⚖️ Derechos

Derechos ARCO en Chile: Guía Práctica para Empresas (Ley 21.719)

12 min de lectura

¿Qué son los derechos ARCO?

Los derechos ARCO en Chile son un conjunto de facultades que la Ley 21.719 reconoce a toda persona natural (titular de datos) para controlar cómo las organizaciones recopilan, almacenan y utilizan su información personal. ARCO es el acrónimo de Acceso, Rectificación, Cancelación y Oposición, los cuatro derechos fundamentales que permiten a los ciudadanos ejercer un control efectivo sobre sus datos personales.

Pero la Ley 21.719 va más allá del modelo ARCO tradicional. Chile adoptó un enfoque ampliado que incorpora dos derechos adicionales: Portabilidad y Bloqueo. En la práctica, hablamos de derechos ARCO+P+B, un paquete de seis derechos que toda empresa que trate datos personales en Chile debe estar preparada para gestionar.

¿Por qué son importantes los derechos ARCO para tu empresa?

Desde el 1 de diciembre de 2026, cualquier persona puede ejercer sus derechos ARCO frente a tu organización. Si no tienes un canal habilitado, procesos definidos o no respondes dentro del plazo legal de 15 días hábiles, tu empresa se expone a:

  • Reclamos ante la Agencia de Protección de Datos Personales.
  • Multas que van desde 100 UTM (~$7.150.600 CLP) por infracciones leves hasta 5.000 UTM (~$357.530.000 CLP) por infracciones graves.
  • Daño reputacional: un titular insatisfecho puede hacer pública su experiencia.

No gestionar adecuadamente los derechos ARCO no es solo un riesgo legal: es un riesgo operacional y de imagen para cualquier negocio.

---

Los 6 derechos ARCO+P+B explicados uno a uno

A continuación desglosamos cada uno de los derechos ARCO en Chile según la Ley 21.719, con ejemplos prácticos para que entiendas exactamente qué puede pedirte un titular y cómo debes responder.

1. Derecho de Acceso (Art. 5°)

El derecho de acceso permite a cualquier persona solicitar a una organización que le confirme si está tratando sus datos personales y, en caso afirmativo, obtener una copia de ellos junto con información complementaria.

¿Qué debe incluir tu respuesta?
  • Confirmación de si se tratan o no datos del titular.
  • Una copia de los datos personales en un formato comprensible.
  • Las finalidades del tratamiento.
  • Las categorías de datos tratados.
  • Los destinatarios a quienes se han comunicado los datos.
  • El plazo previsto de conservación.
  • La existencia de decisiones automatizadas, incluido el perfilamiento.
Ejemplo práctico: Un ex cliente de tu tienda online te envía un correo solicitando saber qué datos personales tienes sobre él. Debes entregarle un informe detallado con su nombre, correo, historial de compras, dirección de envío y cualquier otro dato asociado a su cuenta, junto con la información sobre para qué usas esos datos y por cuánto tiempo los conservarás.

2. Derecho de Rectificación (Art. 6°)

El derecho de rectificación faculta al titular para exigir la corrección de datos personales inexactos, incompletos o desactualizados.

¿Cuándo aplica?
  • El titular cambió de domicilio y la empresa tiene la dirección antigua.
  • El nombre está mal escrito en los registros.
  • La información de contacto (teléfono, email) ya no es vigente.
  • Datos profesionales desactualizados (cargo, empresa).
Ejemplo práctico: Una clienta de tu consultora de RRHH te informa que su apellido cambió tras el matrimonio y que su cargo actual es "Gerenta de Operaciones", no "Analista" como figura en tu base de datos. Debes actualizar ambos campos y confirmarle por escrito que la rectificación fue realizada.

> 💡 Tip: La rectificación debe propagarse a todos los sistemas y bases de datos donde se encuentren los datos incorrectos. No basta con corregir solo un registro si la información inexacta está replicada en CRM, listas de correo y bases de facturación.

