Los derechos de los titulares bajo la Ley 21.719 (ARCOP): cómo atenderlos
El titular de datos personales no es solo un destinatario pasivo de sus políticas de privacidad. La Ley 21.719 le otorga un conjunto robusto de derechos — y exige que su organización los atienda de forma efectiva, dentro de plazos definidos y, en regla general, de manera gratuita.
Conocer y operacionalizar estos derechos es una de las competencias centrales de cualquier Delegado de Protección de Datos (DPD). También es una de las áreas que la APDP fiscalizará prioritariamente: en jurisdicciones comparables como Brasil y la Unión Europea, el no atender solicitudes de titulares ha sido la causa más frecuente de sanciones administrativas.
Esta guía detalla cada uno de los derechos reconocidos por la Ley 21.719 (el sistema ARCOP y el derecho frente a decisiones automatizadas), cómo funcionan en la práctica, los plazos esperados y cuándo la organización puede — legítimamente — limitar o denegar la atención.
El sistema de derechos de la Ley 21.719: el modelo ARCOP
La Ley 21.719 estructura los derechos de los titulares bajo el modelo ARCOP, que expande el tradicional ARCO (Acceso, Rectificación, Cancelación, Oposición) con el añadido de la Portabilidad — y complementa con protecciones frente a decisiones automatizadas.
Los derechos de los titulares son personales, intransferibles e irrenunciables. No pueden limitarse por contrato. Pueden ejercerse por representante legal o, con restricciones, por herederos.
Derecho 1 — Acceso (Artículo 5°)
Qué es: El titular puede solicitar confirmación de si se están tratando datos personales que le conciernen y, en caso afirmativo, obtener una copia de esos datos y de la información relacionada con su tratamiento.
Cómo funciona en la práctica: La organización debe proporcionar:
- Confirmación de si existe o no tratamiento de datos del titular
- Copia o visualización de los datos tratados
- Información sobre el origen de los datos
- La finalidad del tratamiento
- Con quiénes se comparten los datos
- Los plazos de conservación
Lo que se puede solicitar: Cuando el tratamiento se basa en consentimiento o contrato, el titular puede solicitar copia electrónica completa de los datos en formato estructurado y de uso común.
Limitaciones legítimas: El derecho de acceso no se extiende a información que comprometa secreto comercial o industrial, aunque la APDP puede realizar auditoría para verificar que no haya aspectos discriminatorios.
Derecho 2 — Rectificación (Artículo 6°)
Qué es: El titular puede solicitar la corrección de datos inexactos, desactualizados o incompletos.
Cómo funciona en la práctica:
- Inexactos: dato erróneo (ej.: fecha de nacimiento incorrecta, nombre con error ortográfico)
- Desactualizados: dato que era correcto pero ya no lo es (ej.: teléfono antiguo, dirección anterior)
- Incompletos: falta información necesaria (ej.: dirección sin código postal)
Ejemplos comunes: cambio de apellido tras matrimonio, nueva dirección, número de teléfono actualizado.
Obligación crítica: Al corregir un dato, el responsable debe comunicar sin demora a todos los terceros con quienes compartió ese dato para que realicen la misma corrección. Esto exige que el RAT esté actualizado e incluya todos los destinatarios.
Derecho 3 — Cancelación/Supresión (Artículo 7°)
Qué es: El titular puede solicitar la eliminación de sus datos personales en diversas circunstancias.
Cuándo procede la supresión:
- Los datos ya no son necesarios para la finalidad que justificó su recolección
- El titular revoca su consentimiento y no hay otra base legal que ampare el tratamiento
- Los datos han sido tratados de forma ilícita
- Los datos deben eliminarse para cumplir una obligación legal
Lo que el titular puede elegir: En algunos casos, el titular puede pedir la supresión o el bloqueo temporal — la organización debe cumplir lo solicitado dentro de los límites legales.
