Seleccione su región: Singapur y Asia Pacífico Europa América Latina
RESGUARD
solutions

Derechos ARCO para Titulares de Datos en México

 

Comprendiendo los Derechos de Acceso, Rectificación, Cancelación y Oposición bajo la Ley Mexicana de Protección de Datos

Inicio / Blog / Protección de Datos
28 de febrero de 2026 Protección de Datos 10 min de lectura

Bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, los individuos cuentan con un conjunto de derechos fundamentales conocidos como derechos ARCO. ARCO es un acrónimo de Acceso, Rectificación, Cancelación y Oposición. Estos derechos facultan a los titulares de datos para mantener el control sobre sus datos personales y hacer que los responsables del tratamiento rindan cuentas sobre cómo se gestionan esos datos. Comprender e implementar adecuadamente los procedimientos ARCO es esencial para cualquier organización que trate datos personales en México.

El derecho de acceso

El derecho de acceso permite a los titulares solicitar al responsable del tratamiento la confirmación de si sus datos personales están siendo tratados y, en caso afirmativo, obtener una copia de dichos datos junto con información sobre las condiciones y generalidades del tratamiento. Este derecho sirve como fundamento para todos los demás derechos ARCO, ya que los individuos primero deben comprender qué datos se tienen sobre ellos antes de poder ejercer sus otros derechos.

Cuando un titular ejerce el derecho de acceso, el responsable del tratamiento debe proporcionar detalles que incluyan qué datos personales se poseen, las finalidades para las cuales se tratan, las condiciones y generalidades del tratamiento conforme al aviso de privacidad, y cualquier transferencia que se haya realizado o esté prevista. La información debe proporcionarse en un formato claro y accesible que el titular pueda comprender y, cuando sea aplicable, en formato electrónico si la solicitud se realizó por medios electrónicos.

El derecho de rectificación

El derecho de rectificación permite a los titulares solicitar la corrección de datos personales que sean inexactos, incompletos o estén desactualizados. Este derecho asegura que los responsables del tratamiento mantengan el principio de calidad requerido por la LFPDPPP, dado que los datos personales deben ser exactos y estar actualizados para las finalidades para las que fueron recabados.

Para ejercer este derecho, el titular debe indicar qué datos desea rectificar y proporcionar documentación de soporte que justifique los cambios solicitados. Por ejemplo, si el nombre de un individuo ha sido escrito incorrectamente en una base de datos, presentaría una solicitud de rectificación junto con un documento de identificación oficial que muestre la escritura correcta. El responsable del tratamiento está entonces obligado a realizar las correcciones y notificar a los terceros a quienes se hayan transferido los datos.

El derecho de cancelación

El derecho de cancelación permite a los titulares solicitar la eliminación de sus datos personales de los archivos y sistemas del responsable del tratamiento. Este derecho no es absoluto y está sujeto a ciertas limitaciones, pero proporciona a los individuos un mecanismo poderoso para controlar el ciclo de vida de sus datos personales.

Cuando se recibe una solicitud de cancelación y se considera válida, el responsable del tratamiento primero debe bloquear los datos durante un período de conservación, después del cual los datos deben eliminarse permanentemente. Este período de bloqueo permite al responsable atender cualquier obligación legal o interés legítimo que pueda requerir la conservación continuada. La cancelación puede ser denegada cuando los datos sean necesarios para el cumplimiento de una obligación legal, cuando exista una relación contractual que requiera el tratamiento continuado, o cuando los datos estén sujetos a un procedimiento legal en curso.

El derecho de oposición

El derecho de oposición permite a los titulares objetar el tratamiento de sus datos personales para finalidades específicas. A diferencia de la cancelación, que busca la eliminación de datos, la oposición se enfoca en detener ciertos usos de los datos mientras potencialmente permite que los datos permanezcan en los sistemas del responsable para otras finalidades legítimas.

Los titulares pueden ejercer el derecho de oposición cuando tengan una razón legítima relacionada con su situación particular, o cuando el tratamiento sea para finalidades como el mercadeo directo. Si la oposición está bien fundamentada, el responsable del tratamiento debe cesar el tratamiento de los datos para las finalidades a las que el titular se ha opuesto. Este derecho es particularmente relevante para organizaciones que utilizan datos personales para mercadotecnia, elaboración de perfiles u otras finalidades secundarias más allá de la razón principal de la recolección de datos.

