Derechos ARCO + Portabilidad — Ley 21.719 | KLG Technology

Ley 21.719 · Arts. 4° a 9° — Derechos de los titulares

Derechos ARCO
+ portabilidad:
acceso, rectificación,
supresión y oposición.

La Ley 21.719 establece seis derechos fundamentales para los titulares de datos personales: acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Las organizaciones deben responder en 30 días y contar con mecanismos accesibles para su ejercicio. El incumplimiento puede alcanzar los 10.000 UTM.

Vigente 1 dic. 2026 · Arts. 4° a 9°

Plazo de respuesta: 30 días hábiles

Son irrenunciables e intransferibles

Artículo 4° — Derechos de los titulares · Ley N° 21.719

"El titular de datos personales tendrá derecho a ser informado de manera clara, oportuna y suficiente de las prácticas de privacidad del responsable; a solicitar acceso, rectificación, supresión u oposición al tratamiento de sus datos; a la portabilidad de sus datos; y a no ser objeto de decisiones individuales automatizadas."

Fuente oficial: Ley 21.719 · Biblioteca del Congreso Nacional de Chile ↗

Arts. 5° a 9° — Catálogo de derechos

Los seis derechos ARCO+P+B de la Ley 21.719

La ley amplía el catálogo clásico de derechos ARCO con dos nuevas incorporaciones directamente inspiradas en el GDPR europeo: la portabilidad y el bloqueo temporal del tratamiento. Todos son personales, irrenunciables e intransferibles.

A

Acceso

Art. 5°

Derecho de acceso — conocer qué datos se tratan

El titular puede solicitar una copia de sus datos y toda la información relevante sobre su tratamiento

Saber qué datos personales se están tratando, su origen y la finalidad del tratamiento
Conocer los destinatarios o categorías de destinatarios a quienes se han comunicado o cedido los datos
Saber el período de conservación previsto o los criterios para determinarlo
Obtener una copia de los datos en formato accesible (gratuito una vez al trimestre; puede cobrarse la segunda copia)
Conocer si existen decisiones automatizadas, incluida la elaboración de perfiles, y su lógica aplicada

⌚ 30 días hábiles para responder · gratuito (1 vez por trimestre)

R

Rectificación

Art. 6°

Derecho de rectificación — corregir datos inexactos

Permite solicitar la modificación o actualización de datos inexactos, desactualizados o incompletos

Solicitar la modificación de datos que sean inexactos, desactualizados o incompletos
La solicitud debe indicar las modificaciones precisas y adjuntar los antecedentes que las sustenten
El responsable debe notificar los cambios a los terceros a quienes los datos hayan sido cedidos
Si el responsable rechaza la rectificación, debe indicar fundadamente los motivos del rechazo
El titular puede recurrir ante la APDP si el responsable no rectifica dentro del plazo

⌚ 30 días hábiles · Notificación a terceros obligatoria

S

Supresión

Art. 7°

Derecho de supresión — eliminar los datos (derecho al olvido)

Permite exigir la eliminación de datos cuando su almacenamiento carece de fundamento legal o han caducado

Cuando los datos ya no sean necesarios para la finalidad para la que fueron recolectados
Cuando el titular retire el consentimiento que era la única base legal del tratamiento
Cuando el tratamiento haya sido ilícito o los datos hayan sido obtenidos ilegalmente
Excepciones: libertad de expresión e información, obligación legal, interés público en salud, fines históricos o estadísticos, o defensa de reclamaciones judiciales
La supresión implica que los datos dejen de tratarse y se eliminen: concepto de "derecho al olvido"

⌚ 30 días hábiles · Con causales taxativas de excepción

O

Oposición

Art. 8°

Derecho de oposición — impedir un tratamiento específico

Permite oponerse a tratamientos basados en interés legítimo, incluyendo la elaboración de perfiles y marketing directo

Oponerse a tratamientos cuya base legal sea el interés legítimo del responsable o de un tercero
Oponerse al marketing directo y a la elaboración de perfiles con fines de publicidad
Oponerse a tratamientos con fines de investigación científica, histórica o estadística en circunstancias específicas
Oponerse a decisiones individuales automatizadas que produzcan efectos jurídicos o le afecten significativamente
El responsable debe suspender el tratamiento salvo que acredite motivos legítimos imperiosos

⌚ 30 días hábiles · El tratamiento se suspende mientras se resuelve

P

Portabilidad

Art. 9°

Derecho de portabilidad — nueva incorporación inspirada en el GDPR

Permite recibir los datos en formato estructurado, genérico y transferirlos a otro responsable