Excepciones — cuándo la eliminación puede negarse:
| Situación | Ejemplo práctico |
|---|---|
| Cumplimiento de obligación legal | Datos laborales (plazos legales), documentos tributarios, registros médicos |
| Ejercicio o defensa de derechos en proceso judicial | Datos necesarios para litigio en curso |
| Interés público o investigación científica | Datos con anonimización cuando sea posible |
| Datos necesarios para uso exclusivo del responsable, anonimizados | Análisis estadístico interno sin identificación |
Derecho 4 — Oposición (Artículo 8°)
Qué es: El titular puede oponerse al tratamiento de sus datos personales en determinadas circunstancias, especialmente cuando el tratamiento se basa en interés legítimo o interés público.
Cuándo procede la oposición:
- El tratamiento se basa en interés legítimo del responsable o de terceros
- El tratamiento se realiza con fines de mercadotecnia directa (siempre procede, sin necesidad de justificación)
- El tratamiento se realiza para toma de decisiones automatizadas, incluida la elaboración de perfiles
Efecto de la oposición: El responsable debe dejar de tratar los datos del titular, salvo que pueda demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses del titular, o para la formulación, ejercicio o defensa de reclamaciones.
Excepción notable: Si el titular se opone al tratamiento para fines de mercadotecnia directa, el responsable debe cesar ese tratamiento sin posibilidad de invocar ninguna excepción.
Derecho 5 — Bloqueo (Artículo 8°)
Qué es: El titular puede solicitar la suspensión temporal del tratamiento de sus datos mientras se tramita una solicitud de rectificación, supresión u oposición.
Cuándo procede el bloqueo:
- Cuando el titular impugna la exactitud de los datos (hasta que se verifique su exactitud)
- Cuando el tratamiento es ilícito pero el titular prefiere el bloqueo a la supresión
- Cuando el responsable ya no necesita los datos, pero el titular los requiere para el ejercicio o defensa de reclamaciones
- Cuando el titular ha ejercido el derecho de oposición pendiente de su resolución
Qué significa el bloqueo: Los datos no pueden tratarse activamente; solo conservarse. Tampoco pueden cederse a terceros, salvo con el consentimiento del titular o para la formulación, ejercicio o defensa de reclamaciones.
Derecho 6 — Portabilidad (Artículo 9°)
Qué es: El titular puede recibir una copia de sus datos personales en un formato electrónico, estructurado, genérico y de uso común, y transmitirla a otro responsable del tratamiento.
Cómo funciona en la práctica:
- Historial financiero al cambiar de banco
- Historial de salud al cambiar de profesional o plan de salud
- Datos de perfil al migrar de una plataforma digital a otra
- Historial de compras al cambiar de proveedor
Cuándo aplica:
- El tratamiento se basa en el consentimiento del titular o en la ejecución de un contrato
- El tratamiento se realiza por medios automatizados
Exclusiones: Datos ya anonimizados y datos que involucren secreto comercial o industrial quedan fuera del alcance de la portabilidad. La portabilidad tampoco obliga a "portar inferencias" — análisis y datos derivados que el responsable creó a partir de los datos del titular.
Nota importante: La APDP establecerá mediante regulación los estándares técnicos de interoperabilidad para hacer efectivo este derecho en cada sector.
Derecho 7 — Protección frente a decisiones automatizadas (incluyendo perfilamiento)
Qué es: El titular tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente.
Qué implica en la práctica:
- Derecho a la transparencia: Ser informado de que se está sujeto a una decisión automatizada
- Derecho a la explicación: Recibir información sobre los criterios y el funcionamiento del sistema
- Derecho a intervención humana: Solicitar que la decisión sea revisada por una persona con capacidad de modificarla
- Derecho a impugnación: Contestar la decisión automatizada
Ejemplos de decisiones automatizadas cubiertas:
- Score de crédito calculado por algoritmo
- Selección automatizada de currículos en procesos de selección
- Precios dinámicos personalizados (precios distintos según perfil)
- Decisiones de concesión o denegación de seguros
- Sistemas de recomendación que afectan oportunidades (empleo, crédito, vivienda)
Excepciones: El tratamiento automatizado puede ser lícito cuando sea necesario para la ejecución de un contrato, esté autorizado por ley con salvaguardas adecuadas, o se base en el consentimiento explícito del titular.
