Los derechos ARCO constituyen el núcleo de la protección que el Reglamento General de Protección de Datos reconoce a las personas físicas sobre sus datos personales. El acrónimo ARCO, acuñado en el marco de la antigua LOPD española, hace referencia a los derechos de Acceso, Rectificación, Cancelación y Oposición. Con la entrada en vigor del RGPD, estos derechos fueron ampliados y reforzados significativamente, incorporando la portabilidad, la limitación del tratamiento y el derecho a no ser objeto de decisiones automatizadas.
En España, la AEPD tramitó en 2025 un volumen sustancial de reclamaciones vinculadas al ejercicio de derechos de los interesados; de hecho, solo en el primer semestre de 2025 las reclamaciones planteadas ante la Agencia se incrementaron un 30 % respecto al mismo período del año anterior (AEPD, 2025). Las organizaciones que no disponen de procedimientos adecuados para gestionar estas solicitudes se exponen a sanciones RGPD que pueden alcanzar importes muy elevados. Esta guía explica cada derecho, los plazos de respuesta y las mejores prácticas de gestión.
¿Qué son los derechos ARCO en el marco del RGPD?
Los derechos ARCO RGPD otorgan a toda persona física el control efectivo sobre sus datos personales. Estos derechos están regulados en los artículos 15 a 22 del RGPD y complementados por los artículos 13 a 18 de la LOPDGDD. Su correcto ejercicio es gratuito para el interesado, salvo cuando las solicitudes sean manifiestamente infundadas o excesivas.
Acceso
El derecho de acceso permite al interesado obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso afirmativo, acceso a los datos y a información sobre las finalidades del tratamiento, las categorías de datos, los destinatarios, los plazos de conservación y los derechos que le asisten. Este derecho es el más ejercitado en la práctica y constituye la base para el ejercicio de los demás derechos. Consulte nuestra guía sobre solicitudes de acceso para una explicación detallada.
Rectificación
El derecho de rectificación permite al interesado solicitar la corrección de datos personales inexactos o la complementación de datos incompletos. El responsable debe proceder a la rectificación sin dilación indebida. En la práctica, este derecho se ejerce con frecuencia en relación con ficheros de morosidad y bases de datos comerciales donde la inexactitud puede causar perjuicios directos al interesado.
Supresión (cancelación)
El derecho de supresión, sucesor de la antigua cancelación, permite al interesado solicitar la eliminación de sus datos personales cuando concurran determinadas circunstancias: los datos ya no sean necesarios para la finalidad que motivó su recogida, el interesado retire el consentimiento, los datos hayan sido tratados ilícitamente o exista una obligación legal de supresión. La guía sobre derecho de supresión RGPD profundiza en las condiciones y excepciones de este derecho.
Oposición y limitación
El derecho de oposición permite al interesado oponerse al tratamiento de sus datos en determinadas circunstancias, especialmente cuando el tratamiento se base en interés legítimo o se realice con fines de mercadotecnia directa. En este último caso, la oposición es absoluta y no admite ponderación. El derecho de limitación permite solicitar que el tratamiento se restrinja temporalmente mientras se resuelve una reclamación sobre la exactitud de los datos o la licitud del tratamiento.
Nuevos derechos incorporados por el RGPD
El RGPD fue más allá de los derechos ARCO tradicionales e introdujo derechos adicionales que refuerzan el control del interesado sobre sus datos.
Portabilidad de datos. El artículo 20 del RGPD reconoce al interesado el derecho a recibir los datos personales que haya proporcionado a un responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que el responsable original pueda oponerse. Este derecho aplica cuando el tratamiento se base en el consentimiento o en un contrato y se efectúe por medios automatizados.
Toma de decisiones automatizadas. El artículo 22 del RGPD establece que el interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o le afecte significativamente de modo similar. Existen excepciones cuando la decisión sea necesaria para la celebración de un contrato, esté autorizada por ley o se base en el consentimiento explícito del interesado.
¿Cómo gestionar las solicitudes de derechos ARCO?