Solicitar y recibir una copia de los datos en formato electrónico estructurado, genérico y de uso común (JSON, XML, CSV)
El formato debe poder ser operado por distintos sistemas: interoperabilidad garantizada
Derecho a que los datos se transmitan directamente de responsable a responsable cuando sea técnicamente posible
Aplica solo a los datos tratados por medios automatizados y cuando la base legal sea consentimiento o contrato
La segunda solicitud de portabilidad en el mismo trimestre puede estar sujeta al pago de costos directos

⌚ 30 días hábiles · Formato estructurado y transferible

B

Bloqueo

Art. 8° ter

Derecho de bloqueo — suspensión temporal del tratamiento

Permite suspender temporalmente el tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición

Solicitar la suspensión temporal del tratamiento mientras se tramita una solicitud de rectificación, supresión u oposición
El responsable debe responder la solicitud de bloqueo en solo 2 días hábiles
Mientras no resuelva, no puede tratar los datos objeto del requerimiento
También puede ejercerse como alternativa al derecho de supresión en ciertos casos
Es una novedad absoluta en la regulación chilena: no existía en la antigua Ley 19.628

⚡ Solo 2 días hábiles para responder · Tratamiento se suspende de inmediato

Artículos 10° y siguientes — Régimen general

Características comunes que definen estos derechos

Todos los derechos ARCO+P+B comparten un conjunto de características transversales que la ley establece expresamente y que determinan las obligaciones operativas del responsable.

👤

Personales e intransferibles

Solo pueden ejercerse por el propio titular, su representante legal o mandatario. En caso de fallecimiento, por los herederos con ciertas limitaciones.

🚫

Irrenunciables

Cualquier cláusula, acto o contrato que limite o suprima el ejercicio de estos derechos es nulo y de ningún valor. No se puede renunciar contractualmente a ellos.

💰

Gratuitos por regla general

El responsable no puede exigir pago como condición para cumplirlos. Excepción: puede cobrar costos directos por una segunda solicitud de acceso o portabilidad en el mismo trimestre.

📄

Canal accesible y mecanismo sencillo

El responsable debe implementar mecanismos y herramientas tecnológicas sencillas que permitan al titular ejercer sus derechos fácilmente. No puede exigir requisitos desproporcionados.

🏛

Reclamación ante la APDP

Si el responsable rechaza, no responde en plazo o responde insatisfactoriamente, el titular puede reclamar ante la Agencia de Protección de Datos Personales.

📜

Registro y trazabilidad obligatorios

Cada solicitud recibida, su gestión, la respuesta entregada y el plazo deben quedar registrados. Es la evidencia que la APDP puede requerir en una fiscalización.

Lo que la ley exige implementar para cumplir con los derechos ARCO

Las obligaciones del responsable
que hacen efectivos estos derechos

Reconocer los derechos en la política de privacidad no es suficiente. La ley exige que el responsable implemente capacidades operativas concretas y demostrables ante la APDP.

🔢

Canal formal de recepción de solicitudes

Implementar un canal accesible (correo, formulario web, presencial) claramente identificado en la política de privacidad, con acuse de recibo y registro de cada solicitud recibida.

🕐

Protocolo de atención en plazo

Proceso interno documentado con responsables, escalamientos y verificación de plazos: 30 días hábiles para la mayoría de los derechos y solo 2 días hábiles para el bloqueo.

🔍

Mapa de datos (data mapping)

Para responder el derecho de acceso y portabilidad, el responsable debe saber dónde están los datos del titular en todos los sistemas: CRM, ERP, email, backups y terceros.

📊

Registro de solicitudes ARCO

Bitácora trazable de todas las solicitudes: tipo, fecha de recepción, respuesta entregada, plazo cumplido y resultado. Evidencia directa ante una fiscalización de la APDP.

👥

Notificación a terceros cedentes

Cuando se rectifican o suprimen datos que fueron cedidos a terceros, el responsable debe notificar a esos terceros los cambios realizados. Requiere un registro de cesiones actualizado.

📄

Política de privacidad que informe

Informar en la política de privacidad sobre todos los derechos del titular, cómo ejercerlos, quién es el DPO de contacto y cómo reclamar ante la APDP si no son atendidos.

Ciclo operativo de atención

Cómo gestionar una solicitud ARCO en la práctica

Desde que el titular presenta su solicitud hasta que se cierra el caso, el responsable debe seguir un protocolo estructurado en cuatro fases, cada una con plazos y evidencias definidas.

Fase 1 · Recepción

Recibir y verificar

Recibir la solicitud por el canal formal, verificar la identidad del titular, registrar la fecha de recepción (inicia el plazo) y acusar recibo al solicitante.