Plazos: lo que la Ley 21.719 y la práctica internacional establecen
La APDP establecerá mediante regulación los plazos específicos de atención. Mientras tanto, la práctica internacional ofrece la referencia más clara:
| Situación | Plazo de referencia | Fundamento |
|---|---|---|
| Confirmación de existencia de datos (respuesta simplificada) | Inmediata o dentro de 5 días hábiles | Estándar internacional |
| Respuesta completa (con datos, origen, finalidad) | Hasta 15 días hábiles | Estándar GDPR/LGPD |
| Rectificación y comunicación a terceros | Sin demora tras la rectificación | Ley 21.719 |
| Revocación del consentimiento | Efecto inmediato para tratamientos futuros | Ley 21.719 |
| Atención (sin costo para el titular) | Dentro de los plazos anteriores | Principio general |
Importante: La regulación de la APDP podrá establecer plazos y procedimientos más detallados por sector. Las organizaciones deben monitorear los actos normativos que se emitan después del 1 de diciembre de 2026.
Cuándo es posible negar o limitar el ejercicio de derechos
Los derechos del titular no son absolutos. La organización puede legítimamente limitar la atención en las siguientes situaciones:
Para negar la supresión (Derechos 3 y 4):
- Cumplimiento de obligación legal o regulatoria (documentos tributarios, laborales, médicos)
- Ejercicio regular de derechos en proceso judicial o administrativo
- Interés público o investigación científica (con anonimización cuando sea posible)
- Datos necesarios para uso exclusivo del responsable, anonimizados
Para limitar el acceso o la portabilidad:
- Protección de secreto comercial o industrial (pero la APDP puede auditar)
- Datos ya anonimizados (fuera del alcance de la Ley 21.719)
- Datos que involucran la privacidad de terceros
Obligaciones al denegar:
- La negativa debe ser fundamentada y por escrito con base legal específica
- El titular debe ser informado del motivo de la negativa
- El titular puede recurrir a la APDP
Qué ocurre si la organización no atiende
Reclamación ante la APDP: El titular que no obtenga respuesta satisfactoria puede presentar una reclamación ante la APDP. La APDP usará el volumen de reclamaciones para priorizar sus fiscalizaciones temáticas.
Sanciones administrativas (Ley 21.719):
- Amonestación escrita
- Multa de hasta 5.000 UTM por infracciones leves, hasta 10.000 UTM por graves y hasta 20.000 UTM por gravísimas
- Para reincidentes no-PYME: hasta 2% (graves) o 4% (gravísimas) de los ingresos anuales por ventas y servicios del grupo económico en Chile
- Suspensión total o parcial de las operaciones de tratamiento por hasta 30 días (infracciones gravísimas reiteradas en 24 meses)
Responsabilidad civil: Independientemente de las sanciones administrativas, la organización que cause daño al titular puede enfrentar demandas de reparación civil.
Cómo operacionalizar la atención
Para garantizar la atención efectiva a todos los derechos, su organización necesita:
- Canal público e identificado para recepción de solicitudes (formulario web, correo electrónico dedicado)
- Proceso de verificación de identidad del solicitante antes de responder
- Sistema de protocolo con número único por solicitud y control de plazo
- RAT actualizado para localizar rápidamente todos los datos de un titular y todos los destinatarios
- Flujo interno documentado para cada tipo de solicitud (quién recibe, quién analiza, quién responde)
- Registro de todas las solicitudes (log de DSARs) para demostrar cumplimiento ante la APDP
Conclusión
Los derechos reconocidos por la Ley 21.719 no son formalidades — son el núcleo de la relación entre la organización y los titulares de datos. Una empresa que atiende bien estas solicitudes demuestra madurez en protección de datos, construye confianza y reduce significativamente el riesgo de sanciones.
Comience por lo básico: defina un canal de atención, documente el proceso y capacite al equipo. El volumen inicial de solicitudes suele ser bajo — pero la ausencia de estructura cuando llega la primera solicitud es lo que más penaliza.
Confidata ofrece un módulo de gestión de solicitudes de titulares (DSARs) con protocolo automático, control de plazos, verificación de identidad e integración con el inventario de datos de su organización.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.