Cómo estructurar un canal de comunicación con titulares de datos
Tener una política de privacidad y un inventario de datos es necesario — pero insuficiente. La conformidad con la Ley 21.719 se prueba en el momento en que un titular de datos ejerce sus derechos. Es ahí donde la estructura operacional de su organización es puesta a prueba: ¿tiene un canal? ¿Funciona? ¿Responde en plazo? ¿Puede localizar los datos del solicitante?
La Ley 21.719 — publicada el 13 de diciembre de 2024 y con vigencia a partir del 1° de diciembre de 2026 — consagra el conjunto de derechos ARCO+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Bloqueo y Decisiones Automatizadas) como derechos fundamentales de los titulares. El canal del titular es el punto de mayor exposición al riesgo operacional de cumplimiento.
Esta guía explica cómo estructurar un canal efectivo: qué exige la ley, cómo operacionalizarlo, cómo verificar la identidad del solicitante y cómo integrarlo con sus procesos internos.
Qué exige la Ley 21.719 sobre el canal de atención
La Ley 21.719 no especifica el formato técnico del canal, pero los siguientes artículos hacen obligatoria su existencia:
Título II (ARCO+): El ejercicio de los derechos se realiza mediante solicitud formal del titular o su representante legal al responsable del tratamiento — lo que exige un canal formal de recepción.
Plazo de 30 días: El responsable debe dar respuesta en un plazo máximo de 30 días desde la recepción de la solicitud. Si no puede responder en ese plazo por la complejidad del requerimiento, debe informar al titular el motivo y el plazo adicional razonable que utilizará.
Gratuidad: El ejercicio de los derechos es gratuito — el canal no puede cobrar por el procesamiento de la solicitud.
Art. 8 bis (Decisiones automatizadas): El titular tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o igualmente significativos — lo que exige un proceso específico de atención para este tipo de solicitud.
Delegado de Protección de Datos: Cuando la organización ha designado un Delegado, su información de contacto debe estar publicada de forma clara y accesible — el Delegado es formalmente uno de los canales de atención al titular.
El papel del Delegado de Protección de Datos en la atención al titular
El Delegado de Protección de Datos no es solo quien atiende a los titulares — es el puente formal entre el titular, la organización y la Agencia de Protección de Datos Personales.
El Delegado debe:
- Recibir y gestionar las solicitudes de los titulares y adoptar providencias
- Recibir comunicaciones de la Agencia y adoptar las medidas correspondientes
- Orientar a colaboradores sobre protección de datos
- Tener su identidad y contacto publicados en lugar destacado y fácilmente accesible en el sitio web
- Comunicarse con los titulares de forma clara y comprensible, en lenguaje no técnico
- No acumular funciones con conflicto de interés — el Delegado no puede ser simultáneamente responsable de definir los medios y finalidades del tratamiento
Cómo estructurar el canal: 8 elementos esenciales
1. Canal de entrada público e identificado
El canal debe ser fácilmente localizable en el sitio web de la organización. Buenas prácticas:
- Email dedicado:
titular@empresa.cloprivacidad@empresa.cl - Formulario web específico para solicitudes de titulares (no el formulario genérico de contacto)
- Enlace visible en la política de privacidad y en el pie de página del sitio
2. Protocolo automático para cada solicitud
Al recibir una solicitud, el sistema debe:
- Generar un número de protocolo único y comunicarlo inmediatamente al titular
- Registrar la fecha de ingreso (inicio del cómputo del plazo de 30 días)
- Enviar confirmación al titular informando el plazo de respuesta
3. Capacidad de recibir todos los tipos de solicitud ARCO+
El canal debe soportar todos los derechos del Título II de la Ley 21.719:
- Acceso — saber qué datos son tratados y obtener copia (Art. 5)
- Rectificación — corregir datos inexactos o incompletos (Art. 6)
- Cancelación/Supresión — solicitar la eliminación de datos (Art. 7)
- Oposición — oponerse al tratamiento en determinadas circunstancias (Art. 8)
- Portabilidad — recibir los datos en formato estructurado e interoperable (Art. 9)
- Bloqueo — suspensión temporal del tratamiento (Art. 8 ter)
- Decisiones automatizadas — impugnar decisiones basadas únicamente en tratamiento automatizado (Art. 8 bis)
El formulario debe permitir al titular seleccionar el tipo de derecho que desea ejercer — esto agiliza el enrutamiento interno y la elaboración de la respuesta.
