Cuando el Reglamento (UE) 2016/679 (RGPD) entró en aplicación el 25 de mayo de 2018, no solo impuso nuevas obligaciones a las organizaciones que tratan datos personales: también amplió y reformuló los derechos de los ciudadanos. El antiguo acrónimo ARCO —Acceso, Rectificación, Cancelación y Oposición, heredado de la Ley Orgánica 15/1999 ya derogada— dio paso a un catálogo más extenso y matizado que hoy se recoge bajo el mnemónico ARSULIPO. Conocer qué significa cada derecho, en qué artículo del RGPD se ampara y en cuánto tiempo debe atenderse es el primer paso para que tu empresa gestione correctamente las solicitudes que reciba y evite sanciones innecesarias.
Del ARCO al ARSULIPO: por qué cambió la nomenclatura
La LO 15/1999 (LOPD derogada) reconocía cuatro derechos: Acceso, Rectificación, Cancelación y Oposición. La LOPDGDD —Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que es la norma nacional vigente— adapta al ordenamiento español el catálogo ampliado del RGPD, que ahora contempla seis derechos en el acrónimo ARSULIPO, más derechos adicionales reconocidos por el RGPD.
El cambio no es meramente terminológico. La cancelación se desdobla en supresión y limitación del tratamiento, que son derechos con efectos jurídicos distintos. Se añaden la portabilidad y el derecho a no ser objeto de decisiones automatizadas, incluido el perfilado. Además, la oposición gana contenido específico para el caso del marketing directo. Esta ampliación hace que ARCO resulte ya insuficiente como referencia práctica, y de ahí el uso del acrónimo ARSULIPO en la formación y en los procedimientos de cumplimiento. El acrónimo recoge seis derechos: Acceso (A), Rectificación (R), Supresión (SU), Limitación (LI), Portabilidad (P) y Oposición (O). El derecho reconocido en el art. 22 del RGPD —a no ser objeto de decisiones basadas únicamente en tratamiento automatizado— es un derecho adicional que no se integra en el mnemónico.
| Derecho ARCO (LO 15/1999, derogada) | Equivalente o sucesor en ARSULIPO (RGPD) |
|---|---|
| Acceso | Acceso — art. 15 RGPD (ampliado) |
| Rectificación | Rectificación — art. 16 RGPD |
| Cancelación | Supresión (art. 17) + Limitación (art. 18) |
| Oposición | Oposición — art. 21 RGPD (reforzada para marketing directo) |
| — | Portabilidad — art. 20 RGPD (nuevo) |
| — | No ser objeto de decisiones automatizadas — art. 22 RGPD (nuevo) |
Los seis derechos ARSULIPO y el derecho adicional del art. 22 RGPD
El artículo 12.3 del RGPD establece la regla general de respuesta: un mes desde la recepción de la solicitud, prorrogable hasta dos meses adicionales cuando la complejidad o el número de solicitudes lo justifiquen, siempre que se informe al interesado dentro del primer mes. La siguiente tabla presenta los seis derechos que forman el acrónimo ARSULIPO y el derecho adicional reconocido por el art. 22 del RGPD —que no forma parte del mnemónico—, con sus referencias normativas y particularidades de plazo. Para una guía operativa completa sobre cómo atender cada solicitud en la práctica, consulta también Derechos de los interesados en el RGPD: acceso, rectificación, supresión, oposición, limitación y portabilidad.
