ARSOP — Solicitudes de Derechos de Titulares
El módulo ARSOP gestiona el ciclo completo de las solicitudes que los titulares envían para ejercer sus derechos de Acceso, Rectificación, Supresión, Oposición y Portabilidad, además del Bloqueo temporal y la Oposición a decisiones automatizadas consagrados en la Ley 21.719 (Art. 4 a 11).
DPO (Data Protection Officer), también denominado DPD (Delegado de Protección de Datos) en la legislación chilena, y los equipos responsables pueden recibir solicitudes por múltiples canales, verificar la identidad del solicitante de forma proporcional al riesgo, gestionar los plazos legales y enviar la respuesta, todo desde un mismo dashboard.
Ver también: Endpoints de API — ARSOP
Requisitos regulatorios
| Artículo | Obligación |
|---|---|
| Art. 4 a 11 Ley 21.719 | Catálogo de derechos ARSOP: Acceso, Rectificación, Supresión, Oposición, Portabilidad, Bloqueo, Oposición a decisiones automatizadas |
| Art. 11 Ley 21.719 | Plazo de respuesta: 30 días corridos desde la recepción (no días hábiles) |
| Art. 11 inc. 2 Ley 21.719 | Prórroga única de 30 días corridos adicionales cuando la complejidad técnica lo justifique |
| Art. 13 Ley 21.719 | Ejercicio por representante legal: exige acreditación del mandato con documentación válida |
| Art. 3 Ley 21.719 | Principio de seguridad: datos personales del solicitante cifrados en reposo |
El plazo de respuesta es de 30 días corridos, no hábiles. DPOLab calcula la fecha límite automáticamente desde la fecha de recepción. No confunda con los plazos de SLA internos.
Cómo acceder
Desde el dashboard, navega a Dashboard → ARSOP. Las sub-secciones disponibles son:
- Solicitudes: lista de todas las solicitudes con estado y plazo restante.
- Widgets: formularios embebibles configurables por entidad legal.
- Plantillas: respuestas reutilizables por tipo de derecho.
Funcionalidades principales
| Funcionalidad | Descripción |
|---|---|
| Recepción multicanal | Formulario embebido en el sitio, creación manual desde el dashboard o vía integración |
| Verificación de identidad (IDV) | Sistema de 4 niveles proporcional al riesgo del tratamiento |
| Representante legal | Captura y validación de datos del representante según Art. 13 |
| Plazo automático | 30 días corridos + prórroga única de 30 días; alertas re-agendadas automáticamente |
| Folio de seguimiento | Código ARCO-YYYY-NNNNN que el titular puede consultar públicamente |
| Registro de eventos | Historial inmutable de cada cambio de estado: recibida, en proceso, prorrogada, respondida, rechazada |
| Cifrado de datos personales | Nombre, correo, RUT y teléfono del solicitante cifrados en reposo |
| Plantillas de respuesta | Reutilizables por tipo de derecho, con variables resueltas en previsualización |
| Flujo de aprobación | Cadena de aprobación antes de marcar la solicitud como completada (configurable en Professional+) |
| Alertas automáticas | Avisos a 10, 3 y 0 días del vencimiento; revisión diaria de solicitudes vencidas |
Verificación de identidad
El sistema ofrece 4 niveles de verificación proporcionales al riesgo del tratamiento:
| Nivel | Método | Caso de uso recomendado |
|---|---|---|
| L1 | Autodeclaración (sin verificación adicional) | Solicitudes de bajo riesgo, como oposición a marketing |
| L2 | Código de un solo uso enviado por correo electrónico | Acceso a datos básicos; la mayoría de los casos habituales |
| L3 | Verificación documental (cédula de identidad) | Acceso a datos sensibles o financieros, supresión, portabilidad |
| L4 | Verificación presencial asistida | Solicitudes sobre cuentas bancarias, salud o datos de menores |
Disponibilidad: Los niveles L3 (verificación documental con proveedor externo) y L4 (verificación presencial asistida) no estarán disponibles en las próximas versiones de la plataforma. Actualmente se soportan L1 (autodeclaración) y L2 (código por correo electrónico).
Paso a paso
Crea el formulario de solicitudes
Ve a Dashboard → ARSOP → Widgets y crea uno nuevo. Configura:
- Nombre interno: identifica el formulario por caso de uso (ej.: "Portal clientes — Banco del Pacífico Sur").
- Entidad legal asociada: todas las solicitudes recibidas quedan vinculadas a esta entidad para efectos de reportes y auditoría.
- Nivel de verificación de identidad: elige el nivel proporcional al riesgo del tratamiento.
Publica el formulario en tu sitio
Una vez creado el formulario, copia el código generado e inclúyelo en tu sitio web:
<script
src="https://sdk.dpolab.com/dsar.js"
data-widget-key="dsar_XXXXXXXXXXXXXXXXX"
async
></script>
<div id="dpolab-dsar-form"></div>El formulario se carga automáticamente en el bloque indicado y aplica el nivel de verificación configurado antes de aceptar el envío.
Recibe la solicitud
Cuando el titular envía el formulario, DPOLab realiza automáticamente los siguientes pasos:
- Genera el folio ARCO-YYYY-NNNNN.