4. Verificación de identidad
Antes de responder cualquier solicitud, es obligatorio verificar que el solicitante sea realmente el titular o su representante legal. Responder sin verificar puede exponer datos de una persona a otra — lo que constituye una violación más grave que no responder.
Principio: El método de verificación debe ser proporcional al riesgo — solicitudes de acceso simple requieren verificación menor; solicitudes de supresión de datos sensibles requieren verificación más rigurosa.
Métodos recomendados (del menos al más riguroso):
| Método | Adecuado para |
|---|---|
| Cruce de datos ya conocidos (RUT, fecha de nacimiento, número de contrato) | Solicitudes de acceso simple |
| Código de verificación enviado al email o teléfono ya registrado | Acceso y rectificación |
| Autenticación de dos factores | Portabilidad, supresión de datos comunes |
| Documento de identificación | Supresión de datos sensibles, volúmenes grandes |
| Selfie con documento | Casos de mayor riesgo o sospecha de fraude |
Regla importante: No solicite documentos que su organización no posea en el registro. Si nunca recopiló número de pasaporte, no lo exija para verificar identidad.
Representantes legales: Exigir documentación de la representación (poder notarial, sentencia de tutela o curatela).
5. Enrutamiento interno de la solicitud
Tras la verificación, la solicitud debe enviarse a los responsables internos correctos:
- Solicitud de acceso: Delegado + área de TI (localización de datos en los sistemas)
- Solicitud de rectificación: Delegado + área responsable de la actividad de tratamiento
- Solicitud de supresión: Delegado + TI + Jurídico (evaluar obligación legal de conservación)
- Oposición al tratamiento: Delegado + Marketing/CRM (cesar tratamientos, retirar de listas)
- Portabilidad: Delegado + TI (extraer datos en formato estructurado e interoperable)
- Decisiones automatizadas: Delegado + área de negocio + TI (revisión humana del proceso)
6. Integración con el RAT y el inventario de datos
El canal del titular y el Registro de Actividades de Tratamiento (RAT) son sistemas interdependientes. Sin el RAT actualizado, es imposible:
- Localizar dónde están todos los datos de ese titular (qué sistemas, qué departamentos)
- Identificar todos los terceros que deben ser notificados en caso de rectificación o supresión
- Verificar qué plazos de conservación aplican a los datos solicitados para supresión
- Responder con precisión las solicitudes de información sobre comunicación de datos
Flujo integrado ideal:
1. Titular envía solicitud → protocolo automático enviado
2. Verificación de identidad
3. Solicitud clasificada por tipo (ARCO+)
4. RAT consultado: ¿dónde están los datos? ¿Con quién fueron comunicados?
5. Verificación de conservación: ¿hay obligación legal que impida la supresión?
6. Respuesta elaborada por el Delegado + área responsable
7. Respuesta enviada al titular (dentro de 30 días)
8. Registro actualizado en el log de solicitudes
9. Si rectificación o supresión: terceros notificados
7. Registro de solicitudes ARCO+
Mantener un registro completo de todas las solicitudes recibidas es fundamental para demostrar cumplimiento ante la Agencia de Protección de Datos Personales en una eventual fiscalización.
