Los derechos ARCO son el mecanismo por el cual un titular ejerce control sobre sus datos personales. La sigla cubre Acceso, Rectificación, Cancelación (eliminación) y Oposición, más los derechos modernos de Portabilidad y No ser objeto de decisiones automatizadas. La LOPDP los desarrolla en los artículos 11 al 21, y la atención inoportuna o el rechazo infundado constituyen infracciones sancionables.
Para una empresa mediana con unos cuantos miles de titulares (clientes + empleados + candidatos), recibir 5-20 solicitudes ARCO al año es razonable. Cada una debe atenderse en 15 días, con registro documentado. Este artículo describe el flujo operativo que hace eso viable sin que sea un proyecto improvisado cada vez.
Qué derechos cubre y en qué artículo están
| Derecho | Artículo LOPDP | Qué pide el titular |
|---|---|---|
| Acceso | Art. 13 | Conocer qué datos suyos tratan, con qué fin, a quién se comunican. |
| Rectificación y actualización | Art. 14 | Corregir datos inexactos o incompletos. |
| Eliminación | Art. 15 | Suprimir datos cuando ya no son necesarios o el consentimiento se revoca. |
| Oposición | Art. 16 | Oponerse al tratamiento por motivos particulares o por marketing directo. |
| Portabilidad | Art. 17 | Recibir los datos en formato estructurado y transferirlos a otro responsable. |
| Decisiones automatizadas | Art. 20 | No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos. |
Un canal público y accesible
Su empresa debe tener un canal explícito para recibir solicitudes ARCO. No sirve "escríbanos a info@". Las opciones típicas:
- Correo dedicado (ej.
derechos@[empresa].comodpd@[empresa].com). Fácil de montar, buena trazabilidad. - Formulario web en la sección de privacidad del sitio. Mejor experiencia para el titular, requiere desarrollo inicial.
- Dirección física alternativa. Menos usada pero la LOPDP la admite.
El canal debe estar publicado en el aviso de privacidad. Si el titular no puede encontrarlo fácilmente en su sitio o en el formulario donde dio consentimiento, la empresa ya empieza con un problema.
El flujo operativo en 4 etapas
Etapa 1: Recepción e identificación (día 1)
Cuando llega una solicitud, las primeras acciones deben tomar horas, no días:
- Asignar un ID único a la solicitud (ej. ARCO-2026-0142) y crear el expediente interno.
- Acusar recibo al titular dentro de 24-48 horas: mensaje automático o manual que confirme la recepción, el ID y el plazo estimado.
- Verificar la identidad del solicitante. La LOPDP exige verificación proporcional — no pida más documentación de la necesaria (cédula + confirmación del correo registrado suele alcanzar). Un exceso de requisitos puede ser una obstrucción del derecho.
- Clasificar el tipo de derecho solicitado. A veces el titular mezcla: "acceso y eliminación". Se procesan por separado.
Etapa 2: Búsqueda y análisis (días 2 al 10)
- Localizar todos los datos del titular en los sistemas. Aquí el RAT actualizado ahorra días: sabe qué actividades tratan datos de esa categoría de titulares, y dónde.
- Evaluar excepciones aplicables. El Art. 18 LOPDP prevé excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad — por ejemplo, cuando hay obligación legal que obliga a conservar, cuando los datos son necesarios para defensa de reclamos, o cuando afecta derechos de terceros. El derecho de acceso tiene excepciones más limitadas.
- Coordinar con áreas involucradas. Si la solicitud implica rectificar datos de RRHH, facturación y CRM a la vez, asignar responsables por área.
Etapa 3: Respuesta al titular (días 10 al 15)
- Redactar la respuesta formal. Debe incluir: ID de la solicitud, referencia al derecho ejercido, decisión (procede / procede parcialmente / no procede), fundamento cuando no procede, plazo de ejecución si procede, canal para apelar si el titular no está conforme.
- Notificar al titular por el mismo canal por el que llegó la solicitud.
- Ejecutar la decisión: entregar los datos en caso de acceso, rectificar los registros, eliminar o bloquear, etc.
- Notificar a destinatarios cuando corresponda. Si se rectificó un dato que ya había sido comunicado a otros responsables (proveedores, etc.), hay que notificarles la corrección.
Etapa 4: Archivo y métricas (día 15+)
- Archivar el expediente completo: solicitud original, verificación de identidad, decisión, respuesta enviada, evidencias de ejecución. Conservar al menos 3 años.
- Actualizar el registro de atención que su empresa lleva para responsabilidad demostrada.
- Revisar periódicamente los tiempos de respuesta. Si está llegando a 14 días de forma sistemática, el flujo tiene cuellos que hay que desatascar.
¿Su empresa ya tiene canal público para ARCO?
Si aún no, publíquelo en el aviso de privacidad y cree el correo dedicado esta semana. El checklist LOPDP tiene una categoría específica para verificar que el flujo ARCO está completo.