3. Derecho de Cancelación / Supresión (Art. 7°)

El derecho de cancelación —también llamado derecho de supresión o "derecho al olvido"— permite al titular solicitar la eliminación de sus datos personales cuando:

  • Los datos ya no son necesarios para la finalidad para la que fueron recopilados.
  • El titular retira el consentimiento que servía de base para el tratamiento.
  • Los datos fueron tratados ilícitamente.
  • Debe cumplirse una obligación legal de supresión.
¿Cuándo NO puedes eliminar los datos?

La cancelación tiene excepciones. No puedes eliminar datos cuando:

  • Existe una obligación legal de conservación (por ejemplo, datos tributarios que deben guardarse por 6 años según el Código Tributario).
  • Los datos son necesarios para ejercer o defender reclamaciones judiciales.
  • Existen razones de interés público en el ámbito de la salud pública.
Ejemplo práctico: Un usuario de tu plataforma SaaS cancela su suscripción y te pide que elimines todos sus datos. Debes suprimir sus datos personales de marketing, perfilamiento y analítica, pero puedes conservar los datos de facturación durante el período legalmente exigido.

4. Derecho de Oposición (Art. 8°)

El derecho de oposición permite al titular negarse a que sus datos personales sean tratados en determinadas situaciones, especialmente cuando el tratamiento se basa en interés legítimo del responsable o se utiliza para fines de marketing directo.

Casos típicos de oposición:
  • El titular no quiere recibir más correos de marketing.
  • Oposición al perfilamiento con fines publicitarios.
  • Negativa al tratamiento basado en interés legítimo cuando la situación particular del titular prevalece.
Ejemplo práctico: Un usuario de tu e-commerce te escribe diciendo que no quiere que utilices su historial de navegación para enviarle publicidad personalizada. Debes dejar de tratar sus datos con esa finalidad de forma inmediata y confirmarle la acción realizada.

> ⚠️ Importante: Cuando la oposición se refiere a marketing directo, la empresa debe cesar el tratamiento sin excepciones. No hay evaluación de proporcionalidad ni ponderación de intereses: el derecho del titular es absoluto en este contexto.

5. Derecho de Portabilidad (Art. 9°)

El derecho de portabilidad es una novedad introducida por la Ley 21.719 en Chile. Permite al titular solicitar que sus datos personales sean entregados en un formato estructurado, de uso común y lectura mecánica, y que se transmitan directamente a otro responsable del tratamiento cuando sea técnicamente posible.

Requisitos para que aplique la portabilidad:
  • El tratamiento se basa en consentimiento o en la ejecución de un contrato.
  • El tratamiento se efectúa por medios automatizados.
¿Qué formato usar?

La ley no especifica un formato único, pero los estándares de la industria son:

| Formato | Uso típico |

|---|---|

| CSV | Tablas de datos, listados de clientes |

| JSON | Datos estructurados de aplicaciones web |

| XML | Intercambio de datos entre sistemas empresariales |

| PDF | No recomendado — no permite lectura mecánica fácil |

Ejemplo práctico: Un usuario quiere migrar de tu plataforma de gestión de proyectos a una competidora. Te solicita portabilidad y debes entregarle un archivo JSON o CSV con todos sus datos personales (perfil, historial de actividad, configuraciones) para que pueda importarlos en el otro servicio.

6. Derecho de Bloqueo (Art. 7° bis)

El derecho de bloqueo permite al titular solicitar la suspensión temporal del tratamiento de sus datos personales. Los datos no se eliminan, pero no pueden utilizarse mientras dure el bloqueo.

¿Cuándo aplica el bloqueo?
  • El titular impugna la exactitud de los datos (bloqueo mientras se verifica).
  • El titular se opone al tratamiento y se está evaluando si la oposición procede.
  • Los datos ya no son necesarios para el responsable, pero el titular los necesita para reclamaciones legales.
  • El tratamiento es ilícito y el titular prefiere bloqueo en vez de supresión.
Ejemplo práctico: Un empleado desvinculado impugna los datos de su evaluación de desempeño que tu empresa conserva. Mientras revisas la exactitud de esos datos, debes bloquearlos: siguen en tu sistema pero no pueden ser consultados ni utilizados para ninguna finalidad.

