Cuando llega una solicitud ARCO+ a tu mesa y el responsable es tu cliente
3 preguntas que un encargado debe tener resueltas antes de que llegue la primera solicitud.
En una reunión reciente, una empresa proveedora de tótems para una cadena de farmacias me planteó una duda operativa que se repite más de lo que parece: “Nos llegó una solicitud de una persona que usó el tótem. Quiere saber qué datos tenemos de ella. ¿Quién responde, nosotros o nuestro cliente?”
Como encargado de datos, la solicitud que llega a tu mesa no te pertenece legalmente. Pero operativamente, sí. Si tienes tres preguntas respondidas antes de que llegue la primera —qué le digo al titular, qué dice mi contrato con mi cliente, qué evidencia guardo—, el resto se resuelve con tiempo de sobra.
La lectura literal de la ley dice que basta con informar al titular que tú no eres el responsable y remitirlo a los canales oficiales de tu cliente. Punto. No tienes que entregar, borrar ni modificar nada. El plazo de 30 días corridos —ampliable a 60 con justificación— recae en el responsable.
Esa lectura es legalmente correcta, pero operativamente insuficiente. Si solo informas y remites, pasan tres cosas:
- ✕ El titular no sabe a quién escribirle. Es probable que nunca haya usado el canal ARCO+ de tu cliente y no lo va a buscar solo porque tú le digas "diríjase a ellos".
- ✕ El plazo sigue corriendo. Aunque el responsable demore semanas en responder, la Agencia mide el cumplimiento desde que la solicitud entró al sistema del primer interviniente — probablemente tú.
- ✕ No tienes registro de nada. Si el titular reclama porque nunca le respondieron, ¿cómo demuestras que tú cumpliste tu parte?
En el caso del proveedor de tótems, la respuesta se construyó así — y quedó funcionando sin nuevos tropiezos:
Estimado/a [nombre]: Confirmamos la recepción de su solicitud sobre datos personales. Le informamos que, de acuerdo con la Ley 21.719, [nuestra empresa] actúa como tercero mandatario o encargado tecnológico para [cliente]. La entidad responsable del tratamiento de los datos que usted proporcionó al usar nuestros tótems es [cliente]. Hemos derivado su solicitud a [cliente] para su gestión. Usted también puede ejercer sus derechos directamente ante ellos a través de los canales oficiales dispuestos en su Política de Privacidad.
Cinco puntos no negociables de esa plantilla: identifica tu rol, identifica al responsable, deriva explícitamente la solicitud, ofrece el canal alternativo del responsable, y guarda copia exacta con timestamp. Lo que no debes hacer: responder de fondo, entregar datos, modificar información, ni esperar pasivamente a que el cliente haga su parte.
Esta es la pregunta que los proveedores B2B chilenos descubren cuando ya están en problemas. La Ley 21.719 obliga a que el tratamiento de datos por encargo se rija por un contrato entre responsable y encargado que incluya al menos seis elementos obligatorios:
El objeto del encargo
Qué servicio específico entregas como encargado (ej: emitir números de atención).
La duración del encargo
Período durante el cual estás autorizado a tratar los datos.
La finalidad del tratamiento
Propósito exacto para el que se usan los datos; cualquier otro uso está prohibido.
El tipo de datos tratados
Cuáles datos específicamente: RUT, nombre, número de atención, etc.
Categorías de titulares
Qué grupo de personas aplica (ej: clientes de la farmacia).
Derechos y obligaciones
Protocolo de derivación ARCO+, medidas de seguridad, reportes de vulneraciones y confidencialidad.
Hay tres cláusulas adicionales que suelen quedar fuera de contratos firmados antes de la ley:
- + Prohibición de subcontratar sin autorización escrita del responsable (si subcontratas con autorización, sigues siendo solidariamente responsable).
- + Devolución o supresión de datos al término del servicio.
- + Acceso del encargado solo bajo instrucciones del responsable, nunca por iniciativa propia.
El problema real: la mayoría de estos contratos se firmaron antes del 1 de diciembre de 2026. Muchos ni siquiera mencionan "datos personales". Esperar a ver si fiscalizan primero es la peor estrategia — renegociar en caliente deja una posición de negociación pésima.
¿Qué hacer ahora, a menos de seis meses de la vigencia?
- Saca una lista de tus cinco clientes corporativos más grandes. Para cada uno, identifica si tu contrato actual cubre los seis elementos.
- Si los cubre, ya tienes el 80 % del trabajo hecho — falta internalizar el protocolo de derivación con tu equipo.
- Si no los cubre (el caso más común), levanta un addendum específico o un DPA nuevo. No hace falta renegociar todo el contrato, basta un anexo de protección de datos.
- Define por escrito el procedimiento exacto de derivación de solicitudes ARCO+ y los SLA de respuesta (5 días para informar, 30 para responder).