Evaluar con el checklistPlantilla de formulario de solicitud
Un formulario estandarizado simplifica la identificación del titular y la clasificación del derecho. Los campos que no pueden faltar:
- Nombres completos y cédula (o pasaporte si extranjero).
- Correo electrónico y teléfono de contacto.
- Dirección (opcional, para notificación física si aplica).
- Derecho que se ejerce (casilla única o múltiple: Acceso, Rectificación, Eliminación, Oposición, Portabilidad, No decisiones automatizadas).
- Descripción específica de la solicitud (qué dato, qué corrección, etc.).
- Documentación de soporte cuando aplique (ej. corrección requiere justificación).
- Firma del titular (electrónica o manuscrita).
- Opcional: autorización para respuesta por correo electrónico.
El registro de atención: la evidencia clave
La LOPDP exige responsabilidad demostrada. Un flujo que atiende ARCO pero no lo registra es un flujo sin evidencia — y sin evidencia, ante un requerimiento de la SPDP, es como si no existiera. El registro debe mantener:
| Campo | Contenido |
|---|---|
| ID de solicitud | Único, secuencial o con estructura (ARCO-YYYY-NNNN) |
| Fecha de recepción | Cuándo llegó la solicitud |
| Canal de recepción | Correo, formulario web, presencial |
| Tipo de derecho | Acceso / Rectificación / Eliminación / Oposición / Portabilidad / No decisiones automatizadas |
| Fecha de respuesta | Cuándo se respondió formalmente |
| Días de atención | Diferencia en días hábiles |
| Decisión | Procede / Procede parcial / No procede |
| Fundamento cuando no procede | Referencia al artículo LOPDP o excepción aplicada |
| Responsable de la atención | Nombre del DPD o del área que atendió |
| Archivo del expediente | Ruta o referencia al expediente completo |
Errores típicos y cómo evitarlos
- Silenciar la solicitud. No responder es la peor decisión: es infracción automática.
- Pedir documentación excesiva. Copia certificada de cédula + selfie + comprobante de domicilio para una solicitud de acceso es desproporcionado y puede calificarse como obstrucción del derecho.
- Rechazar por fuera de las excepciones del Art. 18. Las excepciones son cerradas. Un rechazo fundamentado en algo fuera de esa lista es infracción.
- Rectificar sin registrar. Cumplir el derecho pero sin dejar evidencia deja a su empresa sin defensa ante un reclamo del titular o un requerimiento de la SPDP.
- No notificar a destinatarios. Si rectificó un dato y no avisó a los proveedores que ya lo tenían, el dato viejo sigue circulando.
Preguntas frecuentes
¿El plazo de 15 días se cuenta en días hábiles o calendario?
La LOPDP dice "15 días" en el Art. 13 sin especificar. La interpretación dominante —y la adoptada por varias guías de la SPDP y por las políticas estándar del sector— es días hábiles. Para estar del lado seguro, trabaje con la interpretación más conservadora aplicable a su contexto y consúltelo con su DPD o abogado.
¿Puedo cobrar al titular por atender una solicitud ARCO?
El derecho de acceso es gratuito conforme al Art. 13. Para otros derechos puede haber cobros solo cuando la LOPDP o el Reglamento los permiten (ej. copias adicionales). En la práctica, la mayoría de empresas no cobra para evitar cualquier sospecha de obstrucción.
¿Qué hago si el titular pide eliminar datos que yo tengo obligación legal de conservar?
Responda formalmente que la solicitud no procede con fundamento en la excepción aplicable (ej. obligación legal del SRI de conservar información tributaria por X años) y cite la norma. Ofrezca alternativas: bloqueo del tratamiento más allá del uso indispensable, eliminación al cumplirse el plazo legal.
¿Puede el titular autorizar a un representante?
Sí. El Art. 6 del Reglamento General permite ejercicio por representante legal con acreditación. Pida poder especial o autorización firmada con identificación de ambos.
¿Cuántos días puedo prorrogar?
Hasta 15 días adicionales en casos complejos (volumen de datos, múltiples áreas involucradas, necesidad de consulta legal). La prórroga debe notificarse al titular antes del vencimiento del plazo original, con fundamento.
Conclusión
Atender ARCO en 15 días es posible con un flujo de cuatro etapas, un canal público, un formulario estandarizado y un registro de atención. El cuello de botella no es la regulación — es la falta de proceso interno. La primera solicitud pilla a la mitad de las empresas por sorpresa; la décima ya está en piloto automático.
Si quiere auditar su flujo antes de que llegue la próxima solicitud, empiece por el checklist LOPDP. Si su empresa procesa verificación de antecedentes y quiere integrar ARCO de forma nativa, agende una demo — la plataforma permite gestionar consentimiento y solicitudes por titular desde un solo panel.