La gestión eficiente de las solicitudes de derechos ARCO RGPD requiere procedimientos internos claros y documentados. La ausencia de estos procedimientos es una de las causas más frecuentes de sanción por parte de la AEPD.
Procedimiento de respuesta
Toda organización debe implementar un procedimiento que contemple la recepción de solicitudes a través de múltiples canales accesibles, la verificación de la identidad del solicitante sin imponer barreras excesivas, la tramitación interna con asignación de responsabilidades claras, la respuesta al interesado dentro del plazo de un mes establecido por el RGPD y la documentación completa del proceso para cumplir con el principio de responsabilidad proactiva.
Cuando la solicitud sea compleja o se hayan recibido múltiples solicitudes del mismo interesado, el plazo puede ampliarse dos meses adicionales, pero el responsable debe informar al interesado de la ampliación dentro del primer mes.
¿Qué ocurre si la organización no atiende los derechos ARCO?
El incumplimiento de las obligaciones relativas a los derechos de los interesados puede dar lugar a sanciones del nivel superior del RGPD, con multas de hasta veinte millones de euros o el cuatro por ciento del volumen de negocio anual mundial. La AEPD ha sido especialmente rigurosa en este ámbito, imponiendo 299 sanciones en 2025 con un importe total cercano a 40 millones EUR, muchas de ellas vinculadas a la gestión deficiente de solicitudes de derechos.
Además de las sanciones administrativas, el interesado puede reclamar una indemnización por daños y perjuicios materiales o inmateriales derivados del incumplimiento, y presentar reclamación ante la AEPD sin necesidad de agotar previamente la vía ante el responsable.
La incorporación de la gestión de derechos en la checklist RGPD de la organización resulta esencial para prevenir estos riesgos. El delegado de protección de datos debe supervisar activamente los procedimientos de atención de derechos y garantizar que los plazos se respetan.
Buenas prácticas para la gestión de derechos ARCO RGPD
Las organizaciones que gestionan eficazmente las solicitudes de derechos comparten una serie de características: disponen de formularios accesibles y claros para la recepción de solicitudes, han formado al personal que recibe y tramita las solicitudes, mantienen un registro centralizado de todas las solicitudes recibidas y su estado de tramitación, realizan auditorías periódicas del procedimiento y cuentan con el apoyo de herramientas tecnológicas que automatizan la trazabilidad.
La realización de una evaluación de impacto permite además identificar tratamientos donde la gestión de derechos puede presentar complejidades adicionales, como los tratamientos automatizados a gran escala. Para una guía más amplia, consulte también la guía de cumplimiento RGPD y la información sobre evaluaciones de impacto a nivel europeo.
FAQ
¿Puede cobrarse al interesado por atender sus derechos ARCO?
Como regla general, el ejercicio de los derechos es gratuito. No obstante, el artículo 12.5 del RGPD permite cobrar un canon razonable basado en los costes administrativos cuando las solicitudes sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo. También permite negarse a atender la solicitud en estos supuestos, aunque la carga de la prueba del carácter infundado o excesivo recae sobre el responsable.
¿Cuál es el plazo para responder a una solicitud de derechos ARCO?
El responsable debe responder en un plazo máximo de un mes desde la recepción de la solicitud. Este plazo puede ampliarse dos meses adicionales cuando la solicitud sea especialmente compleja o se hayan acumulado múltiples solicitudes, pero el responsable debe informar al interesado de la ampliación y sus motivos dentro del primer mes. El incumplimiento de estos plazos constituye por sí mismo una infracción susceptible de sanción.
¿Los derechos ARCO se aplican a los datos de empleados?
Sí. Los empleados son interesados a todos los efectos del RGPD y pueden ejercer todos los derechos reconocidos respecto a los datos personales que la empresa trate en el contexto de la relación laboral. La AEPD ha resuelto múltiples reclamaciones de empleados, especialmente en relación con el derecho de acceso a expedientes disciplinarios, evaluaciones de rendimiento y datos de videovigilancia en el lugar de trabajo. Consulte nuestra guía sobre multas RGPD para ver ejemplos de sanciones en este ámbito.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
