Cómo responder una solicitud ARCO en 30 días

Resumen. La Ley 21.719 obliga al responsable del tratamiento a responder cada solicitud ARCO en un plazo máximo de 30 días corridos desde la recepción, prorrogable por otros 30 en casos complejos. Cumplir el plazo no basta: la respuesta debe identificar al titular, analizar la procedencia, ejecutar la acción cuando corresponde y dejar registro para una eventual auditoría de la Agencia de Protección de Datos Personales. Esta guía describe el procedimiento operativo y los errores que más cuestan.

Qué activa el reloj

El plazo de 30 días corre desde el momento en que la organización recibe la solicitud por cualquier canal autorizado: formulario web, correo a la casilla del responsable de datos, presentación presencial. El reloj no espera a que la solicitud llegue al área correcta —parte cuando ingresa a la organización.

Por eso conviene centralizar el canal. Una solicitud que entra por una casilla genérica y demora una semana en llegar al Delegado de Protección de Datos pierde una cuarta parte del plazo antes de que comience el análisis. Un canal único y trazable evita ese costo.

Los seis pasos del procedimiento

1. Recepción y registro

Cada solicitud queda registrada en el momento de ingreso con:

  • Identificación de la persona solicitante.
  • Tipo de derecho ejercido —acceso, rectificación, cancelación, oposición, portabilidad, información o no ser objeto de decisiones automatizadas.
  • Datos personales sobre los que el titular solicita actuar.
  • Canal de recepción y fecha y hora exactas.
  • Acuse de recibo emitido al solicitante.

El acuse de recibo debe salir el mismo día. Sin acuse, el solicitante reclama ante la APDP por silencio antes de que venza el plazo de fondo.

2. Verificación de identidad

El responsable verifica que la persona que solicita es titular de los datos o representante con poder suficiente. La verificación debe ser proporcional al riesgo: pedir cédula de identidad escaneada para una solicitud de acceso simple equivale a una barrera abusiva; pedir validación adicional cuando los datos comprometidos son sensibles (salud, biométricos) corresponde.

Documente cada paso de la verificación. La APDP examina esta etapa con cuidado, porque tanto la falta como el exceso constituyen infracción.

3. Análisis de procedencia

Tres preguntas guían el análisis:

  • ¿La organización trata los datos del solicitante? Si la respuesta es no, la respuesta es informar esa circunstancia.
  • ¿El derecho ejercido procede sobre el tipo de tratamiento? El derecho de cancelación, por ejemplo, no procede si existe obligación legal de conservar los datos —contratos, registros tributarios, archivos laborales.
  • ¿Existe alguna excepción aplicable? La ley prevé excepciones para investigaciones, intereses legítimos prevalentes, conservación por mandato legal.

El análisis termina con una decisión: procede, procede parcialmente o no procede. Cualquiera sea, debe ir fundada por escrito y en lenguaje claro.

4. Ejecución

Si la solicitud procede, la organización ejecuta:

  • Acceso: entrega los datos en formato comprensible, junto con información sobre finalidades, categorías de destinatarios y plazo de conservación.
  • Rectificación: corrige el dato inexacto o completa el incompleto, y notifica la rectificación a los destinatarios que recibieron los datos previamente.
  • Cancelación: suprime los datos cuando procede, y notifica la supresión a los destinatarios.
  • Oposición: detiene el tratamiento sobre el que el titular se opone.
  • Portabilidad: entrega los datos en formato estructurado y de lectura mecánica.

La ejecución se documenta. La APDP, ante un reclamo, pide la evidencia de la acción concreta —no basta con la carta de respuesta.

5. Respuesta al titular

La respuesta sale por escrito, en lenguaje claro y accesible. Contiene:

  • Identificación de la solicitud y del solicitante.
  • Decisión adoptada y fundamento legal.
  • Detalle de la acción ejecutada cuando proceda.
  • Información sobre el derecho a reclamar ante la APDP si el solicitante discrepa.
  • Firma y fecha.

Una plantilla por tipo de derecho ahorra tiempo, pero adáptela al caso concreto. Una respuesta plantilla sin ajuste lee como un trámite, no como una decisión razonada.

