Cumplimiento

Modelos de respuesta a derechos ARCO: plantillas

Modelos de respuesta a derechos ARCO listos para usar: acceso, rectificación, supresión, oposición y portabilidad, con plazos y aviso de reclamación a la AEPD.

También disponible en:Français·Deutsch

En una frase. Toda solicitud de derechos debe responderse en el plazo de un mes (art. 12.3 RGPD), incluso para denegar o pedir identidad; abajo tienes plantillas de respuesta para cada derecho —acceso, rectificación, supresión, oposición, limitación y portabilidad— con los avisos de prórroga y de reclamación ante la AEPD.

No responder a tiempo una solicitud de derechos es la vía más rápida a una sanción de la AEPD: buena parte de sus resoluciones nacen de un derecho no atendido, tipificado como infracción muy grave por el art. 72.1.k LOPDGDD. Estas plantillas cubren cada respuesta posible dentro del plazo legal.

Puntos clave

  • El plazo de respuesta es de un mes desde la recepción, prorrogable dos meses más si es compleja (art. 12.3 RGPD).
  • Hay que responder siempre, aunque sea para denegar de forma motivada o pedir acreditación de identidad.
  • El ejercicio de derechos es gratuito; solo cabe cobrar por solicitudes manifiestamente infundadas o excesivas (art. 12.5).
  • La respuesta debe informar de la posibilidad de reclamar ante la AEPD.
  • No atender un derecho es infracción muy grave (art. 72.1.k LOPDGDD).

1. Antes de responder: identificar y verificar

Cuando llega una solicitud, primero determine qué derecho ejerce el interesado (a veces lo mezcla) y verifique su identidad de forma proporcionada. El art. 12.6 RGPD permite pedir información adicional para confirmar la identidad cuando existan dudas razonables, pero no puede convertirse en un obstáculo: exigir sistemáticamente fotocopia del DNI para cualquier consulta es desproporcionado. La casuística completa se detalla en la guía de derechos ARCO.

Registre cada solicitud con fecha de entrada: ese registro es la prueba de que respondió en plazo. Un software de cumplimiento automatiza este seguimiento y evita que una solicitud se pierda entre correos.

2. Plantillas de respuesta

Acuse de recibo y solicitud de identidad

Hemos recibido su solicitud de ejercicio del derecho de [derecho] con fecha [fecha]. Para poder atenderla, y al existir dudas razonables sobre su identidad, le rogamos que nos remita [medio de verificación]. El plazo de un mes comenzará a computar desde que recibamos dicha acreditación.

Estimación del derecho de acceso

En respuesta a su solicitud de [fecha], le facilitamos copia de los datos personales que tratamos sobre usted, así como la información del art. 15.1 RGPD: fines del tratamiento, categorías de datos, destinatarios, plazo de conservación previsto y origen de los datos. Adjunto encontrará [documento]. Le recordamos que dispone de los demás derechos y que puede reclamar ante la AEPD.

Desarrollamos este derecho en detalle en la guía del derecho de acceso RGPD.

Estimación del derecho de supresión

Atendida su solicitud de [fecha], hemos procedido a suprimir sus datos de [sistemas], salvo aquellos que debemos conservar bloqueados para atender responsabilidades legales durante los plazos aplicables. Le confirmamos la ejecución con fecha [fecha].

Ver los supuestos y excepciones en el derecho de supresión y al olvido.

Denegación motivada

En relación con su solicitud de [derecho] de fecha [fecha], le comunicamos que no resulta posible atenderla por el siguiente motivo: [causa concreta y base legal]. Le informamos de que puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) y ejercitar las acciones que estime oportunas.

Prórroga del plazo

Le informamos de que, dada la complejidad de su solicitud de [fecha], y conforme al art. 12.3 RGPD, ampliamos el plazo de respuesta en dos meses adicionales. Le daremos respuesta definitiva antes del [fecha].