Cómo ejercen los titulares sus derechos ARCO

La LFPDPPP y su Reglamento establecen un proceso claro sobre cómo los titulares pueden ejercer sus derechos ARCO. La solicitud debe presentarse al responsable del tratamiento, ya sea a través de los medios especificados en el aviso de privacidad o por cualquier otro método que permita documentar la solicitud y proporcionar una respuesta.

Una solicitud ARCO debe contener los siguientes elementos:

  • Identificación: El nombre y domicilio del titular, u otro medio para comunicar la respuesta
  • Prueba de identidad: Documentos que acrediten la identidad del titular, o autorización legal si la solicitud se realiza a través de un representante
  • Descripción clara: Una descripción detallada y precisa de los datos personales a los que se refiere la solicitud
  • Elementos de apoyo: Cualquier otro elemento o documento que facilite la localización de los datos personales en cuestión

Para solicitudes de rectificación, el titular también debe incluir las modificaciones específicas solicitadas y la documentación que sustente los cambios requeridos.

Plazos de respuesta y procedimientos

La LFPDPPP establece plazos estrictos para responder a las solicitudes ARCO. Una vez que un responsable del tratamiento recibe una solicitud completa, dispone de 20 días hábiles para comunicar su decisión al titular. Si la solicitud es aprobada, el responsable tiene 15 días hábiles adicionales para implementar la acción solicitada.

El cronograma de respuesta se puede resumir de la siguiente manera:

  1. Recepción y acuse de recibo: El responsable recibe la solicitud ARCO y verifica su integridad
  2. Período de evaluación: Hasta 20 días hábiles para evaluar la solicitud y comunicar la decisión
  3. Período de implementación: Si se aprueba, hasta 15 días hábiles adicionales para ejecutar la acción solicitada
  4. Prórroga: En casos justificados, el período de evaluación puede extenderse una vez por un período igual, siempre que se notifique al titular las razones

Si la solicitud ARCO está incompleta, el responsable del tratamiento debe notificar al titular dentro de los 5 días hábiles siguientes a la recepción, solicitando la información faltante. El titular tiene entonces 10 días hábiles para completar su solicitud.

Causales de denegación

Si bien los responsables del tratamiento generalmente están obligados a atender las solicitudes ARCO, la LFPDPPP reconoce varias causales por las cuales una solicitud puede ser denegada:

  • El solicitante no es el titular o carece de autorización legal adecuada
  • Los datos personales no se encuentran en las bases de datos del responsable
  • Los derechos de un tercero se verían afectados al atender la solicitud
  • Existe una obligación legal que impide la acción solicitada
  • Una orden judicial o administrativa restringe el ejercicio del derecho
  • La cancelación u oposición ya ha sido ejercida y debidamente atendida
  • La solicitud es repetitiva en un período corto sin que exista una razón justificada

Cuando una solicitud es denegada, el responsable del tratamiento debe comunicar claramente las razones de la denegación e informar al titular de su derecho a presentar una queja ante el INAI.

El papel del INAI en la mediación de controversias

Cuando un titular está insatisfecho con la respuesta a su solicitud ARCO, o si el responsable del tratamiento no responde dentro de los plazos establecidos, el titular puede presentar una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). El INAI funge como la autoridad mediadora y de ejecución en controversias de protección de datos.

El proceso del INAI típicamente comienza con una fase de conciliación, durante la cual el INAI intenta alcanzar un acuerdo entre el titular y el responsable del tratamiento. Si la conciliación fracasa, el INAI puede iniciar una investigación formal y puede emitir resoluciones vinculantes, incluyendo órdenes para cumplir con la solicitud ARCO y la imposición de sanciones por incumplimiento.

