Cumplimiento

Software para gestionar derechos ARCO y solicitudes

Software para gestionar derechos ARCO y solicitudes RGPD: verificación de identidad, plantillas de respuesta y registro para cumplir el plazo de un mes.

También disponible en:Français·Deutsch·English

¿Qué software necesita una empresa para gestionar los derechos ARCO y las solicitudes RGPD? Respuesta directa: una herramienta que centralice la recepción de solicitudes, verifique la identidad del solicitante, aporte plantillas de respuesta para cada derecho y controle el plazo de un mes (art. 12.3 RGPD), dejando además un registro trazable de cada expediente. No es un lujo administrativo: buena parte de las resoluciones sancionadoras de la AEPD nacen de solicitudes de derechos no atendidas o mal atendidas, y no responder es una infracción muy grave del art. 72.1.k) de la LOPDGDD. Un software convierte un proceso que hoy se pierde entre correos electrónicos en un flujo controlado con evidencia.

Esta guía explica qué debe cubrir la herramienta y por qué el registro de solicitudes es su función más valiosa.

Puntos clave

  • No atender una solicitud de derechos es una infracción muy grave (art. 72.1.k LOPDGDD).
  • El plazo general de respuesta es de un mes, prorrogable dos más en casos complejos (art. 12.3 RGPD).
  • Un software debe cubrir recepción, verificación de identidad, plantillas y registro de cada solicitud.
  • El registro trazable de solicitudes es la evidencia que exige la AEPD para acreditar diligencia.

Los derechos que hay que gestionar

Aunque la etiqueta “ARCO” viene de la normativa anterior, hoy el RGPD reconoce un catálogo más amplio de derechos de los interesados que un software debe saber tramitar:

  • Acceso (art. 15). Copia de los datos e información sobre el tratamiento.
  • Rectificación (art. 16). Corrección de datos inexactos o incompletos.
  • Supresión (art. 17). El “derecho al olvido” en sus distintos supuestos.
  • Oposición (art. 21). En especial frente al marketing directo.
  • Portabilidad (art. 20). Entrega de los datos en formato estructurado.
  • Limitación (art. 18). Bloqueo temporal del tratamiento.

Cada derecho tiene su propia lógica: plazos, excepciones y forma de respuesta distintas. Un software serio no ofrece una plantilla única, sino un flujo adaptado a cada uno.

Por qué el plazo de un mes lo cambia todo

El Reglamento General de Protección de Datos fija en su art. 12.3 un plazo de un mes para responder, ampliable en dos meses más cuando la solicitud es compleja, siempre que se informe al solicitante dentro del primer mes. Ese reloj es implacable: empieza a correr desde la recepción, aunque la solicitud llegue a un buzón que nadie revisa o a un empleado de vacaciones.

Aquí es donde el correo electrónico falla. Una solicitud que llega a info@ y se traspapela, un responsable que no sabe que el plazo ya corre, una respuesta enviada sin verificar la identidad: cada uno de estos fallos es una reclamación potencial ante la AEPD. Un software centraliza la entrada, arranca el contador automáticamente y alerta antes de que venza. La Agencia Española de Protección de Datos valora precisamente la diligencia y la trazabilidad del proceso.

Qué debe cubrir un software de gestión de derechos

Una herramienta útil cubre el ciclo completo de la solicitud, no solo el archivo final:

Función Qué resuelve
Recepción centralizada Un único canal para todas las solicitudes, sin traspapeleos
Verificación de identidad Confirmar que el solicitante es quien dice, sin pedir datos de más
Control de plazos Contador automático del mes y alertas de vencimiento
Plantillas por derecho Respuestas de estimación, denegación motivada o prórroga
Registro de solicitudes Historial trazable de cada expediente y su resolución
Coordinación interna Asignación a responsables y seguimiento del estado

La verificación de identidad merece atención especial: hay que confirmar quién solicita sin caer en el exceso de pedir un DNI completo cuando bastan otros medios. Pedir datos desproporcionados para “verificar” es, en sí mismo, un tratamiento excesivo. Y las solicitudes manifiestamente infundadas o excesivas (art. 12.5) permiten cobrar un canon razonable o negarse, pero la carga de probar ese carácter recae en la empresa, lo que exige documentarlo bien.

El registro de solicitudes: su mejor defensa

Si una función justifica el software, es el registro de solicitudes. Cuando un ciudadano reclama ante la AEPD que no le respondieron, la empresa necesita demostrar lo contrario: cuándo llegó la solicitud, cómo se verificó la identidad, qué se respondió y cuándo. Sin ese registro, la empresa se queda sin defensa aunque haya actuado de buena fe.