---

El plazo de 15 días hábiles: cómo no fallar

La Ley 21.719 establece que toda solicitud de derechos ARCO debe ser respondida dentro de 15 días hábiles contados desde la recepción de la solicitud. Este plazo es improrrogable como regla general, aunque existe una excepción:

Prórroga excepcional

En casos de especial complejidad (por ejemplo, cuando la solicitud involucra grandes volúmenes de datos o múltiples sistemas), el responsable puede extender el plazo por 15 días hábiles adicionales (total: 30 días hábiles). Para esto debe:

  • Notificar al titular antes de que venza el plazo original de 15 días.
  • Explicar los motivos de la prórroga.
  • Indicar el nuevo plazo máximo de respuesta.

¿Qué pasa si no respondes a tiempo?

Si la organización no responde dentro de plazo, o si el titular no está conforme con la respuesta, el titular puede interponer un reclamo ante la Agencia de Protección de Datos Personales. La Agencia investigará y, si determina que hubo incumplimiento, puede imponer sanciones que van desde amonestaciones hasta multas de hasta 5.000 UTM (~$357,5 millones CLP) para infracciones graves.

Cronología de una solicitud ARCO bien gestionada

| Día | Acción |

|---|---|

| Día 0 | Recepción de la solicitud + acuse de recibo inmediato |

| Día 1-3 | Verificación de identidad del solicitante |

| Día 3-5 | Localización de los datos en todos los sistemas |

| Día 5-10 | Preparación de la respuesta (informe, corrección, supresión, etc.) |

| Día 10-13 | Revisión legal de la respuesta |

| Día 14-15 | Envío de la respuesta formal al titular |

---

Cómo implementar un canal ARCO en tu empresa

No basta con publicar un correo genérico de contacto. Un canal ARCO eficiente debe cumplir con varios requisitos para ser conforme a la Ley 21.719:

Requisitos del canal

  • Accesible y visible: Debe estar publicado en tu política de privacidad y ser fácilmente localizable en tu sitio web.
  • Gratuito: No puedes cobrar al titular por ejercer sus derechos (salvo solicitudes manifiestamente infundadas o excesivas).
  • Verificable: Debe permitir verificar la identidad del solicitante para evitar entregas de datos a terceros no autorizados.
  • Trazable: Cada solicitud debe quedar registrada con fecha, hora, tipo de derecho ejercido, datos del solicitante y estado de la gestión.
  • Con acuse de recibo: El titular debe recibir confirmación de que su solicitud fue recibida.

Opciones de implementación

| Opción | Ventajas | Desventajas |

|---|---|---|

| Correo electrónico dedicado (ej: arco@tuempresa.cl) | Simple de implementar | Difícil de rastrear; sin trazabilidad automática; riesgo de que se pierdan solicitudes |

| Formulario web | Más estructurado; permite campos obligatorios | Requiere desarrollo; no genera flujo de trabajo automático |

| Portal ARCO automatizado (datOK) | Trazabilidad completa; flujos automáticos; cumplimiento de plazos; evidencia para la Agencia | Requiere suscripción a plataforma |

Plantilla de respuesta: Solicitud de Acceso

A continuación, un modelo de respuesta para una solicitud de acceso que puedes adaptar:

Asunto: Respuesta a su solicitud de acceso a datos personales — [Nombre Empresa] Estimado/a [Nombre del Titular]: En relación con su solicitud de acceso a datos personales recibida el [fecha], le informamos que [Nombre Empresa], en calidad de responsable del tratamiento, ha procedido a verificar su identidad y a localizar sus datos personales en nuestros sistemas. Le confirmamos que tratamos los siguientes datos personales asociados a su persona: [Tabla o listado con categorías de datos, datos específicos, finalidades, bases de licitud, plazos de conservación y destinatarios] Los datos adjuntos se entregan en formato [CSV/PDF] para su revisión. Si tiene consultas adicionales o desea ejercer otro derecho (rectificación, cancelación, oposición, portabilidad o bloqueo), puede contactarnos a través de este mismo canal. Atentamente, [Nombre del responsable o DPO] [Nombre Empresa]

---

Errores comunes al gestionar derechos ARCO

Tras analizar las prácticas de decenas de empresas chilenas, estos son los errores más frecuentes que generan reclamos ante la Agencia y exposición a multas:

1. No tener un canal definido

Muchas empresas simplemente no tienen un canal ARCO publicado. Los titulares envían solicitudes a correos genéricos (info@, ventas@) que nadie monitorea. Resultado: plazo vencido, reclamo ante la Agencia.