Este trabajo suele caer entre dos sillas —legal lo trata como un contrato más, comercial no quiere abrir la conversación— y termina sin hacerse hasta que llega la primera solicitud. Plataformas como ARCO Legal ya integran gestión de DPAs y derivación con plantillas listas para los seis elementos obligatorios — la alternativa de un abogado para un proyecto único que después no se mantiene no funciona para una ley con vigencia indefinida.
Días corridosPlazo legal para responder al titular (30 días, ampliable a 60 con justificación) — pero la Agencia mide el cumplimiento desde que la solicitud entró al sistema del primer interviniente, no desde que la recibe el responsable.
"No soy responsable de los datos" no es una defensa, es una frase. Ante la Agencia, lo único que la sostiene es evidencia auditable de cómo informaste, cómo derivaste y cómo no usaste los datos para fines distintos del encargo.
La nueva Agencia de Protección de Datos Personales —autónoma, con facultades sancionatorias desde el primer día de vigencia— puede fiscalizar a cualquier empresa. Si llega una queja diciendo "nadie me respondió", la primera pregunta va a ser: muéstrame el registro.
La bitácora mínima que te salva:
- ✓ Fecha y hora exacta de recepción de la solicitud.
- ✓ Identificación del responsable interno asignado a gestionarla.
- ✓ Tipo de solicitud: acceso, rectificación, supresión, oposición, portabilidad o bloqueo (los seis derechos ARCO+).
- ✓ Fecha y contenido de la derivación al cliente responsable.
- ✓ Fecha y contenido de la respuesta enviada al titular.
- ✓ Identificación del cliente responsable al que se derivó y canal usado.
- ✓ Estado final (cerrada por derivación, en seguimiento, escalada a agencia).
Lo que no debes hacer: reenviar la solicitud por correo y confiar en que el archivo bastará. Un correo suelto no es evidencia auditable; es un archivo más en la bandeja de alguien.
Antes de la primera solicitud que llegue a tu mesa, esto es lo que necesitas tener resuelto.
Qué le digo al titular
- Identifica explícitamente si eres responsable o encargado en ese caso.
- Define una plantilla de respuesta estándar: rol, responsable, derivación, canal alternativo, copia.
- Responde en menos de 5 días corridos desde la recepción.
- Conserva copia inmutable de la respuesta enviada, con timestamp exacto.
- No respondas de fondo. No entregues, borres ni modifiques datos.
- Alerta a tu cliente responsable por canal escrito (no solo correo informal).
Qué dice mi contrato con tu cliente responsable
- Revisa si tu contrato actual cubre los 6 elementos obligatorios de la Ley 21.719.
- Si no los cubre, prioriza renegociar con tus 5 clientes corporativos más grandes.
- Incluye explícitamente el procedimiento de derivación de solicitudes ARCO+.
- Define cláusulas de subcontratación (autorización escrita del responsable).
- Define cláusulas de devolución o supresión de datos al término del servicio.
- Firma addendum o DPA específico antes del 1 de diciembre de 2026.
Qué evidencia guardo
- Implementa una bitácora auditable con timestamps por cada solicitud.
- Captura inmutable de la respuesta enviada al titular.
- Identificación del responsable interno asignado a cada solicitud.
- Identificación del cliente responsable al que se derivó.
- Política de retención mínima de 5 años después del cierre.
- Acceso en modo solo-lectura para auditores externos si te lo piden.
La ley te obliga a informar al titular, no a responder de fondo. Pero la Agencia te va a pedir que demuestres cómo informaste, cómo derivaste y cómo no usaste los datos para fines distintos del encargo. Y la multa empieza en 5.000 UTM, no en una llamada de advertencia.
Si eres proveedor B2B chileno y operas como encargado de datos, el tiempo de prepararte corre. La vigencia es el 1 de diciembre de 2026. Antes de esa fecha, las tres preguntas de este artículo deberían tener respuesta cerrada en tu organización.
En las próximas entregas vamos a cubrir el escenario inverso —qué hacer cuando tú eres el responsable de los datos— y a fondo qué debería incluir un certificado mensual de cumplimiento que puedas mostrarles a tus mandantes corporativos como evidencia recurrente de compliance.
Mientras tanto, revisa el contrato con tu cliente responsable más grande. Hoy. Antes de que llegue la primera solicitud.
Notas
- ARCO+ son los seis derechos del titular bajo la Ley 21.719: Acceso, Rectificación, Cancelación/Supresión, Oposición, Portabilidad y Bloqueo.
- En español común, encargado y responsable se confunden permanentemente: el responsable decide para qué se usan los datos; el encargado los trata por cuenta del primero. Si no estás seguro de cuál eres en un caso concreto, probablemente eres encargado.
Para este artículo me apoyé en
- Lectura directa del texto oficial Ley 21.719 (BCN).
- Producto ARCO Legal (descripción del Gestor ARCO+ y módulo de Trazabilidad).
- Reuniones directas con proveedores B2B chilenos.
Referencias
ARCO Legal integra gestión de DPAs, derivación de solicitudes ARCO+ y trazabilidad auditable en un solo lugar.
Conoce ARCO Legal →