Un empleado o cliente envía un correo solicitando acceder a sus datos o que los borres definitivamente de tus sistemas. Tu empresa tiene una obligación concreta y un plazo legal estricto para dar una respuesta válida. La mayoría de las pymes no cuenta con un protocolo definido, lo que genera una exposición innecesaria a reclamaciones ante la AEPD.
El RGPD reconoce una serie de facultades a cualquier persona sobre su información personal, como el acceso, la rectificación o la supresión. Colectivamente se denominan derechos ARCO y son ejercibles frente a cualquier entidad que trate datos de esa persona, afectando directamente a tus clientes, empleados y candidatos.
Este artículo explica qué cubre cada término, cuánto tiempo tienes para contestar, en qué casos puedes denegar una solicitud y qué sanciones enfrentas si no cumples.
Qué significa cada derecho ARCO para tu negocio
Es fundamental que tu equipo sepa distinguir qué facultad está ejerciendo el usuario para tramitarla correctamente. Aunque el acrónimo original era más limitado, tras la llegada del RGPD hablamos habitualmente de «ARCO+», integrando nuevas posibilidades de control para el ciudadano.
| Derecho | Qué permite al interesado |
| Acceso | Obtener copia de los datos que tiene la empresa sobre él |
| Rectificación | Corregir datos inexactos o incompletos en tus bases |
| Cancelación / Supresión | Solicitar el borrado de sus datos («derecho al olvido») |
| Oposición | Negarse a que sus datos se usen para fines concretos |
| Limitación | Suspender el uso de los datos mientras se resuelve una duda |
| Portabilidad | Recibir sus datos en formato electrónico para otro proveedor |
Cada solicitud requiere una verificación técnica y legal distinta. No es lo mismo rectificar un apellido erróneo que gestionar una portabilidad completa de un expediente de cliente.
Quién puede ejercer estos derechos y cuál es tu responsabilidad
Cualquier persona física de la que trates datos puede iniciar este proceso en cualquier momento. Esto incluye a clientes activos, pero también a antiguos colaboradores que deseen recuperar su información profesional o candidatos que participaron en selecciones previas.
En la mayoría de los casos, tu empresa actúa como responsable del tratamiento, lo que te obliga a validar la identidad del solicitante y ejecutar la respuesta. Si actúas como proveedor de servicios (encargado) para otra compañía, tu deber es remitir la solicitud al responsable de forma inmediata.
Cómo y en qué plazo debes responder obligatoriamente
La normativa no admite demoras injustificadas. El plazo de respuesta comienza a contar desde el momento en que la solicitud entra en tu organización, ya sea por email, formulario o correo postal. Debes asegurar que tu comunicación cumple con el deber de transparencia en el tratamiento para evitar confusiones.
| Concepto | Detalle |
| Normativa aplicable | RGPD Art. 12 y LOPD-GDD |
| A quién afecta | Personas cuyos datos trate la empresa (empleados, clientes) |
| Plazo máximo de respuesta | 1 mes desde la recepción |
| Sanción máxima | 20.000.000 € o 4% facturación global anual (RGPD) |
| Acción requerida | Respuesta por escrito motivada y gratuita |
Si la solicitud es muy compleja, puedes ampliar el plazo dos meses más, pero debes notificarlo al interesado dentro del primer mes explicando los motivos.
Cuándo puede tu empresa denegar una solicitud
No siempre estás obligado a acceder a lo que pide el usuario. Existen situaciones legales donde la conservación de los datos prevalece, siempre que existan las bases legitimadoras del tratamiento de datos adecuadas.
– Puedes denegar la supresión si los datos son necesarios para cumplir una obligación legal, como guardar facturas durante cinco años. – Puedes limitar el acceso si la información revela secretos comerciales de tu empresa o datos privados de otras personas. – Puedes rechazar la oposición si demuestras que el tratamiento es imprescindible para ejercer una reclamación jurídica.
En todos estos casos, el silencio no es una opción. Debes enviar una respuesta motivada explicando por qué no se ejecuta el derecho. Para gestionar estas situaciones complejas sin errores, un servicio de consultoría de protección de datos te proporciona la base legal necesaria para cada caso.
Protocolo básico para gestionar solicitudes ARCO en tu empresa
Implantar un proceso interno sencillo reduce drásticamente el riesgo de error humano y sanciones de la AEPD:
- Habilitar un canal de comunicación claro, como una dirección de correo específica.
- Verificar la identidad del solicitante pidiendo el DNI solo si existen dudas reales sobre quién es.
- Registrar la solicitud internamente para controlar que no se pasen los 30 días de plazo.
- Analizar la petición para confirmar si los datos están bajo tu control y si el derecho es aplicable.
- Redactar la respuesta de forma clara y facilitar la información o la acción solicitada.
- Conservar la evidencia del envío de la respuesta para demostrar que cumpliste el plazo.
Conclusiones
Las solicitudes de derechos ARCO son una prueba de fuego para el cumplimiento normativo de cualquier pyme. Ignorar un correo de un excliente pidiendo que borres sus datos puede derivar en un procedimiento sancionador costoso y dañino para tu reputación.
Tener un protocolo de respuesta ágil y fundamentado no es solo una obligación legal, sino una medida de seguridad para tu negocio. La prevención y el orden en el tratamiento de la información son siempre más rentables que afrontar una multa por una gestión deficiente.
En Acoran te ayudamos a establecer el protocolo de gestión de derechos ARCO y a adaptar tu empresa al RGPD sin complicaciones. Solicita tu consulta gratuita.
Preguntas frecuentes sobre derechos ARCO
¿Cuánto plazo tiene mi empresa para responder a una solicitud ARCO?
El plazo general es de un mes natural desde que recibes la solicitud. Si el caso es muy complejo, puedes ampliarlo dos meses adicionales avisando siempre al interesado durante los primeros 30 días.
¿Puede mi empresa cobrar por atender una solicitud ARCO?
No, el ejercicio de estos derechos debe ser totalmente gratuito para el ciudadano. Solo en casos de solicitudes manifiestamente infundadas o excesivas podrías cobrar un canon, pero es algo difícil de justificar ante la AEPD.
¿Los derechos ARCO aplican también a los datos de mis empleados?
Sí, sin ninguna diferencia respecto a un cliente. Un trabajador puede pedir acceso a su expediente laboral o a los registros de su jornada en cualquier momento y debes responder en el mismo plazo de un mes.
¿Qué pasa si mi empresa no responde a una solicitud ARCO en plazo?
El interesado puede presentar una reclamación ante la AEPD. La Agencia puede iniciar un procedimiento sancionador que puede derivar en multas de hasta 20 millones de euros o el 4% de la facturación global anual.
Otros artículos de interés:
¿Es obligatorio contratar una empresa de protección de datos?
Puedes escribirnos sin ningún tipo de compromiso:
📧 acoran@acoran.es
📱 915 30 21 31
📍 C. del Laurel, 10, Bajo A, 28005 Madrid
Comentarios recientes