- Cifra los datos personales del solicitante en reposo.
- Calcula la fecha límite de respuesta (fecha de recepción + 30 días corridos).
- Registra el evento "Recibida" en el historial de la solicitud.
- Programa alertas automáticas a 10, 3 y 0 días del vencimiento.
- Envía el acuse de recibo por correo al titular (con reintento automático si el proveedor falla).
Verifica al representante (si aplica — Art. 13)
Si el titular ejerce el derecho a través de un representante legal, el formulario captura el nombre, RUT, relación con el titular y el documento que acredita el mandato. El DPO debe validar el documento adjunto antes de continuar. Sin acreditación válida, la solicitud puede rechazarse con el motivo correspondiente.
Asigna y procesa la solicitud
El DPO o un analista asigna la solicitud y puede:
- Recolectar datos desde los sistemas vinculados al RAT de la entidad legal.
- Solicitar más información al titular — el plazo no se suspende automáticamente; documente si el titular no responde.
- Usar plantillas de respuesta para preparar y enviar la respuesta por tipo de derecho.
Aplica una prórroga si es necesario (Art. 11 inc. 2)
Si la complejidad técnica lo justifica, use la opción de prórroga en el detalle de la solicitud e ingrese el motivo. DPOLab:
- Calcula el nuevo plazo (fecha de recepción + 60 días corridos).
- Reagenda las alertas automáticas contra la nueva fecha.
- Notifica al titular por correo con la nueva fecha y el motivo de la prórroga.
Solo se permite una prórroga. La Ley 21.719 Art. 11 inc. 2 no admite prórrogas adicionales.
Genera y envía la respuesta
El DPO completa la respuesta con el resultado del proceso y, si aplica, el archivo de portabilidad. La solicitud se marca como completada automáticamente al aprobar la última etapa del flujo de aprobación, y DPOLab envía el correo final al titular.
El titular consulta su folio público
El titular puede acceder en cualquier momento a la página de seguimiento público de su organización, ingresar el folio ARCO-YYYY-NNNNN y ver el estado, plazo, tipo de derecho y datos de contacto del DPO. No se requiere autenticación.
Campos y datos
| Campo | Obligatorio | Descripción |
|---|---|---|
| Nombre completo | Sí | Nombre del titular (cifrado en reposo) |
| Correo electrónico | Sí | Correo del titular (cifrado en reposo) |
| Tipo de derecho | Sí | Acceso, Rectificación, Supresión, Oposición, Portabilidad, Bloqueo u Oposición a decisión automatizada |
| RUT | No | RUT chileno validado (cifrado en reposo) |
| Teléfono | No | Teléfono del titular (cifrado en reposo) |
| Descripción | No | Detalle de la solicitud |
| Actuando como representante | No | Indica si el solicitante actúa en representación de otra persona |
| Nombre del representante | Condicional | Requerido si actúa como representante (cifrado) |
| RUT del representante | Condicional | RUT del representante (cifrado) |
| Relación con el titular | Condicional | Ejemplo: "tutor legal", "apoderado" |
| Documento acreditador | Condicional | Archivo que acredita la representación |
| Formato de portabilidad | No | CSV o JSON; requerido para solicitudes de portabilidad |
Estados y flujo
| Estado | Descripción |
|---|---|
| Recibida | Solicitud recibida; plazo de 30 días corridos iniciado |
| En proceso | Asignada y siendo gestionada |
| Prorrogada | Prórroga de 30 días adicionales aplicada |
| Completada | Respuesta enviada dentro del plazo |
| Rechazada | Rechazada por identidad no verificada, fuera de alcance u otro motivo |
La solicitud pasa a "Completada" únicamente al aprobar la última etapa del flujo de aprobación. No es posible marcarla como completada de forma manual directa.
Restricciones por plan
| Aspecto | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Solicitudes ARSOP por año | 50 | 150 | ∞ | ∞ |
| Portal público y formularios | Sí | Sí | Sí | Sí |
| IDV básico (código por correo — L2) | Sí | Sí | Sí | Sí |
| IDV avanzado (L3/L4) | No disponible | No disponible | No disponible | No disponible |
| Flujos de aprobación configurables | No | Sí | Sí | Sí |
| Alertas automáticas | Sí | Sí | Sí | Sí |
| Cifrado de datos personales | Sí | Sí | Sí | Sí |
El límite de solicitudes por año aplica a solicitudes recibidas, no respondidas. Si su organización anticipa campañas masivas de ejercicio de derechos, considere el plan Professional o superior.
Relación con otros módulos
| Módulo | Relación |
|---|---|
| RAT | El sistema sugiere los datos tratados a partir de las actividades de tratamiento vinculadas a la entidad legal |
| Flujos de aprobación | Toda solicitud pasa por un flujo de aprobación antes de marcarse como completada |
| CMP / Centro de Privacidad | Las solicitudes creadas desde el portal unificado llegan al mismo módulo ARSOP |
| Governance | Las métricas de ARSOP (resueltas en plazo, vencidas) forman parte del puntaje de cumplimiento |
| DPIA | Solicitudes de supresión o acceso a datos sensibles pueden requerir revisión coordinada con la evaluación de impacto activa |
Ver también
Ver también: Endpoints de API — ARSOP