| Derecho | Artículo RGPD | Qué permite al interesado | Plazo de respuesta |
|---|---|---|---|
| Acceso (A) | Art. 15 | Obtener confirmación de si se tratan sus datos y, en caso afirmativo, una copia de ellos junto con información sobre las finalidades, destinatarios, plazo de conservación y origen de los datos. | 1 mes (prorrogable a 3 meses en casos complejos) |
| Rectificación (R) | Art. 16 | Exigir la corrección de datos inexactos o incompletos que le conciernan, sin dilación indebida. | 1 mes (prorrogable a 3 meses) |
| Supresión / derecho al olvido (SU) | Art. 17 | Solicitar la eliminación de sus datos cuando, entre otros motivos, ya no sean necesarios para la finalidad que justificó su recogida, se retire el consentimiento o el tratamiento sea ilícito. | Sin dilación indebida (en la práctica, 1 mes) |
| Oposición (O) | Art. 21 | Oponerse al tratamiento basado en interés legítimo o en el ejercicio de poderes públicos. Para el marketing directo, el cese del tratamiento es inmediato e incondicional. | Inmediato para marketing directo; 1 mes para otros casos (prorrogable) |
| Limitación del tratamiento (LI) | Art. 18 | Solicitar que se suspenda temporalmente el tratamiento (por ejemplo, mientras se verifica la exactitud de los datos impugnados o se evalúa una oposición), sin que los datos sean suprimidos. | Sin dilación indebida tras la solicitud |
| Portabilidad (P) | Art. 20 | Recibir los datos que ha proporcionado en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados. | 1 mes (prorrogable a 3 meses) |
| No ser objeto de decisiones automatizadas (derecho adicional — art. 22 RGPD, fuera del acrónimo ARSULIPO) | Art. 22 | No quedar sujeto a decisiones basadas únicamente en el tratamiento automatizado —incluido el perfilado— que produzcan efectos jurídicos o le afecten de modo significativo, salvo excepciones tasadas (contrato, autorización legal o consentimiento explícito). | 1 mes (prorrogable a 3 meses) |
Conviene tener presente que no todos los derechos son absolutos. El RGPD y la LOPDGDD (LO 3/2018) prevén excepciones específicas para cada uno: por ejemplo, el derecho de supresión puede no prosperar cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o para la formulación, ejercicio o defensa de reclamaciones (art. 17.3 RGPD). La empresa debe evaluar cada solicitud de forma individualizada, sin denegarla de forma genérica.
Si tu organización necesita apoyo para diseñar el procedimiento de atención de solicitudes o revisar sus formularios internos, en Summum Consultoría acompañamos a empresas y entidades en la adecuación del canal de ejercicio de derechos de los interesados, desde Valladolid, Burgos, Palencia, Aranda de Duero y Las Palmas.
Cómo gestionar las solicitudes paso a paso
Una respuesta correcta a una solicitud ARSULIPO no requiere solo cumplir el plazo: también exige documentar el proceso. Estos son los pasos esenciales:
- Recepción y acuse de recibo: en cuanto se recibe la solicitud, hay que registrarla (fecha, canal, identidad del solicitante) y, en su caso, confirmar la recepción. Si la solicitud es incompleta o la identidad no está clara, el responsable tiene un mes para pedir información adicional (art. 12.6 RGPD); ese mes no computa en el plazo de respuesta.
- Verificación de identidad: el responsable puede solicitar información adicional para confirmar la identidad del interesado, pero no puede pedir datos desproporcionados. La AEPD recomienda que los procedimientos de verificación sean proporcionales al riesgo que supondría facilitar información a una persona no autorizada.
- Evaluación del derecho invocado: comprobar si concurren los presupuestos para que el derecho sea ejercitable y si existe alguna causa de limitación o excepción. Esta evaluación debe documentarse.
- Respuesta al interesado: en el plazo legal, comunicar de forma clara si se estima o desestima la solicitud, con motivación en caso de denegación y con información sobre el derecho a reclamar ante la AEPD (art. 12.4 RGPD).
- Ejecución y registro: aplicar las medidas técnicas y organizativas derivadas de la respuesta (suprimir datos, rectificar registros, suspender tratamientos) y dejar constancia documental de todo el proceso.
Este proceso puede integrarse en el Registro de Actividades de Tratamiento (RAT) y en el sistema de gestión de protección de datos de la organización, de manera que cada solicitud quede trazada y sea auditable.
Canales y formatos válidos para recibir solicitudes
El artículo 12.1 del RGPD exige que el responsable facilite el ejercicio de los derechos. No existe un formato obligatorio para las solicitudes: el interesado puede presentarlas por correo electrónico, formulario web, correo postal o presencialmente. La organización puede establecer formularios específicos para facilitar el proceso, pero no puede condicionar la validez de la solicitud a su uso: si alguien envía un correo libre describiendo su petición, esa solicitud es igualmente válida.
La dirección de correo electrónico o el canal habilitado para el ejercicio de derechos debe figurar en la política de privacidad y, cuando proceda, en la información facilitada en el momento de recogida de los datos (cláusula informativa, art. 13 y 14 RGPD). Si la organización tiene un delegado de protección de datos (DPO), sus datos de contacto también deben publicarse para que los interesados puedan dirigirse a él directamente.
Cuándo puede rechazarse o restringirse una solicitud
La denegación de una solicitud es posible, pero debe estar debidamente motivada. Algunas causas habituales:
- Supresión: el tratamiento es necesario para cumplir una obligación legal (por ejemplo, conservar facturas durante el plazo tributario), para el ejercicio de la libertad de expresión, o para la formulación de reclamaciones (art. 17.3 RGPD).
- Acceso: la solicitud es manifiestamente infundada o excesiva, en particular por su carácter repetitivo (art. 12.5 RGPD). En ese caso, el responsable puede cobrar un canon razonable o negarse a actuar, pero debe poder demostrar el carácter manifiestamente infundado o excesivo.
