← Volver al blog Derechos

Cómo responder solicitudes de derechos ARSOP bajo la Ley 21.719: proceso, plazos y plantillas.

Tarde o temprano llegará el correo: “quiero saber qué datos tienen sobre mí” o “quiero que eliminen mi información”. Tener un proceso definido es la diferencia entre responder con seguridad y en plazo, o improvisar y exponerte a una sanción.

Publicado jun 2026 · Actualizado 2026 · 14 min de lectura
Derechos ARSOP · Ley 21.719

Lo esencial en 30 segundos

  • ARSOP = Acceso, Rectificación, Supresión, Oposición y Portabilidad: los derechos que la Ley 21.719 reconoce a las personas (los antiguos ARCO, más portabilidad).
  • Debes responder dentro del plazo legal en días hábiles que fija la ley; el bloqueo temporal tiene un plazo más corto (2 días hábiles). Por regla general, el ejercicio es gratuito.
  • El flujo correcto: recibir → verificar identidad → registrar → resolver → responder y documentar.
  • Puedes negarte de forma fundada solo cuando hay una causa legal; siempre dejando registro.
  • Atender derechos a mano escala mal: un proceso (y la tecnología adecuada) lo hace sostenible.

El ejercicio de derechos es el momento en que la protección de datos deja de ser teoría y se vuelve una interacción concreta con una persona. La Ley 21.719 fortalece estos derechos y, con ello, las expectativas de los titulares. Una empresa preparada los atiende como una oportunidad de confianza; una que improvisa, los vive como una amenaza.

En esta guía operativa verás cada derecho, el flujo de respuesta paso a paso, cómo manejar los plazos y la verificación de identidad, cuándo puedes negarte y una plantilla lista para adaptar. Si quieres ubicar este frente dentro del programa completo, revisa el checklist de cumplimiento.

1. Qué son los derechos ARSOP

ARSOP es el acrónimo de los derechos que la Ley 21.719 reconoce a los titulares de datos personales: Acceso, Rectificación, Supresión, Oposición y Portabilidad. Son la versión ampliada de los clásicos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición): la “S” de supresión equivale a la antigua cancelación, y se incorpora de forma expresa la portabilidad de los datos. La ley también contempla el bloqueo del tratamiento en ciertos supuestos.

El principio de fondo es simple: las personas mantienen el control sobre sus datos aun después de habérnoslos entregado, y la organización debe facilitar —no entorpecer— ese control.

2. Cada derecho en detalle

  • Acceso: el titular puede saber qué datos suyos tratas, con qué finalidad, de dónde se obtuvieron y con quién se comparten. Es el más frecuente y, a menudo, la puerta de entrada a los demás.
  • Rectificación: puede pedir corregir datos inexactos, desactualizados o incompletos.
  • Supresión: puede solicitar que se eliminen sus datos cuando ya no son necesarios, retira el consentimiento o el tratamiento no se ajusta a la ley (con las excepciones legales).
  • Oposición: puede oponerse a un tratamiento determinado, por ejemplo a recibir comunicaciones comerciales o a un perfilamiento.
  • Portabilidad: puede pedir sus datos en un formato estructurado y de uso común para reutilizarlos o trasladarlos a otro responsable.
  • Bloqueo: la suspensión temporal del tratamiento mientras se resuelve una solicitud o una controversia. La solicitud de bloqueo temporal debe responderse en un plazo breve —2 días hábiles—, por lo que conviene tener un procedimiento expedito.

3. El flujo de respuesta paso a paso

Un proceso ordenado convierte cada solicitud en una secuencia predecible:

  • 1. Recepción: recibe la solicitud por un canal definido y acusa recibo de inmediato.
  • 2. Verificación de identidad: confirma que quien solicita es efectivamente el titular (o su representante).
  • 3. Registro: deja constancia de la solicitud, la fecha y el plazo de respuesta.
  • 4. Búsqueda y evaluación: localiza los datos en tus sistemas (aquí el RAT es clave) y evalúa si procede el derecho o si aplica una excepción.
  • 5. Resolución: ejecuta la acción (entregar, corregir, eliminar, bloquear, exportar) o fundamenta la negativa.
  • 6. Respuesta y documentación: responde al titular de forma clara y guarda evidencia de todo el proceso.

El paso 4 depende por completo de saber dónde viven tus datos. Si no tienes un inventario y un RAT al día, una sola solicitud de acceso puede convertirse en una búsqueda manual de días por planillas y sistemas dispersos.

4. Plazos y cómo contarlos

La ley fija un plazo acotado, contado en días hábiles, para responder las solicitudes de derechos, y un plazo más corto —2 días hábiles— para resolver el bloqueo temporal. Más allá del conteo, lo que se evalúa es que respondas en plazo y sin dilaciones indebidas. Recomendamos tres hábitos que reducen el riesgo de incumplirlos:

  • Acusar recibo de inmediato, indicando que la solicitud está en gestión.
  • Fijar internamente una fecha de respuesta y asignar un responsable, para que ninguna solicitud quede sin dueño.
  • Comunicar avances cuando una solicitud sea compleja o requiera más tiempo de lo habitual.

