Tarde o temprano, un cliente, un ex trabajador o cualquier persona cuyos datos trate tu empresa va a ejercer alguno de sus derechos ARCOP. La pregunta no es si va a pasar, sino si tu organización tiene un procedimiento definido para responder o si cada solicitud se resuelve improvisando.
Qué cubre la sigla ARCOP
La Ley 21.719 amplía los clásicos derechos ARCO de la antigua Ley 19.628 y agrega dos más:
- ·Acceso: conocer qué datos personales tiene la empresa sobre la persona y con qué finalidad los trata.
- ·Rectificación: corregir datos inexactos o desactualizados.
- ·Cancelación (o supresión): eliminar datos cuando ya no exista causa legítima para conservarlos.
- ·Oposición: negarse a que ciertos datos sean tratados para fines específicos, como marketing directo.
- ·Portabilidad: solicitar que los datos se transfieran a otro responsable en un formato estructurado.
- ·Bloqueo temporal: suspender el tratamiento mientras se resuelve una controversia sobre la exactitud o licitud de los datos.
Seis derechos, no cuatro. Un protocolo diseñado solo para acceso y cancelación — el estándar bajo la ley antigua — se queda corto frente a lo que exige la 21.719.
Por qué el plazo es la parte que más se falla
La ley fija 30 días desde recibida la solicitud para responder. En la práctica, ese plazo se incumple casi siempre por el mismo motivo: la solicitud no llegó a la persona correcta a tiempo, o nadie identificó que era, formalmente, una solicitud ARCOP.
Por eso el primer eslabón de cualquier protocolo no es la respuesta — es la detección.
Las cinco etapas de un protocolo funcional
1. Canal de recepción único y visible. Define un canal específico (correo dedicado, formulario en el sitio, o ambos) y publícalo de forma clara en tu política de privacidad. Si las solicitudes llegan dispersas — al correo de ventas, a redes sociales — el reloj de los 30 días puede empezar a correr sin que nadie internamente lo sepa.
2. Verificación de identidad. Antes de entregar cualquier información, hay que confirmar que quien solicita es efectivamente el titular de los datos. Esto protege a la empresa de filtrar datos a un tercero que se hace pasar por el titular.
3. Enrutamiento interno. Una solicitud de acceso a datos de recursos humanos no la resuelve el mismo equipo que una de oposición a marketing. El protocolo debe indicar, para cada tipo de solicitud, quién es responsable de recopilar la información y redactar la respuesta.
4. Registro y trazabilidad. Cada solicitud recibida, cada gestión interna y cada respuesta enviada debe quedar registrada con fecha. Ante una fiscalización, la Agencia evalúa registros concretos, con fechas, de solicitudes específicas.
5. Procedimiento ante rechazo. Si la empresa decide rechazar una solicitud, el titular tiene derecho a recurrir ante la Agencia. El protocolo debe contemplar cómo se documenta y comunica un rechazo, para que sea defendible si el caso escala.
Qué preguntar antes de responder cada solicitud
- ·¿Se confirmó la identidad del solicitante?
- ·¿Qué derecho específico está ejerciendo (no todas las solicitudes usan el nombre técnico del derecho)?
- ·¿Qué sistemas o bases de datos contienen la información solicitada?
- ·¿Existe alguna base legal que justifique no acceder total o parcialmente a la solicitud?
- ·¿Cuántos días quedan del plazo de 30 días?
- ·¿Quién revisa la respuesta antes de enviarla?
El error más común: tratarlo como un tema exclusivo de TI o Legal
Las solicitudes ARCOP suelen tocar datos que están repartidos entre marketing, recursos humanos, ventas y sistemas. Un protocolo que depende de una sola área para "encontrar" los datos en el resto de la organización, sin un mapa previo de dónde vive cada tipo de dato, es lento por diseño.
Aquí es donde el Registro de Actividades de Tratamiento deja de ser un documento de cumplimiento y se vuelve una herramienta operativa: saber de antemano dónde está cada dato acelera directamente la respuesta a cada solicitud.
Relacionado: revisa nuestra guía de gestión ARCOP para empresas. Desde la vereda de las personas, conoce los derechos que la ley reconoce y qué pasa cuando una empresa no responde dentro de plazo.
Fuentes principales: Ley 21.719, que modifica la Ley 19.628 sobre Protección de la Vida Privada (Biblioteca del Congreso Nacional — bcn.cl/leychile); Guía práctica de implementación, Secretaría de Gobierno Digital (wikiguias.digital.gob.cl).