PrivacTechBlog
← Blog

5 de mayo de 2026

Procedimiento interno para responder solicitudes ARCO

```html

Procedimiento interno para responder solicitudes ARCO

Si tu empresa recibe solicitudes de clientes o usuarios pidiendo acceso a sus datos personales, rectificación, cancelación u oposición, la Ley 21.719 te obliga a responder de forma formal y dentro de plazos específicos. El problema es que muchas PyMEs no tienen un procedimiento claro para esto, lo que genera atrasos, multas y conflictos innecesarios. En este artículo te mostramos cómo estructurar un proceso ARCO que sea práctico, legal y que no paralice tu operación.

Canales para recibir solicitudes ARCO

Lo primero es definir por dónde tus clientes pueden presentar solicitudes ARCO. La ley no especifica un canal único, así que puedes habilitar varios, pero debes dejar constancia clara de dónde recibirlas. Las opciones más comunes son:

  • Email dedicado: Crea una dirección tipo privacidad@tuempresa.cl o derechos-arco@tuempresa.cl. Es el más usado porque queda registro automático.
  • Formulario web: Publica un formulario en tu sitio web donde la persona ingrese sus datos y el tipo de solicitud. Generalmente es más amigable que email.
  • Presencial: Atiende solicitudes en tu oficina, pero siempre genera un comprobante de recepción con fecha y hora.
  • Teléfono: Menos recomendado porque es difícil de documentar, pero si lo usas, registra la llamada y envía confirmación escrita.

El consejo: no necesitas los cuatro canales. Elige dos (email + formulario web es lo más práctico) e indica claramente en tu sitio web, redes sociales y documentos de privacidad cuáles son.

Verificación de identidad sin pedir datos innecesarios

Un error común es pedirle al solicitante su RUT, número de cliente, contraseña o datos que ya tienes registrados. La ley dice que debes verificar identidad, pero de la forma menos invasiva posible. Así lo establece el artículo 17 de la Ley 21.719.

Opciones prácticas y seguras:

  • Si la solicitud viene por email: Coteja el email registrado en tus sistemas con el del remitente. Si coincide, ya verificaste identidad. No necesitas más.
  • Si viene por formulario web y el usuario está autenticado: El sistema ya sabe quién es. No pidas más validación.
  • Si no hay certeza: Pide que confirme dos últimos dígitos del RUT o la fecha de nacimiento registrada. Evita pedir el RUT completo.
  • Presencial: Solicita cédula de identidad o pasaporte. Es lo más seguro.

Recuerda: verificar no significa pedir datos nuevos. Solo corrobora información que ya tienes.

Plazos legales y registro de solicitudes

La Ley 21.719 establece plazos específicos (artículos 18 y 19):

  • Acceso a datos (ARCO de acceso): 15 días hábiles desde que recibes la solicitud.
  • Rectificación o cancelación: 30 días hábiles.
  • Oposición: 30 días hábiles.

Estos plazos no son negociables. Para cumplir, necesitas un registro interno simple pero riguroso. Puede ser una planilla Excel o un sistema más sofisticado:

  • Fecha de recepción
  • Nombre y datos de contacto del solicitante
  • Tipo de solicitud (acceso, rectificación, cancelación u oposición)
  • Canal por el que llegó
  • Fecha en que verificaste identidad
  • Fecha de respuesta
  • Acción realizada

Este registro es tu prueba ante la Superintendencia de Protección de Datos (SPD) de que cumpliste los plazos. Sin él, estás vulnerable a multas.

Solicitudes manifiestamente infundadas

A veces reciben solicitudes ARCO claramente maliciosas: alguien pide acceso a datos de terceros, o solicita lo mismo cinco veces en un mes. La ley permite rechazar solicitudes manifiestamente infundadas (artículo 22 de la Ley 21.719).

Pero atención: debes documentar muy bien por qué la rechazas. Ejemplos válidos:

  • La persona solicita datos que no están a su nombre.
  • Es la sexta solicitud idéntica en 30 días.
  • Solicita información que claramente no es datos personales.

Cuando rechaces, responde por escrito explicando el motivo. Nunca ignores la solicitud.

Errores comunes que generan multas

Estos son los principales problemas que vemos:

  • No responder a tiempo: Es el más grave. Las multas van de 50 a 5.000 UF si no cumples plazos.
  • Pedir datos innecesarios para verificar identidad: Genera actas de fiscalización inmediatas.
  • No tener registro de solicitudes: Imposible probar que respondiste en plazo.
  • Hacer formatos imposibles de acceder: Si la persona pide acceso a sus datos en PDF, no puedes entregarlos en papel ilegible. Debe ser inteligible.
  • Cobrar por responder: Es prohibido. La ley dice que es gratuito.
  • Ignorar solicitudes presenciales: Algunos las olvidan. Todas cuentan.

Conclusión: Automatiza tu cumplimiento

Un procedimiento ARCO claro reduce riesgo, ahorra tiempo y protege tu relación con clientes. La buena noticia es que no es complicado de implementar. Lo difícil es mantenerlo consistente en el tiempo, sobre todo si creces y reciben muchas solicitudes.

Aquí es donde PrivacTech te ayuda. Nuestra plataforma automatiza el registro de solicitudes, te avisa de plazos vencidos, genera respuestas según la ley y documentación completa para la SPD. En lugar de mantener una planilla Excel y un email caótico, tienes un proceso que funciona solo.

Si quieres saber si tu empresa cumple correctamente con la Ley 21.719, haz un análisis de protección de datos gratis en privactech.com. Te mostraremos exactamente qué te falta para estar seguro.

```