El reloj corre desde que la solicitud es válida (identidad verificada). Por eso conviene que la verificación sea ágil: trabarla solo retrasa todo y deteriora la experiencia del titular.

5. Verificación de identidad

Antes de entregar o modificar datos, hay que estar razonablemente seguro de quién está al otro lado. Entregar datos a la persona equivocada es, en sí mismo, una brecha. Buenas prácticas:

  • Pedir los datos mínimos necesarios para verificar; no aproveches para recolectar de más.
  • Ajustar el nivel de verificación a la sensibilidad de lo solicitado.
  • Definir cómo se acredita la representación cuando alguien actúa por otro.
  • Documentar el método de verificación usado en cada caso.

6. Cuándo puedes negarte

No todos los derechos son absolutos. Una solicitud puede denegarse —siempre de forma fundada y documentada— cuando concurre una causa legal, por ejemplo:

  • Existe una obligación legal de conservar los datos (tributaria, laboral, etc.).
  • Los datos son necesarios para el ejercicio o la defensa de reclamaciones.
  • Atender la solicitud afectaría derechos de terceros.
  • La solicitud es manifiestamente infundada o excesiva, por ejemplo, repetitiva sin causa.

La clave es que la negativa nunca sea silenciosa: se informa al titular, se explica el motivo y se deja registro. Una negativa bien fundada es defendible; una negativa sin explicación es un incumplimiento.

7. Plantilla de respuesta

Un punto de partida que puedes adaptar a tu organización y a cada tipo de derecho:

Estimado/a [nombre]:

Hemos recibido su solicitud de [acceso / rectificación / supresión / oposición / portabilidad] de datos personales, ingresada el [fecha]. Tras verificar su identidad, le informamos lo siguiente:

[Resultado: detalle de los datos / confirmación de la corrección o eliminación / entrega del archivo de portabilidad / fundamentación de la negativa, según corresponda.]

Si tiene dudas sobre esta respuesta, puede contactarnos en [canal]. También puede dirigirse a la Agencia de Protección de Datos Personales si considera que sus derechos no han sido respetados.

Atentamente,
[Responsable / Delegado de Protección de Datos] — [Organización]

8. Cómo montar un proceso que escale

Atender una solicitud al mes a mano es viable. Atender decenas, no. A medida que crece el volumen —o tras una campaña, una brecha o una noticia— las solicitudes llegan en oleadas. Un proceso sostenible combina:

  • Un canal único y conocido para recibir solicitudes.
  • Flujos y responsables definidos, con plazos y registro.
  • Un RAT al día que permita encontrar los datos rápido.
  • Tecnología de gestión de derechos (DSAR) que automatice recepción, verificación, seguimiento y evidencia.

Las plataformas de gestión de privacidad como OneTrust están pensadas justamente para esto. Vemos cómo encajan en un programa real en implementación de OneTrust en Chile.

¿Tu empresa podría responder hoy una solicitud de acceso en plazo?

Te ayudamos a diseñar el proceso ARSOP completo —canal, flujos, plantillas y tecnología— para que ninguna solicitud te tome por sorpresa.

Solicitar diagnóstico

Preguntas frecuentes

¿Qué son los derechos ARSOP?

Es el acrónimo de los derechos que la Ley 21.719 reconoce a los titulares: Acceso, Rectificación, Supresión, Oposición y Portabilidad. Amplían los clásicos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) incorporando expresamente la portabilidad de los datos.

¿En qué plazo hay que responder?

La ley fija un plazo acotado, en días hábiles, para responder las solicitudes de derechos, y un plazo más corto —2 días hábiles— para resolver el bloqueo temporal. Lo recomendable es acusar recibo de inmediato, verificar la identidad del solicitante y dar una respuesta fundada dentro del plazo. Si una solicitud es especialmente compleja, conviene informar al titular el estado de su gestión.

¿Se puede cobrar por atender una solicitud?

Como regla general, el ejercicio de los derechos es gratuito para el titular. Solo en casos acotados —por ejemplo, solicitudes manifiestamente infundadas o excesivas, particularmente repetitivas— podría justificarse una excepción, que debe poder fundamentarse.

¿Cuándo se puede negar una solicitud?

De forma fundada, cuando existe una causa legal: por ejemplo, una obligación legal de conservar los datos, el ejercicio o defensa de reclamaciones, o cuando afectaría derechos de terceros. La negativa debe ser motivada, informada al titular y registrada.

Escrito por

El equipo de AlayIAtrust

Equipo de abogados y consultores especializados en protección de datos personales y cumplimiento de la Ley 21.719 en Chile.

También te puede interesar

Compliance

Checklist de cumplimiento de la Ley 21.719: los 10 frentes a cerrar

 Fiscalización

Qué te pedirá la Agencia en una fiscalización (y cómo prepararte)

 Tecnología

Implementación de OneTrust en Chile: potenciando el cumplimiento
Próximo paso

¿Tu empresa está lista
para diciembre 2026?

Diagnóstico de 30 minutos sin compromiso.

Solicitar diagnóstico