Una solicitud de derechos ARCO (también llamada DSAR en inglés) es una solicitud formal de un individuo que ejerce sus derechos conforme a los [arts. 15–22 RGPD]: acceder a sus datos, suprimirlos, obtener una copia portable, limitar su tratamiento u oponerse a él. Conforme al [RGPD art. 12(3)], debes responder en 30 días desde la recepción. Para solicitudes complejas, puedes ampliar dos meses más si notificas al solicitante dentro del plazo original.
Registrar una solicitud
Las solicitudes suelen llegar por email a tu dirección de contacto de protección de datos. Cuando recibas una:
- Abre ARCO en la barra lateral del panel.
- Pulsa Nueva solicitud.
- Introduce el email del solicitante, el tipo de solicitud y la fecha de recepción — la fecha en que llegó el email, no la de hoy. El plazo de 30 días corre desde esa fecha.
- Guarda.
Tipos de solicitud
| Tipo | Qué debes hacer |
|---|---|
| Acceso | Proporcionar copia de todos los datos personales que conservas sobre esa persona |
| Supresión | Eliminar sus datos, salvo obligaciones de retención legal |
| Portabilidad | Exportar sus datos en formato estructurado y legible por máquina |
| Limitación | Suspender todo tratamiento no esencial mientras haya una controversia pendiente |
| Oposición | Dejar de tratar sus datos para una finalidad concreta, p. ej. marketing |
| Rectificación | Corregir datos inexactos |
Responder
Abre la solicitud desde el buzón. Verás el detalle y los días que quedan. Cuando tengas preparada la respuesta:
- Pulsa Responder.
- Registra la fecha de respuesta y una nota breve: qué enviaste, qué categorías de datos incluiste, qué excepciones legales aplicaste si las hay.
- Actualiza el estado a Respondida o Cerrada.
Mantén este registro preciso. Es tu evidencia de cumplimiento conforme al [RGPD art. 5(2)] si un regulador la solicita.
Solicitudes vencidas y escaladas
Las solicitudes con tres días o menos se vuelven ámbar. Las que superan el plazo se vuelven rojas. Una solicitud ARCO vencida es un riesgo de responsabilidad que puede dar lugar a un procedimiento sancionador de la AEPD.
Si una solicitud requiere la ampliación de dos meses, notifica al solicitante por escrito dentro del plazo original de 30 días indicando el motivo, y añade una nota de escalación con la nueva fecha límite.
Vinculación con brechas de 72 h
Si se produce una brecha de datos personales, miniterms comprueba las solicitudes ARCO abiertas al cargar la página y emite una alerta al registro de incidentes de Dekimu Hub. Este proceso es automático — no es necesaria ninguna acción. Garantiza que una brecha que afecte a una persona con una solicitud ARCO aún abierta quede visible en la misma vista de incidentes.
miniterms hace el seguimiento de los plazos ARCO pero no redacta ni envía respuestas automáticamente. El contenido de la respuesta es responsabilidad tuya como responsable del tratamiento.