Derechos

Derechos ARCO y portabilidad: qué pueden exigirte los titulares

Derechos ARCO y portabilidad: qué pueden exigirte los titulares

Con la entrada en vigencia el 1 de diciembre de 2026, cualquier persona podrá exigirte que le muestres, corrijas, elimines o entregues sus datos. Entender los derechos ARCO Ley 21.719 dejó de ser un tema legal abstracto: es una obligación operativa que tu empresa debe poder cumplir en plazos acotados y, en general, de forma gratuita.

En esta guía explicamos qué es cada derecho, qué puede pedirte concretamente un titular, en cuánto tiempo debes responder y qué implicancias técnicas tiene todo esto para tus bases de datos.

Qué son los derechos ARCO y la portabilidad en la Ley 21.719

La sigla ARCO agrupa cuatro derechos clásicos —Acceso, Rectificación, Cancelación (o supresión) y Oposición— a los que la Ley 21.719 suma expresamente la portabilidad. Todos ellos son derechos personales, intransferibles e irrenunciables: no puedes limitarlos ni renunciarlos por contrato.

El titular es la persona natural a quien pertenecen los datos. El responsable es quien decide sobre el tratamiento (tu empresa, normalmente), y el encargado trata los datos por cuenta del responsable (por ejemplo, un proveedor de nube o de facturación). Cuando llega una solicitud ARCO, la responsabilidad de responder recae en el responsable, aunque los datos estén operativamente en manos de un encargado.

Acceso

El titular puede pedirte que confirmes si tratas o no sus datos y, en caso afirmativo, que le entregues una copia junto con información sobre el origen, las finalidades del tratamiento, las categorías de datos involucradas y los destinatarios a quienes se comunican.

En la práctica, responder un acceso implica poder reunir en un solo lugar todo lo que sabes de esa persona, aunque esté repartido en varios sistemas.

Rectificación

Cuando los datos son inexactos, están desactualizados o incompletos, el titular puede exigir su corrección. Este derecho conecta directamente con el principio de calidad: los datos deben ser exactos y mantenerse al día.

Cancelación o supresión

El titular puede solicitar que elimines sus datos, por ejemplo cuando ya no son necesarios para la finalidad que justificó su recolección, cuando retira su consentimiento o cuando el tratamiento no se ajusta a la ley.

La supresión tiene límites razonables: no procede si debes conservar los datos por una obligación legal (tributaria, laboral, contable) o para el ejercicio o defensa de reclamos. En esos casos, en lugar de borrar, puede corresponder bloquear o restringir el tratamiento.

Oposición

El titular puede oponerse a un tratamiento determinado por motivos legítimos, o a que sus datos se usen con fines de marketing o publicidad. También puede oponerse a decisiones basadas únicamente en tratamientos automatizados que le produzcan efectos jurídicos o significativos.

Portabilidad

Es el derecho más novedoso para muchas empresas. El titular puede pedir recibir sus datos en un formato estructurado, genérico y de uso común que permita su lectura por medios electrónicos, y solicitar que se transmitan directamente a otro responsable cuando sea técnicamente posible.

La portabilidad busca reducir el “efecto candado”: que cambiar de proveedor no signifique perder el historial de datos propios.

Tabla: qué implica cada derecho para tu empresa

Derecho Qué puede exigir el titular Qué implica para tu empresa
Acceso Confirmar el tratamiento y obtener copia + información de origen, fines y destinatarios Localizar y consolidar todos los datos de la persona en tus sistemas
Rectificación Corregir datos inexactos, desactualizados o incompletos Poder editar registros y propagar el cambio a copias y encargados
Cancelación / Supresión Eliminar datos cuando ya no son necesarios o se retira el consentimiento Borrar de forma verificable, respetando obligaciones legales de conservación
Oposición Detener un tratamiento, el marketing o decisiones automatizadas Marcar y excluir registros de campañas o procesos específicos
Portabilidad Recibir sus datos en formato reutilizable o transferirlos a otro responsable Exportar datos en formato estructurado y de uso común

Plazos y forma de respuesta

Los plazos son concretos y conviene tenerlos internalizados en tus procedimientos:

  • Regla general: recibida la solicitud, el responsable debe acusar recibo y pronunciarse a más tardar dentro de los 30 días corridos siguientes.
  • Prórroga: ese plazo puede extenderse, por una sola vez, hasta por 30 días corridos adicionales, cuando la complejidad de la solicitud lo justifique y se comunique al titular.
  • Bloqueo como medida expedita: si la solicitud incluye el bloqueo temporal de los datos, debe resolverse en un plazo mucho más breve, de 2 días hábiles; mientras no se resuelva, no puedes seguir tratando esos datos.
  • Denegación: si rechazas total o parcialmente la solicitud, debes fundamentar la decisión e informar al titular que dispone de 30 días hábiles para reclamar ante la Agencia de Protección de Datos Personales (APDP).