Procedimientos prácticos para empresas

Las organizaciones deben establecer procedimientos claros y documentados para la atención de solicitudes ARCO. Un proceso de gestión ARCO bien diseñado típicamente incluye los siguientes componentes:

  1. Punto de contacto designado: Nombre a una persona o departamento responsable de recibir y procesar solicitudes ARCO, y publique sus datos de contacto en su aviso de privacidad
  2. Formulario estandarizado de recepción: Cree un formulario estandarizado que capture toda la información requerida, facilitando a los titulares la presentación de solicitudes completas
  3. Proceso de verificación de identidad: Establezca procedimientos para verificar la identidad del solicitante y prevenir el acceso no autorizado a datos personales
  4. Flujo de trabajo interno: Defina rutas claras de escalamiento y responsabilidades para evaluar solicitudes entre diferentes departamentos
  5. Seguimiento de plazos: Implemente un sistema para rastrear plazos y asegurar que las respuestas se proporcionen dentro de los marcos temporales legalmente requeridos
  6. Plantillas de respuesta: Desarrolle plantillas de respuesta estándar para aprobaciones, denegaciones y solicitudes de información adicional
  7. Documentación y pista de auditoría: Mantenga registros completos de todas las solicitudes ARCO recibidas, acciones tomadas y respuestas proporcionadas

Nuestro módulo Gestor de Protección de Datos proporciona flujos de trabajo integrados para gestionar solicitudes ARCO, incluyendo seguimiento automatizado de plazos, plantillas de respuesta y pistas de auditoría completas para asegurar el cumplimiento de todos los requisitos de la LFPDPPP.

Requisitos de documentación y seguimiento

La LFPDPPP requiere que los responsables del tratamiento mantengan registros que demuestren el cumplimiento de sus obligaciones ARCO. Esta documentación debe incluir un registro de todas las solicitudes ARCO recibidas, la identidad del solicitante, el tipo de derecho ejercido, la fecha de recepción, la respuesta proporcionada, la fecha de respuesta y las acciones tomadas para cumplir con la solicitud. Estos registros sirven como evidencia de cumplimiento en caso de una auditoría o investigación del INAI.

Las organizaciones también deben documentar sus procedimientos ARCO en sus políticas internas de protección de datos, asegurando que todos los empleados que puedan recibir o atender solicitudes ARCO estén debidamente capacitados. La formación en concienciación regular debe cubrir el reconocimiento de solicitudes ARCO, los procedimientos adecuados de atención y la importancia de cumplir con los plazos de respuesta.

Mejores prácticas para la gestión de solicitudes ARCO

Más allá de cumplir con los requisitos legales mínimos, las organizaciones pueden adoptar varias mejores prácticas para mejorar su gestión de solicitudes ARCO:

  • Facilite el proceso: Proporcione canales claros y accesibles para presentar solicitudes ARCO, incluyendo formularios en línea y direcciones de correo electrónico dedicadas
  • Responda con prontitud: Procure responder con suficiente anticipación al plazo de 20 días hábiles en lugar de esperar hasta el último momento
  • Comunique proactivamente: Mantenga a los titulares informados sobre el estado de sus solicitudes a lo largo del proceso
  • Centralice la gestión: Utilice un sistema unificado para gestionar todas las solicitudes ARCO, evitando duplicaciones y asegurando consistencia
  • Revisiones periódicas: Revise periódicamente sus procedimientos ARCO para identificar cuellos de botella y áreas de mejora
  • Considere nombrar un DPD: Un delegado de protección de datos experimentado puede proporcionar supervisión experta de su proceso ARCO y asegurar un cumplimiento consistente

Conclusión

Los derechos ARCO son un componente fundamental del marco de protección de datos de México, otorgando a los individuos un control significativo sobre sus datos personales. Para las organizaciones, establecer procedimientos ARCO robustos no es solo una obligación legal sino también una demostración de compromiso con la protección de datos y la confianza del consumidor. Al implementar procesos claros, capacitar al personal, dar seguimiento a los plazos y mantener documentación exhaustiva, las empresas pueden gestionar eficientemente las solicitudes ARCO mientras construyen una sólida postura de cumplimiento bajo la LFPDPPP.

Derechos ARCO México Derechos del Titular LFPDPPP INAI

Seguir Leyendo

Artículos Relacionados

Guía de la LFPDPPP de México

Guía completa sobre la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Aplicación y Cumplimiento del INAI

Cómo la autoridad mexicana de protección de datos hace cumplir la normativa y qué esperar de las auditorías.

Gestión Eficaz de las SAR

Guía paso a paso para gestionar solicitudes de acceso de los interesados en diferentes jurisdicciones.

Manténgase Informado

Explore Nuestras Soluciones de Cumplimiento

Explore todos nuestros recursos de cibercumplimiento o descubra cómo nuestra plataforma y servicios expertos pueden ayudar a su organización a alcanzar y mantener el cumplimiento.

Todos los Artículos Contactar
Formulario de contacto