Un buen software mantiene ese historial de forma automática y lo vincula con el resto del cumplimiento. Plataformas europeas como Legiscope integran la gestión de derechos con el software de cumplimiento del RGPD, de modo que la solicitud se cruza con el registro de tratamientos para localizar todos los datos del solicitante. Esa integración es la diferencia entre buscar los datos a mano en diez sistemas y localizarlos de forma guiada. La guía de la AEPD como autoridad de control detalla qué espera la Agencia de un procedimiento de derechos.

Cómo implantar un procedimiento de derechos con software

Tener la herramienta no basta; hace falta un procedimiento que la organización siga de verdad. Estos son los pasos para desplegarlo:

  1. Publique un canal claro. Indique en su web y en sus cláusulas informativas una dirección o formulario para ejercer los derechos. Un canal difuso multiplica las solicitudes que se pierden por otros buzones.

  2. Centralice la recepción. Configure el software para que toda solicitud, llegue por donde llegue, quede registrada en un único sistema con su fecha de entrada. El contador del mes arranca ahí.

  3. Defina el flujo de verificación. Establezca cómo confirma la identidad según el canal y el tipo de dato, siempre por el medio menos invasivo posible.

  4. Asigne responsables. Cada solicitud debe tener un responsable que la tramite y un plazo visible. El software debe alertar antes del vencimiento, no después.

  5. Estandarice las respuestas. Use plantillas para estimación, denegación motivada, prórroga y solicitud de identidad, adaptadas a cada derecho. La coherencia reduce errores y transmite profesionalidad.

  6. Registre todo. Guarde la solicitud, la verificación, la respuesta y las fechas. Ese expediente es su prueba de diligencia ante una reclamación.

  7. Revise y aprenda. Analice periódicamente los tiempos de respuesta y los motivos de las solicitudes. Un pico de solicitudes de supresión en un área puede señalar un problema de fondo en un tratamiento concreto.

Un procedimiento así, apoyado en software, transforma una obligación reactiva y estresante en una rutina controlada. La diferencia no es solo de eficiencia: es la diferencia entre poder demostrar que cumplió y no poder hacerlo.

Lo que cuesta no atender los derechos

No responder no es un descuido menor: el art. 72.1.k) de la LOPDGDD tipifica como infracción muy grave impedir o no atender los derechos de los interesados. La mayoría de las reclamaciones que llegan a la AEPD por esta vía terminan en apercibimiento o sanción económica, y son de las más fáciles de probar para el reclamante: basta con demostrar que solicitó y no obtuvo respuesta en plazo. Nuestro análisis de sanciones del RGPD recoge la casuística. Frente a ese riesgo, el coste de un software que garantiza la respuesta en plazo es marginal.

Véase también: modelos de respuesta a derechos ARCO.

FAQ

¿Qué plazo tengo para responder a una solicitud de derechos?

El plazo general es de un mes desde la recepción de la solicitud (art. 12.3 RGPD). Puede ampliarse dos meses más cuando la solicitud es especialmente compleja o hay muchas solicitudes, pero debe informar al interesado de la prórroga y sus motivos dentro del primer mes. El plazo corre aunque la solicitud llegue a un buzón desatendido.

¿Puedo pedir el DNI para verificar la identidad del solicitante?

Solo si es necesario y proporcionado. El art. 12.6 RGPD permite pedir información adicional para confirmar la identidad cuando existan dudas razonables, pero no puede exigir datos desproporcionados de forma sistemática. Si puede verificar la identidad por medios menos invasivos —por ejemplo, a través de la cuenta desde la que el usuario ya se relaciona con usted—, debe usarlos.

¿Qué pasa si no respondo a una solicitud de derechos?

No atender una solicitud es una infracción muy grave del art. 72.1.k) LOPDGDD y una de las causas más frecuentes de reclamación ante la AEPD. Es especialmente fácil de probar para el reclamante, por lo que el riesgo de sanción o apercibimiento es alto. Un registro que demuestre que respondió en plazo es la mejor defensa. Conviene además responder incluso cuando la solicitud se deniega: una denegación motivada y comunicada en plazo cumple la obligación, mientras que el silencio la incumple. Muchas empresas pierden expedientes que habrían ganado simplemente por no haber contestado a tiempo, aunque tuvieran razón en el fondo.

Conclusión

Gestionar los derechos de los interesados con el correo electrónico es jugar con fuego: el plazo de un mes es implacable y no responder es una infracción muy grave. Un software que centralice la recepción, verifique la identidad, aporte plantillas y —sobre todo— mantenga un registro trazable convierte ese riesgo en un proceso controlado. Antes de decidir, verifique su estado con la checklist RGPD para España y compare herramientas por funcionalidad de cumplimiento, no por el número de funciones que prometen. Lo que de verdad protege a la empresa es el registro trazable de cada solicitud y la garantía de responder dentro del mes.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →