho de portabilidad permite que el titular reciba sus datos en un formato electrónico, estructurado y de uso común, para poder trasladarlos a otro proveedor o servicio.

¿Cuándo aplica?

Cuando el tratamiento se basa en el consentimiento del titular o en un contrato con él, y el tratamiento se realiza por medios automatizados. Es decir, no aplica a datos tratados en papel ni a datos tratados bajo otras bases legales.

¿Qué formato debes usar?

Un formato legible por máquina y de uso estándar: CSV, JSON o XML son los más comunes. El archivo no puede ser un PDF con texto escaneado — debe ser un archivo que el titular pueda importar en otro sistema.

¿Qué datos incluye?

Los datos que el titular te proporcionó directamente: su nombre, correo, historial de pedidos, preferencias, contenido que generó en tu plataforma. No incluye datos que tú has derivado o inferido sobre él (por ejemplo, una segmentación o una puntuación de crédito que generaste internamente).

Ejemplo práctico: Un usuario de tu plataforma SaaS cancela su suscripción y te pide exportar todos sus datos antes de irse. Debes entregarle un archivo CSV o JSON con sus datos de perfil, historial de uso y contenido que generó en la plataforma.

Plazos y procedimiento (Art. 11)

La Ley 21.719 establece un marco procedimental claro para todas las solicitudes ARCOP:

Plazo estándar: 30 días corridos desde que recibes la solicitud

Prórroga: La ley permite una prórroga adicional cuando la solicitud es especialmente compleja o cuando hay múltiples solicitudes simultáneas. Si necesitas más tiempo, debes comunicárselo al titular dentro del plazo original, explicando la razón.

Gratuidad: El ejercicio de los derechos ARCOP es gratuito. No puedes cobrarle al titular por procesar su solicitud. La única excepción que contempla la ley es para solicitudes manifiestamente infundadas o excesivas (por ejemplo, solicitudes repetitivas con intención de generar costos), caso en que puedes cobrar un costo razonable o rechazar la solicitud justificadamente.

Forma de respuesta: Debes responder en el mismo canal por el que te llegó la solicitud, o en el que el titular prefiera. Si te llegó por correo, responde por correo. La respuesta debe ser clara y comprensible — no en lenguaje legal denso.

Qué hacer cuando te llega una solicitud ARCOP

Sin un procedimiento definido, cada solicitud se convierte en una improvisación. Este es el flujo mínimo:

1. Identifica el tipo de solicitud. ¿Es acceso, rectificación, supresión, oposición o portabilidad? Esto determina qué debes hacer.

2. Verifica la identidad del solicitante. Antes de entregar o eliminar datos, confirma que quien pide es realmente el titular. Pide un documento de identificación, una respuesta desde el correo registrado u otra forma de verificación proporcional al riesgo.

3. Evalúa si procede. ¿Tienes los datos del solicitante? ¿Hay alguna razón legal para no cumplir la solicitud (obligación de conservación, por ejemplo)?

4. Ejecuta la acción. Entrega los datos, corrige, elimina o da de baja según corresponda.

5. Responde al titular. Confirma por escrito qué hiciste, cuándo y cómo. Si rechazas la solicitud, explica el motivo con fundamento legal.

6. Registra la solicitud. Anota en tu log de solicitudes ARCOP: fecha de recepción, tipo, nombre del solicitante (o identificador), acción tomada y fecha de respuesta.

Genera tu Protocolo ARCOP gratis →

Cuándo puedes rechazar una solicitud ARCOP

No todas las solicitudes son obligatorias de cumplir. Puedes rechazar cuando:

  • El solicitante no puede verificar su identidad de forma razonable
  • La solicitud es manifiestamente infundada — por ejemplo, solicitudes repetitivas con el único objetivo de generar costos operativos
  • Existe base legal que obliga a conservar los datos (para supresión): normativa tributaria, contrato vigente, procedimiento judicial en curso
  • Entregar los datos afectaría derechos de terceros: por ejemplo, si el solicitante pide acceso a datos que también involucran a otra persona identificable
  • La solicitud de portabilidad no aplica porque el tratamiento no se basa en consentimiento ni en contrato, o no es automatizado

En todos los casos de rechazo, debes comunicarlo al titular con el fundamento legal concreto dentro del plazo de 30 días. El rechazo injustificado o no comunicado es una infracción.

Cómo documentar las solicitudes (registro o log)

La documentación de las solicitudes ARCOP cumple dos funciones: demostrar ante la APDP que gestionas correctamente los derechos de los titulares, y protegerte ante eventuales disputas sobre si respondiste o no.

Tu registro de solicitudes debe incluir, como mínimo:

  • Fecha de recepción de la solicitud
  • Canal por el que llegó (correo, formulario, presencial)
  • Tipo de solicitud (A, R, C, O o P)
  • Identificación del solicitante (nombre o correo)
  • Acción tomada (se cumplió / se rechazó con qué fundamento)
  • Fecha de respuesta al titular
  • Persona responsable de la gestión dentro de tu empresa

No necesitas un software especial: una planilla Excel con estas columnas es suficiente para una pyme. Lo importante es que exista y se actualice.

Para profundizar en cómo estructurar todo el sistema de cumplimiento, revisa nuestra guía de los 8 pasos para pymes.

Preguntas frecuentes

¿Puedo pedir que el titular explique por qué quiere sus datos o por qué pide la eliminación?

No necesariamente. El titular no tiene obligación de justificar por qué ejerce sus derechos. Puedes preguntar el motivo para entender mejor cómo ayudarlo, pero no puedes condicionar el procesamiento de la solicitud a que te lo explique.

¿Qué pasa si el titular pide la supresión pero sigue siendo mi cliente activo?

Si la relación contractual está vigente, el tratamiento de datos necesarios para ejecutar el contrato (nombre, correo, dirección de despacho, datos de pago) tiene base legal en el propio contrato. Puedes rechazar la supresión de esos datos mientras el contrato esté activo, explicando que son necesarios para prestar el servicio.

Si recibo una solicitud de alguien que no reconozco, ¿qué hago?

Primero, verifica si tienes datos suyos en tus sistemas. Si no los tienes, respóndele confirmando que no tratas datos personales suyos. Si los tienes pero no lo reconoces, podría ser un prospecto, ex cliente o persona que llenó un formulario. La verificación de identidad antes de entregar datos es fundamental.

¿Tengo que responder solicitudes ARCOP por WhatsApp?

Si el titular envió la solicitud por WhatsApp, es recomendable responder al menos acusando recibo por ese canal, pero deberías canalizar la solicitud formal por un medio más trazable (correo). Tu Protocolo ARCOP debe definir los canales oficiales de recepción y comunicarlo en la Política de Privacidad.

¿Qué pasa si no respondo una solicitud ARCOP en 30 días?

No responder en plazo es una infracción a la Ley 21.719, sancionable con multa de hasta 5.000 UTM (~$335M CLP) por infracción leve. El titular también puede presentar una reclamación directa ante la APDP, lo que activa un proceso de investigación formal. Para evitarlo, ten un Protocolo ARCOP documentado con responsable designado y alertas de plazo.

Este artículo tiene fines informativos y no constituye asesoría legal. Para situaciones específicas, consulta con un abogado especializado en protección de datos personales.

Guía visual

¿Qué derecho ARCOP necesito ejercer?

Identifica tu situación y aplica el derecho correspondiente. Plazo de respuesta: 30 días corridos en todos los casos.

A
AccesoArt. 5

"Quiero saber qué datos tienen de mí"

La empresa tiene 30 días para entregarte un listado completo de tus datos, finalidades y destinatarios.

R
RectificaciónArt. 6

"Tengo un dato incorrecto o desactualizado"

La empresa debe corregirlo y notificar la corrección a todos los terceros con quienes compartió ese dato.

C
Cancelación / SupresiónArt. 7

"Quiero que eliminen mis datos"

Procede cuando el tratamiento es ilícito, ya no es necesario o revocas tu consentimiento. La empresa tiene 30 días para suprimir.

O
OposiciónArt. 7 bis

"No quiero que usen mis datos para cierto fin"

Especialmente efectivo para marketing directo: la empresa debe cesar ese uso de inmediato al recibir la oposición.

P
PortabilidadArt. 8

"Quiero llevarme mis datos a otro servicio"

La empresa debe entregarte tus datos en formato estructurado y legible por máquina (CSV, JSON) para que los muevas libremente.

Tip: Si no recibes respuesta en 30 días, puedes presentar una reclamación ante la Agencia de Protección de Datos Personales (APDP). No se requiere abogado para ejercer estos derechos.

PrivacidadWeb.cl genera templates orientativos basados en la Ley N° 21.719. No constituye asesoría legal.

¿Listo para cumplir la Ley 21.719?

Genera gratis tu Política de Privacidad, RAT, Banner de Cookies y más — sin registro, en minutos.

Generar Política de Privacidad Gratis

También te puede interesar

🌐Guía

Transferencia Internacional de Datos: Requisitos bajo la Ley 21.719

Si usas Gmail, AWS, HubSpot, Stripe o cualquier SaaS extranjero, estás haciendo transferencia internacional de datos. Guía práctica para regularizarla bajo la Ley 21.719.

📋Guía

Ley 21.719: La Nueva Ley de Datos Personales en Chile — Guía Completa (2026)

Todo sobre la nueva ley de datos personales en Chile (Ley 21.719): plazos, multas de hasta $1.400M CLP, derechos ARCOP, obligaciones y cómo preparar tu empresa antes de diciembre 2026.

👤Guía

Delegado de Protección de Datos (DPO): ¿Tu Empresa lo Necesita?

¿Cuándo la Ley 21.719 exige designar un DPO en Chile? Análisis práctico para pymes: cuándo es obligatorio, qué funciones tiene y cuál es la alternativa si no aplica.