6. Registro y conservación

Cada solicitud, su análisis y su respuesta quedan en el expediente. La conservación cubre al menos cinco años desde la fecha de respuesta —plazo análogo al de la prescripción de las infracciones bajo la Ley 21.719. El registro permite responder a una auditoría APDP o a un reclamo posterior.

La prórroga de 30 días

La ley admite una prórroga de hasta otros 30 días en casos complejos:

  • Solicitudes que afectan grandes volúmenes de datos.
  • Acceso que requiere localizar registros en sistemas heredados.
  • Análisis que involucra varios responsables conjuntos.

La prórroga necesita justificación por escrito y notificación al solicitante antes del vencimiento del plazo original. Una prórroga sin notificación equivale a silencio.

Errores frecuentes

La curva GDPR europea (vigente desde 2018) muestra los errores que las autoridades sancionan con más frecuencia. Aplicables al contexto chileno:

  1. Silencio. No responder en plazo. El silencio es la infracción más común y la más visible para el regulador.
  2. Verificación abusiva. Pedir más identificación de la que el caso justifica. La barrera de entrada se trata como denegación encubierta.
  3. Respuesta genérica. Plantilla sin adaptar al caso concreto. El titular reclama y la APDP confirma la infracción.
  4. Ejecución incompleta. Responder afirmativamente pero no ejecutar realmente la acción —rectificar el dato en una base pero no en otra.
  5. Falta de notificación a destinatarios. Cuando la ley obliga a notificar a quienes recibieron los datos, la omisión es infracción separada.
  6. Conservación insuficiente. Cinco años después de la respuesta, la auditoría APDP pide el expediente y la organización no lo tiene.

La conexión con el canal de denuncias

Una organización que ya cuenta con un canal de denuncias funcional tiene resuelta gran parte de la infraestructura para gestionar solicitudes ARCO. Comparten requisitos: recepción confidencial, trazabilidad, plazos automatizados, evidencia firmada, registro inmutable. La diferencia está en las categorías de hecho y en las plantillas de respuesta.

Por eso el bundle Canal + ARCO integra ambos módulos sobre el mismo substrato técnico, con un solo precio público —UF 5 / mes + IVA— y un solo equipo de soporte. Para el panorama regulatorio completo, revise la guía sobre Ley 21.719.

Preguntas frecuentes

¿Desde cuándo corre el plazo de 30 días? Desde el momento en que la organización recibe la solicitud por cualquier canal autorizado, no desde el momento en que llega al área correcta.

¿Cuándo procede la prórroga de 30 días adicionales? En casos complejos —grandes volúmenes, sistemas heredados, múltiples responsables. La prórroga se justifica por escrito y se notifica al solicitante antes del vencimiento del plazo original.

¿Qué pasa si no respondo en plazo? El solicitante reclama ante la APDP. El silencio configura infracción. Durante los primeros doce meses de vigencia (hasta el 1 de diciembre de 2027), las Pymes reciben solo amonestación escrita; las empresas grandes pueden recibir multa.

¿Debo verificar la identidad del solicitante? Sí, en forma proporcional al riesgo. Para acceso simple, basta con una identificación razonable. Para datos sensibles, exija validación adicional.

¿Puede un tercero presentar una solicitud por el titular? Sí, con poder específico para ejercer derechos de protección de datos. El responsable verifica la representación antes de proceder.

¿La respuesta debe ser escrita? Sí. La forma escrita es exigible para acreditar cumplimiento y para que el solicitante pueda ejercer su derecho a reclamar si discrepa.

¿Cuánto tiempo conservo el expediente? Al menos cinco años desde la fecha de respuesta. El plazo se alinea con la prescripción de infracciones bajo la Ley 21.719.


Fuentes citadas

  • BCN — Ley N° 21.719 sobre Protección de Datos Personales.
  • Comisión Europea — patrones de fiscalización GDPR 2018–2024 como referencia.

Este artículo orienta de manera general y no constituye asesoría legal. Para una conversación sobre el procedimiento ARCO en su organización, contáctenos o revise nuestra solución para protección de datos.

Última revisión: 6 de junio de 2026 · Equipo Legal Anguita Osorio Abogados