La respuesta debe entregarse por escrito, por medios expeditos, al domicilio o correo electrónico que el titular haya indicado. La lógica de la ley es clara: el ejercicio de derechos debe ser sencillo para el titular, no una carrera de obstáculos.

Gratuidad y sus límites

Como regla general, el ejercicio de los derechos es gratuito. No puedes condicionar la respuesta al pago de una tarifa ni exigir requisitos desproporcionados para identificar al titular.

Esa gratuidad tiene matices razonables: frente a solicitudes manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo, el responsable puede negarse a actuar o gestionar la solicitud de forma proporcionada, siempre justificando su decisión. La verificación de identidad del titular también es legítima y necesaria antes de entregar información: no se trata de poner trabas, sino de no exponer datos a quien no corresponde.

Qué debe poder hacer tu empresa: implicancias técnicas

Aquí está el verdadero desafío. Reconocer los derechos en un texto legal es simple; poder ejecutarlos sobre bases de datos reales, no tanto. Para cumplir en plazo, tu organización necesita al menos poder:

  1. Localizar todos los datos de una persona, aunque estén dispersos en un CRM, planillas, correos, sistemas de facturación y copias de respaldo.
  2. Exportar esos datos en un formato estructurado y de uso común (por ejemplo, CSV o JSON), no en capturas de pantalla ni PDF inmanejables.
  3. Rectificar un dato y propagar la corrección a todas las copias y a los encargados que también lo tratan.
  4. Suprimir o bloquear registros de forma verificable, distinguiendo lo que debes conservar por ley de lo que puedes eliminar.
  5. Trazar cada solicitud: quién la pidió, cuándo, qué se respondió y en qué plazo, para poder demostrar cumplimiento ante la Agencia.

Estas capacidades no se improvisan la semana en que llega la primera solicitud. Se construyen antes: con un inventario de tratamientos, un mapa de dónde vive cada dato y procedimientos claros. Es exactamente el tipo de preparación que abordamos en nuestra guía para prepararte ante la Ley 21.719, y que conviene entender junto con el panorama general de la ley.

Muchas empresas descubren que necesitan una figura que coordine esta operación de punta a punta. Si ese es tu caso, revisa cuándo conviene designar un Delegado de Protección de Datos (DPO).

Preguntas frecuentes

¿En cuántos días debo responder una solicitud ARCO?

La regla general es pronunciarte dentro de 30 días corridos desde la recepción, prorrogables por una sola vez hasta por otros 30 días corridos cuando la complejidad lo justifique. Las solicitudes que involucran bloqueo temporal de datos tienen un plazo mucho más breve, de 2 días hábiles.

¿Puedo cobrarle al titular por ejercer sus derechos?

Como regla general, no: el ejercicio es gratuito. Solo frente a solicitudes manifiestamente infundadas o excesivas —por ejemplo, claramente repetitivas— podrías gestionar la solicitud de forma proporcionada, justificando siempre tu decisión.

¿Qué pasa si no puedo eliminar los datos que me piden borrar?

La supresión no es absoluta. Si una ley te obliga a conservar los datos, o los necesitas para ejercer o defender reclamos, puedes negarte a eliminarlos, pero debes fundamentar la respuesta e informar al titular de su derecho a reclamar ante la Agencia. En muchos casos, la alternativa es bloquear el tratamiento en lugar de borrar.

¿Tu empresa podría hoy localizar, exportar y suprimir los datos de una persona dentro del plazo legal? En basedatos.cl unimos asesoría legal e ingeniería para dejar tus bases de datos listas para responder solicitudes ARCO sin sobresaltos. Conversemos en /contacto y evaluemos tu situación.

Este contenido es informativo y no constituye asesoría legal para un caso particular.

Escríbenos