- Portabilidad: el tratamiento no está basado en consentimiento ni en contrato, o no se lleva a cabo por medios automatizados. En ese caso, el derecho no es aplicable.
- Decisiones automatizadas: la decisión es necesaria para la celebración o ejecución de un contrato, está autorizada por el Derecho de la Unión o de un Estado miembro, o el interesado ha dado su consentimiento explícito (art. 22.2 RGPD). En esos supuestos, la organización debe garantizar la intervención humana, la posibilidad de impugnar la decisión y expresar el punto de vista del interesado.
En todo caso, la respuesta denegatoria debe ser motivada, entregarse dentro del plazo legal e informar al interesado de su derecho a reclamar ante la AEPD y a interponer recurso judicial (art. 12.4 RGPD).
El régimen sancionador aplicable
El incumplimiento de las obligaciones relativas al ejercicio de derechos puede derivar en la apertura de un procedimiento sancionador. El artículo 83.5 del RGPD clasifica como infracción grave el incumplimiento de los principios básicos del tratamiento y de los derechos de los interesados, con sanciones de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial, el importe que sea mayor. La LOPDGDD (LO 3/2018) complementa este régimen en los artículos 72 a 74, tipificando infracciones muy graves, graves y leves en el ordenamiento español.
Estos umbrales no son automáticos: la AEPD valora la diligencia de la organización, el carácter intencional o negligente de la infracción, las medidas adoptadas para remediarla y el nivel de cooperación mostrado. Contar con procedimientos documentados de atención de derechos es un elemento que la autoridad tiene en cuenta al valorar la responsabilidad proactiva (accountability) de la organización.
Desde Summum Consultoría ayudamos a tu organización a diseñar y documentar el canal de ejercicio de derechos, adaptar los modelos de respuesta y formar al personal encargado de atender las solicitudes, con el objetivo de que el proceso sea ágil, documentado y conforme al RGPD y a la LOPDGDD.
Preguntas frecuentes
¿Es lo mismo el derecho de supresión que el derecho al olvido?
En la práctica se utilizan como sinónimos, pero el derecho al olvido es una manifestación específica del derecho de supresión aplicada al entorno digital. El artículo 17.2 del RGPD obliga al responsable que ha hecho públicos los datos a tomar las medidas razonables para informar a los demás responsables que los estén tratando de que el interesado ha solicitado la supresión de cualquier enlace a esos datos o de sus copias o réplicas. En la práctica, este mandato afecta especialmente a los motores de búsqueda y a las plataformas que indexan contenido de terceros.
¿Puede un empleado ejercer derechos ARSULIPO frente a su empresa?
Sí. Los trabajadores son interesados a efectos del RGPD, y pueden ejercer cualquiera de estos derechos respecto a los datos que la empresa trate en el contexto laboral. Ahora bien, el ejercicio de algunos derechos —como la supresión o la limitación— puede quedar restringido cuando el tratamiento sea necesario para el cumplimiento de obligaciones legales laborales o para la ejecución del contrato de trabajo. La LOPDGDD regula específicamente los tratamientos en el ámbito laboral en sus artículos 87 a 91, complementando el marco del RGPD.
¿Qué ocurre si el interesado no aporta suficiente información para identificarse?
El artículo 11.2 del RGPD dispone que, cuando el responsable no pueda identificar al interesado, deberá informarle de ello. Si el interesado facilita información adicional que permite su identificación, el responsable no podrá negarse a actuar. Si la identidad sigue sin poderse verificar con razonable certeza y el ejercicio del derecho podría suponer un riesgo para la privacidad de terceros —por ejemplo, entregar datos de otra persona—, la denegación puede estar justificada. En todo caso, la solicitud de información adicional interrumpe el cómputo del plazo de respuesta.
¿Qué diferencia hay entre limitar el tratamiento y oponerse a él?
Son derechos distintos con efectos distintos. La limitación del tratamiento (art. 18 RGPD) suspende temporalmente el uso de los datos: estos no se eliminan, pero el responsable no puede tratarlos durante el periodo de limitación, salvo para conservarlos o con consentimiento del interesado. La oposición (art. 21 RGPD) busca que el tratamiento cese de forma definitiva cuando esté basado en interés legítimo o en el ejercicio de poderes públicos, salvo que el responsable acredite motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado. En marketing directo, la oposición es absoluta: el responsable debe dejar de tratar los datos para ese fin de forma inmediata y sin posibilidad de alegar motivos que la neutralicen.