Derechos ARCO: Lo que toda empresa debe saber

Públicado en por

En el entorno actual, donde los datos personales son uno de los activos más valiosos, el Reglamento General de Protección de Datos (RGPD) otorga a las personas —los llamados “interesados”— un conjunto de derechos fundamentales para garantizar el control sobre su información. Para las empresas, conocer y facilitar el ejercicio de estos derechos no solo es una obligación legal, sino también una garantía de confianza para clientes y usuarios.

En esta entrada, te explicamos de forma clara y práctica en qué consisten los derechos ARCO (Acceso, Rectificación, Cancelación -ahora Derecho al Olvido– y Oposición), además de otros derechos relevantes como la Portabilidad y el Derecho a la Información.

También te contamos cómo deben gestionarse las reclamaciones y qué plazos hay que respetar para evitar sanciones.

Derechos ARCO

¿Qué son los derechos ARCO?

Los derechos ARCO, como te contábamos, son un conjunto de derechos que permiten a los ciudadanos ejercer el control sobre sus datos personales:

1. Derecho de Acceso

Permite a cualquier persona saber si una empresa está tratando sus datos personales y, en tal caso, obtener acceso a los mismos. Esto incluye:

  • Finalidades del tratamiento
  • Categorías de datos tratados
  • Destinatarios a quienes se comunican los datos
  • Plazo de conservación
  • Información sobre el origen de los datos, si no se obtuvieron directamente del interesado

🕒 Plazo para responder por parte de la empresa: 1 mes, ampliable a 2 en casos complejos, justificando la demora.

2. Derecho de Rectificación

El derecho de rectificación permite a cualquier persona corregir los datos personales inexactos o incompletos que una empresa u organización tenga sobre ella. Este derecho es clave para garantizar que los datos tratados sean veraces, actualizados y adecuados a su finalidad.

¿Cuándo puede ejercerse?

El interesado puede solicitar la rectificación cuando:

  • Sus datos son incorrectos (por ejemplo, un apellido mal escrito o una dirección antigua).
  • Sus datos han cambiado (como una nueva cuenta de correo electrónico o número de teléfono).
  • Falta información relevante para que los datos estén completos y sean precisos.

Ejemplo: Un cliente detecta que en una factura figura un DNI erróneo. Puede solicitar la rectificación para que el documento sea legalmente válido y refleje sus datos reales.

🕒 El responsable del tratamiento tiene un máximo de 1 mes para responder a la solicitud. Este plazo puede ampliarse hasta 2 meses en casos especialmente complejos, pero debe justificarse y comunicarse al interesado dentro del primer mes.

3. Derecho de Supresión (o Derecho al Olvido)

Permite solicitar la eliminación de los datos cuando:

  • Ya no son necesarios para la finalidad con la que fueron recogidos.
  • Se ha retirado el consentimiento.
  • Se han tratado de forma ilícita.

No es absoluto: puede haber razones legales para conservarlos (p. ej., obligaciones fiscales).

4. Derecho de Oposición

El derecho de oposición permite al interesado negarse al tratamiento de sus datos personales en determinadas situaciones, especialmente cuando este tratamiento no se basa en el consentimiento sino en intereses legítimos del responsable o en una misión de interés público.

Este derecho es una herramienta muy poderosa para proteger la privacidad frente a usos no deseados o invasivos de la información personal.

¿Cuándo puede ejercerse?

Una persona puede oponerse al tratamiento de sus datos cuando:

  • El tratamiento se basa en el interés legítimo del responsable: por ejemplo, cuando una empresa usa los datos de sus clientes para realizar estudios internos o perfiles comerciales sin haber solicitado consentimiento expreso.
  • Se usan los datos con fines de marketing directo: aquí, la oposición es absoluta. Basta con que el interesado se oponga una vez para que la empresa esté obligada a dejar de enviar comunicaciones comerciales.
  • Se realiza un tratamiento con fines estadísticos, científicos o históricos, y el interesado tiene motivos personales fundados para no ser incluido.

Obligación de la empresa

  • La empresa debe cesar inmediatamente el tratamiento de los datos, salvo que pueda demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales.
  • En el caso del marketing directo, no existe excepción: la empresa debe detener el envío de comunicaciones comerciales sin más condiciones.

Encuentra aquí todos los formularios que existen para ejercer los derechos ARCO, según la normativa legal vigente.

