Derechos ARCO+ y Portabilidad: Lo que tu empresa debe garantizar

La Ley 21.719 no solo impone obligaciones a las empresas, sino que otorga a las personas un conjunto robusto de derechos sobre sus datos personales. El antiguo marco ARCO (Acceso, Rectificación, Cancelación, Oposición) se amplía significativamente con nuevos derechos que alinean a Chile con estándares internacionales. Si tu empresa trata datos personales, debe contar con procesos claros para responder a cada uno de estos derechos.

Los derechos tradicionales ARCO, reforzados

Derecho de Acceso

Todo titular puede solicitar y obtener una copia completa de los datos personales que una organización mantiene sobre él. La empresa debe informar qué datos tiene, con qué finalidad los trata, a quién los ha comunicado, su origen y el plazo de conservación. La respuesta debe entregarse dentro de un plazo razonable establecido por la ley.

Derecho de Rectificación

Permite al titular solicitar la modificación o actualización de datos personales que sean inexactos, incompletos o desactualizados. La empresa debe corregirlos sin demora y, si los datos fueron comunicados a terceros, notificar la rectificación a esos destinatarios.

Derecho de Supresión (antes Cancelación)

La ley reemplaza el concepto de «cancelación» por «supresión», incorporando un fuerte derecho al olvido. El titular puede exigir la eliminación de sus datos cuando ya no sean necesarios para la finalidad original, cuando retire su consentimiento, cuando se hayan tratado ilícitamente o cuando una obligación legal lo requiera. La supresión debe ser efectiva e irreversible.

Derecho de Oposición

El titular puede oponerse al tratamiento de sus datos en ciertos escenarios: cuando se usen para publicidad o marketing directo, para elaboración de perfiles, para análisis de comportamiento o cuando el tratamiento se base en interés legítimo del responsable. Al ejercer este derecho, la empresa debe cesar el tratamiento de inmediato, salvo que demuestre motivos legítimos imperiosos.

Los nuevos derechos incorporados por la Ley 21.719

Derecho de Portabilidad

Este derecho es completamente nuevo en la legislación chilena. El titular puede solicitar que sus datos personales le sean entregados en un formato estructurado, genérico y de uso común (por ejemplo, CSV, JSON o XML). Además, puede pedir que los datos sean transferidos directamente a otro responsable de datos, cuando sea técnicamente posible.

Implicaciones técnicas para tu empresa:

• Debes contar con sistemas capaces de exportar datos personales en formatos estándar e interoperables

• La exportación debe incluir todos los datos proporcionados directamente por el titular y los generados por su actividad

• No puedes cobrar por este servicio ni obstaculizar la migración del titular a otro proveedor

• Debes implementar APIs o mecanismos de transferencia directa entre plataformas cuando sea viable

Derecho de Bloqueo

Permite al titular solicitar la suspensión temporal del tratamiento de sus datos mientras se resuelve una solicitud de rectificación, supresión u oposición. Durante el bloqueo, los datos se mantienen almacenados pero no pueden ser procesados, consultados ni comunicados a terceros. Es un mecanismo de protección cautelar que evita daños irreversibles mientras se evalúa la solicitud.

Derecho frente a Decisiones Automatizadas

El titular puede oponerse a ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, incluyendo la elaboración de perfiles, cuando dichas decisiones produzcan efectos jurídicos o le afecten significativamente. La empresa debe proporcionar información sobre la lógica aplicada, los datos utilizados y las consecuencias previstas. Existen excepciones cuando la decisión automatizada es necesaria para ejecutar un contrato, está autorizada por ley o cuenta con el consentimiento expreso del titular.

Cómo implementar procesos de atención de derechos

1. Canal de recepción

Establece un canal accesible y claramente identificado para recibir solicitudes: un formulario web dedicado, una dirección de correo electrónico específica (por ejemplo, datos@tuempresa.cl) o un módulo en tu plataforma. El canal debe ser gratuito y fácil de usar.

2. Verificación de identidad

Antes de responder, verifica la identidad del solicitante para evitar entregas indebidas de datos personales a terceros no autorizados. Usa métodos proporcionados: no exijas más documentación de la necesaria.

3. Registro y trazabilidad

Registra cada solicitud con fecha de recepción, tipo de derecho ejercido, datos del solicitante, acciones tomadas y fecha de respuesta. Este registro es fundamental para demostrar cumplimiento ante la Agencia de Protección de Datos.

4. Plazos de respuesta

La ley establece plazos máximos para responder. El incumplimiento de estos plazos constituye una infracción leve sancionable con multas de hasta 5.000 UTM. Implementa alertas automáticas para evitar vencimientos.

5. Respuesta fundamentada

Si no puedes atender una solicitud (por ejemplo, si aplica una excepción legal), debes comunicar al titular los motivos de forma clara y fundamentada, informándole de su derecho a reclamar ante la Agencia.

Errores comunes que debes evitar

• No tener un canal visible: Si el titular no encuentra cómo ejercer sus derechos, ya estás incumpliendo el principio de transparencia

• Exigir requisitos excesivos: Solicitar notarización, comparecencia presencial o documentación innecesaria para atender solicitudes

• Ignorar o demorar respuestas: Cada solicitud no atendida en plazo es una infracción potencial

• No considerar la portabilidad desde el diseño: Si tus sistemas no pueden exportar datos en formatos estándar, el cumplimiento será costoso y reactivo

• Confundir supresión con anonimización: La supresión elimina los datos; la anonimización los transforma irreversiblemente. Son mecanismos distintos con requisitos diferentes

Recomendación: prepárate ahora

La entrada en vigencia de la Ley 21.719 en diciembre de 2026 no es una fecha lejana cuando se trata de rediseñar procesos internos, adaptar sistemas y capacitar equipos. Las empresas que implementen los mecanismos de atención de derechos ARCO+ con anticipación no solo evitarán sanciones, sino que generarán confianza y ventaja competitiva.

En StrixSoft ayudamos a empresas chilenas a diseñar e implementar los flujos técnicos y operativos para cumplir con los derechos de los titulares. Desde la arquitectura de datos hasta los formularios de solicitud y la integración con tus sistemas existentes. Agenda una consultoría gratuita para evaluar tu nivel de preparación.