→

Fase 2 · Análisis

Localizar y evaluar

Localizar todos los datos del titular en los sistemas, evaluar la procedencia de la solicitud, identificar excepciones aplicables y determinar la respuesta adecuada.

→

Fase 3 · Ejecución

Dar cumplimiento

Ejecutar la acción correspondiente (entregar, corregir, eliminar, bloquear o portar datos), notificar a terceros si corresponde y documentar las acciones realizadas.

→

Fase 4 · Respuesta

Informar y archivar

Responder formalmente al titular dentro del plazo, indicar el resultado y fundamentos si se rechazó, e informar su derecho a reclamar ante la APDP. Archivar el expediente.

Capacidades técnicas que deben estar instaladas

🔢

Portal o formulario de solicitudes

Canal digital accesible, con validación de identidad, acuse automático de recibo y seguimiento del estado de la solicitud.

🔍

Capacidad de búsqueda de datos por persona

Herramientas de data discovery que permitan localizar todos los datos de un titular en todos los sistemas en tiempo útil para cumplir el plazo de 30 días.

📄

Exportación en formato estructurado

Para el derecho de portabilidad: capacidad de exportar datos en JSON, XML o CSV que sean interoperables entre distintos sistemas.

📊

Registro auditado de solicitudes

Log completo con marca temporal de cada solicitud, acciones tomadas, respuesta entregada y plazo de atención. Evidencia directa ante la APDP.

📌

Alertas de vencimiento de plazos

Sistema de alertas que notifique internamente cuando se acercan los 30 días (o 2 días para bloqueo) para evitar respuestas tardías.

🔑

Control de eliminación y anonimización

Procesos técnicos para eliminar o anonimizar datos de todos los sistemas (incluyendo backups) cuando se ejerce el derecho de supresión.

Artículos 38–40 · Infracciones y sanciones

El costo de negar o ignorar los derechos ARCO

Negar el ejercicio de los derechos ARCO o no responder dentro de los plazos legales constituye una infracción grave o gravísima según la Ley 21.719, con consecuencias económicas significativas.

Infracciones graves — Art. 38

10.000 UTM

Equivalente a aprox. USD 775.000

Negar injustificadamente el ejercicio de los derechos de acceso, rectificación o supresión
No responder dentro del plazo de 30 días hábiles sin causa justificada
No implementar el mecanismo sencillo y accesible para el ejercicio de derechos
Exigir cobros no autorizados como condición para atender las solicitudes

Ver art. 38 en BCN ↗

Infracciones leves — Art. 37

5.000 UTM

O amonestación escrita — aprox. USD 387.000

Incumplir el deber de información al titular sobre sus derechos en la política de privacidad
No indicar correo electrónico o canal para el ejercicio de derechos ARCO
Respuesta tardía que no supere los umbrales de infracción grave
Incumplimiento de la obligación de notificar cambios a terceros cedentes (rectificación)

Ver art. 37 en BCN ↗

Cómo KLG Technology lo acompaña

Procedimientos ARCO
listos para auditoría
antes de diciembre 2026

KLG Technology implementa el procedimiento completo de atención de solicitudes ARCO+P+B exigido por la Ley 21.719: canal de recepción, registro auditado, capacidad de exportación en formato estructurado y alertas de vencimiento de plazos.

El cumplimiento de los derechos ARCO se integra con el DPO as a Service y el SGSI de ciberseguridad, generando una sola evidencia operativa que cubre tanto la Ley 21.719 como la Ley 21.663.

🔒

DPO as a Service

El DPO gestiona y responde las solicitudes ARCO dentro del plazo legal y mantiene el registro auditado exigible por la APDP

📋

GRC · Procedimientos y registros ARCO

Diseño e implementación del protocolo de atención ARCO con registro, plazos, escalamientos y evidencia auditable

🔍

Assessment · Data Mapping

Mapa de datos del titular en todos los sistemas: requisito previo para responder el derecho de acceso y portabilidad en plazo

📡

Infraestructura técnica ARCO

Implementación del canal de solicitudes, exportación en formato estructurado y capacidades de eliminación y anonimización

🎓

Capacitación en derechos ARCO

Formación del personal en cómo identificar y gestionar solicitudes ARCO correctamente dentro de los plazos legales

¿Su organización puede responder hoy una solicitud de acceso o portabilidad en 30 días?

Si la respuesta genera dudas, hay una brecha de cumplimiento frente a la Ley 21.719. KLG Technology implementa el procedimiento ARCO completo y genera los registros que la APDP puede requerir en cualquier fiscalización.

Implementar procedimiento ARCO → Ver más sobre la Ley 21.719

Derechos ARCO Protabilidad

Derechos ARCO+ portabilidad:acceso, rectificación,supresión y oposición.