Fuente: Agencia Española de Protección de Datos (AEPD)
Protege los datos de tu empresa

Más allá de los Derechos ARCO: Portabilidad e Información

5. Derecho a la Portabilidad

El derecho a la portabilidad permite a las personas recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos directamente a otro responsable del tratamiento, si así lo desean.

Este derecho fue introducido por el RGPD con el objetivo de aumentar el control de los ciudadanos sobre su información y facilitar la libre competencia entre proveedores de servicios digitales.

¿Qué datos están sujetos a portabilidad?

Solo los datos que cumplan estas condiciones:

  • Que el interesado haya proporcionado a la empresa (ya sea mediante un formulario, una app, o cualquier otra vía directa).
  • Que se estén tratando por medios automatizados (por ejemplo, software, aplicaciones web o bases de datos).
  • Que el tratamiento se base en el consentimiento del usuario o en un contrato (no se aplica si la base legal es un interés legítimo o una obligación legal).

Ejemplo: Un usuario de una app de gestión de salud puede solicitar la portabilidad de su historial a otro proveedor que ofrezca servicios similares.

Obligación de la empresa

Cuando una persona ejerce este derecho, la empresa debe:

  • Entregar los datos en un formato estructurado, común y de lectura automática (por ejemplo: CSV, JSON, XML).
  • Facilitar, si es técnicamente posible, la transmisión directa de los datos al nuevo responsable, si el usuario así lo solicita.
  • Garantizar la seguridad de los datos durante el proceso.

Este derecho no implica la supresión automática de los datos del primer responsable. No es un derecho al olvido.

6. Derecho a la Información

El derecho a la información es uno de los pilares del Reglamento General de Protección de Datos (RGPD). Garantiza que toda persona tenga conocimiento claro y completo sobre el tratamiento de sus datos personales desde el momento en que estos son recogidos.

Este derecho no requiere solicitud por parte del interesado: es una obligación proactiva de la empresa informar de forma transparente, accesible y comprensible.

Desde el primer momento en que se recogen los datos, las empresas están obligadas a informar al interesado sobre:

  • Identidad del responsable del tratamiento
  • Finalidades del tratamiento
  • Base jurídica
  • Derechos que puede ejercer
  • Posibilidad de reclamar ante la AEPD
  • Si hay transferencias internacionales o decisiones automatizadas

¿Cómo pueden ejercer los derechos ARCO los ciudadanos?

Los interesados deben poder ejercer sus derechos de forma gratuita, fácil y clara. Generalmente se utiliza:

  • Correo electrónico habilitado en la política de privacidad.
  • Formularios en la web.
  • Solicitud por escrito o verbal (aunque se recomienda que quede constancia).

La empresa debe verificar la identidad del solicitante y responder en un máximo de 30 días.

Si no se responde o se responde de forma inadecuada, el interesado puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

¿Qué obligaciones tiene la empresa?

  • Facilitar canales adecuados para ejercer derechos.
  • Responder dentro del plazo legal establecido.
  • Conservar evidencias del cumplimiento (registro de solicitudes y respuestas).
  • No obstaculizar el ejercicio de los derechos.
  • Designar un Delegado de Protección de Datos (DPD) si así lo exige la actividad de la empresa (p. ej., centros educativos, empresas que traten datos sensibles a gran escala, etc.)
Necesito un Delegado de Protección de Datos

¿Qué ocurre si la empresa no cumple las solicitudes de los derechos ARCO?

El incumplimiento de las obligaciones relacionadas con los derechos de los interesados puede derivar en sanciones graves por parte de la AEPD. Estas pueden alcanzar hasta 20 millones de euros o el 4% de la facturación anual de la empresa.

Además, en muchos casos el problema no es tanto la mala intención como la desinformación, lentitud o falta de asesoramiento profesional.

Gestionar adecuadamente los derechos ARCO y el resto de derechos reconocidos por el RGPD no es solo un imperativo legal, sino una oportunidad para reforzar la confianza de tus clientes y evitar sanciones costosas.

En VocemDAT, te ayudamos a implantar sistemas eficaces, responder en plazo y garantizar que tu empresa esté siempre al día en materia de protección de datos. Contamos con una plataforma intuitiva, asesoría personalizada y la posibilidad de integrar un DPD que te acompañe en todo momento.

👉 ¿Tienes dudas sobre cómo cumplir con estos derechos? Contacta con nosotros y protege tu empresa hoy.

CONTACTA

CON NUESTROs expertos

solicita presupuesto | protección de datos

Deja una respuesta