2. No verificar la identidad del solicitante

Entregar datos personales a alguien que no es el titular puede constituir una vulneración de datos notificable. Siempre verifica la identidad antes de responder.

3. Responder fuera de plazo

15 días hábiles pasan rápido, especialmente cuando la solicitud requiere buscar datos en múltiples sistemas. Sin automatización, el incumplimiento de plazos es casi inevitable.

4. Respuestas incompletas

Responder parcialmente —por ejemplo, entregar solo algunos datos del titular en una solicitud de acceso— equivale a no cumplir con el derecho. La respuesta debe ser completa y exhaustiva.

5. No documentar la gestión

Si la Agencia te fiscaliza, necesitas demostrar que gestionaste cada solicitud conforme a la ley: fechas, verificaciones, respuestas, decisiones. Sin documentación, no hay evidencia de cumplimiento.

6. Confundir cancelación con bloqueo

Son derechos distintos. La cancelación elimina los datos permanentemente; el bloqueo los suspende temporalmente. Ejecutar uno cuando el titular pidió el otro es un incumplimiento.

7. Ignorar la portabilidad

Muchas empresas no están preparadas técnicamente para entregar datos en formatos estructurados (CSV, JSON). Cuando llega una solicitud de portabilidad, improvisan y entregan PDFs escaneados, lo que no cumple con el requisito legal.

---

Automatiza la gestión ARCO con datOK

Gestionar solicitudes ARCO manualmente —con planillas Excel, correos y carpetas compartidas— es una receta para el incumplimiento. Los plazos se vencen, las solicitudes se pierden y no queda evidencia auditable.

datOK resuelve esto con un portal ARCO automatizado que incluye:
  • Formulario público personalizable que se integra en tu sitio web con un enlace o widget.
  • Verificación de identidad del solicitante integrada en el flujo.
  • Flujo de trabajo automático que asigna la solicitud al responsable interno, con alertas de plazo.
  • Plantillas de respuesta pre-redactadas para cada tipo de derecho (acceso, rectificación, cancelación, oposición, portabilidad y bloqueo).
  • Registro de auditoría completo con timestamps, acciones y documentos adjuntos — tu evidencia ante la Agencia.
  • Dashboard de seguimiento donde ves todas las solicitudes abiertas, en proceso y cerradas con sus plazos.

Lo mejor: datOK tiene un plan gratuito diseñado para PYMEs que necesitan cumplir con la ley sin presupuesto de consultoría.

Configura tu portal ARCO gratis en datok.cl →

---

Conclusión

Los derechos ARCO en Chile no son un concepto teórico: son obligaciones concretas y exigibles que toda empresa debe estar preparada para gestionar desde el 1 de diciembre de 2026. La Ley 21.719 amplió los derechos tradicionales de Acceso, Rectificación, Cancelación y Oposición con la Portabilidad y el Bloqueo, y los respaldó con una autoridad fiscalizadora con facultades sancionatorias reales.

El plazo de 15 días hábiles es estricto. Los titulares tienen derecho a reclamar ante la Agencia si no respondes a tiempo, y las multas pueden alcanzar los $357,5 millones de pesos para infracciones graves.

La clave está en la preparación: implementa un canal ARCO accesible y trazable, define procesos internos claros, capacita a tu equipo y automatiza la gestión con herramientas como datOK para garantizar cumplimiento sin fricciones.

Comienza gratis en datok.cl →

❓ Preguntas Frecuentes

¿Listo para cumplir la Ley 21.719?

datOK te guía paso a paso. Registra tratamientos, gestiona derechos ARCO, notifica brechas y más. Plan gratuito disponible.

Crear cuenta gratis

📖 Artículos Relacionados