Campos mínimos por registro:
| Campo | Descripción |
|---|---|
| Número de protocolo | Identificador único |
| Fecha de recepción | Inicio del plazo de 30 días |
| Canal de entrada | Web, email, teléfono |
| Tipo de derecho solicitado | Cuál de los 7 tipos ARCO+ |
| Datos del solicitante | Nombre, email, RUT (para verificación) |
| Estado de la verificación de identidad | Confirmada / pendiente / denegada |
| Estado de la solicitud | Recibida / en análisis / respondida / denegada |
| Fecha de la respuesta | ¿Dentro del plazo? |
| Justificación de denegación | Si aplica, con fundamento legal |
| Responsable interno | Quién procesó la solicitud |
Conservación de los registros: Mínimo de 5 años (alineado con la prescripción general para acciones civiles y administrativas).
8. SLAs internos por debajo del plazo legal
El plazo legal es de 30 días corridos. Para garantizar el cumplimiento, defina SLAs internos menores:
- Confirmación de recepción + protocolo: inmediata (automática)
- Verificación de identidad: hasta 3 días hábiles
- Localización de datos en los sistemas: hasta 7 días hábiles
- Elaboración y revisión de la respuesta: hasta 20 días corridos
- Envío al titular: hasta 25 días corridos (margen de seguridad)
Qué ocurre si el canal no funciona
Vía Agencia: El titular que no obtuvo respuesta puede presentar reclamación ante la Agencia de Protección de Datos Personales. La Agencia analiza estas reclamaciones y puede iniciar procedimientos sancionadores.
Sanciones (Ley 21.719): Las infracciones pueden clasificarse como leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) o gravísimas (hasta 20.000 UTM — o hasta 2-4% de los ingresos anuales en caso de reincidencia de grandes empresas).
Responsabilidad civil: El daño causado al titular por incumplimiento de la Ley 21.719 genera obligación de reparación.
Herramientas para gestión de solicitudes ARCO+
| Tipo | Características |
|---|---|
| Plataformas especializadas en Ley 21.719 | Formulario configurable, protocolo automático, control de plazo, registro de solicitudes, integración con RAT |
| Plataformas globales | Canal del titular con marca personalizada, verificación de identidad integrada, búsqueda automatizada en sistemas, soporte a Ley 21.719 + GDPR + LGPD |
| Modelo simplificado (pymes) | Email dedicado + planilla de control: válido para organizaciones con bajo volumen de solicitudes; exige proceso manual bien definido y disciplina de plazo |
Para organizaciones con alto volumen de solicitudes o datos en múltiples sistemas, las herramientas especializadas reducen drásticamente el tiempo de atención y el riesgo de error operacional.
Checklist para estructurar su canal del titular
- Canal público identificado en el sitio (email o formulario)
- Contacto e identidad del Delegado de Protección de Datos publicados de forma accesible
- Sistema de protocolo automático al recibir solicitud
- Formulario con selección del tipo de derecho ARCO+ solicitado
- Proceso de verificación de identidad definido por tipo de solicitud
- Flujo interno de enrutamiento documentado (quién recibe, quién procesa, quién responde)
- Integración con el RAT para localización de datos
- Registro de solicitudes con todos los campos necesarios
- SLAs internos definidos por debajo del plazo legal de 30 días
- Proceso para notificar terceros en caso de rectificación/supresión
- Capacitación del equipo sobre cómo procesar cada tipo de solicitud
Conclusión
Un canal del titular no es un formulario web — es un proceso. Comienza en el momento en que llega la solicitud, recorre verificación de identidad, localización de datos, elaboración de respuesta y finaliza con el registro en el log de solicitudes ARCO+. Cada etapa debe estar documentada, con responsables definidos y plazos controlados.
Las organizaciones que implementan este proceso correctamente transforman la atención al titular en ventaja competitiva — un diferenciador de confianza que pocos competidores ofrecen de forma genuina.
Confidata ofrece un módulo completo de gestión de solicitudes ARCO+: formulario configurable, protocolo automático, control del plazo de 30 días, flujo de aprobación interno y registro de solicitudes integrado al inventario de datos de su organización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.