3. Plazos por derecho

Derecho Base Plazo
Acceso (art. 15) Cualquier tratamiento 1 mes (+2)
Rectificación (art. 16) Datos inexactos 1 mes (+2)
Supresión (art. 17) Supuestos del art. 17.1 1 mes (+2)
Oposición (art. 21) Interés legítimo / marketing 1 mes (+2)
Limitación (art. 18) Supuestos del art. 18.1 1 mes (+2)
Portabilidad (art. 20) Consentimiento o contrato + automatizado 1 mes (+2)

En marketing directo, la oposición es absoluta y debe atenderse siempre; conviene tenerlo presente por las sanciones de la AEPD en publicidad.

Estimación de portabilidad

En respuesta a su solicitud de portabilidad de [fecha], le remitimos sus datos en formato [CSV/JSON], estructurado y de uso común. La portabilidad alcanza únicamente los datos que usted nos facilitó y que tratamos con base en su consentimiento o en un contrato mediante medios automatizados.

Estimación de oposición al marketing

Atendida su solicitud de [fecha], hemos suprimido su dirección de nuestras listas de comunicaciones comerciales con efecto inmediato. La oposición al marketing directo es absoluta y no requiere motivación por su parte.

4. Casos límite que conviene tener resueltos

Tres situaciones generan la mayoría de las dudas. La primera, la solicitud a través de un representante: es válida, pero debe acreditarse la representación antes de facilitar los datos, para no incurrir en una cesión indebida. La segunda, las solicitudes repetitivas o excesivas: solo cabe negarse o cobrar un canon si son manifiestamente infundadas o excesivas, y la carga de probarlo recae sobre el responsable (art. 12.5 RGPD); una segunda petición de acceso a los meses no es, por sí sola, abusiva. La tercera, el choque entre supresión y obligación legal de conservar: no se borra el dato, se bloquea, y así debe comunicarse al interesado, explicando que se conserva únicamente para atender responsabilidades legales durante los plazos aplicables.

Tener estas respuestas preparadas evita improvisar cuando el reloj del mes ya está corriendo. Conviene también designar internamente a un responsable de recibir y encauzar las solicitudes, porque muchas llegan por canales dispersos (formulario web, correo, redes sociales, atención al cliente) y se pierden precisamente ahí.

5. Documentar el circuito

Cada respuesta debe archivarse junto con la solicitud original y la fecha de salida. Ese expediente es lo que la AEPD revisa para comprobar que el derecho se atendió en plazo y de forma completa. Integrar el flujo con el registro de actividades permite localizar rápidamente en qué sistemas están los datos del solicitante; plataformas como Legiscope centralizan solicitudes, plazos y plantillas para no depender de la memoria de nadie. El procedimiento general está descrito en la guía de la AEPD como autoridad de control y en las directrices del CEPD.

FAQ

¿Cuánto tiempo tengo para responder a una solicitud de derechos?

Un mes desde la recepción (art. 12.3 RGPD), ampliable en dos meses adicionales cuando la solicitud sea especialmente compleja o numerosa, informando de la prórroga en el primer mes.

¿Puedo cobrar por atender un derecho?

Como regla, no: el ejercicio es gratuito. Solo cabe cobrar un canon razonable, o negarse, cuando la solicitud sea manifiestamente infundada o excesiva, especialmente por repetitiva, y la carga de probarlo recae sobre el responsable (art. 12.5 RGPD).

¿Tengo que responder aunque vaya a denegar la solicitud?

Sí. Siempre debe responder dentro del plazo, aunque sea para denegar de forma motivada, indicando la base legal y el derecho del interesado a reclamar ante la AEPD. El silencio es lo que la AEPD sanciona.

¿Qué riesgo hay si no atiendo un derecho?

No atender el ejercicio de un derecho está tipificado como infracción muy grave en el art. 72.1.k LOPDGDD y es una de las causas más frecuentes de sanción, con multas que varían según la gravedad y el tamaño del responsable.

¿Cómo debo verificar la identidad del solicitante?

De forma proporcionada: solo puede pedir información adicional cuando existan dudas razonables sobre la identidad (art. 12.6 RGPD). Exigir sistemáticamente copia del DNI para cualquier consulta es desproporcionado. Cuando la solicitud llega por un canal ya autenticado (área privada del cliente), no suele hacer falta verificación adicional.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →