Derechos ARCO: protege tus datos personales en México
Guía completa sobre los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) bajo la LFPDPPP. Cómo ejercerlos, plazos, formatos y recursos legales.
¿Qué son los derechos ARCO?
Los derechos ARCO son un conjunto de facultades que toda persona tiene sobre sus datos personales. ARCO es el acrónimo de Acceso, Rectificación, Cancelación y Oposición, y representan las cuatro acciones fundamentales que puedes ejercer para controlar la información que empresas, organizaciones e instituciones gubernamentales tienen sobre ti.
Estos derechos están consagrados en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos y se desarrollan en dos leyes principales:
- LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares): regula cómo las empresas y particulares manejan tus datos.
- LGPDPPSO (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados): regula cómo las instituciones gubernamentales manejan tus datos.
Los cuatro derechos ARCO explicados
A — Acceso
Tienes derecho a conocer qué datos personales tiene una empresa o institución sobre ti, para qué los usa, con quién los comparte y de dónde los obtuvo.
Ejemplo práctico: puedes solicitar a tu banco que te informe qué datos personales tiene registrados sobre ti, si los comparte con terceros y con qué finalidad los utiliza.
Lo que puedes pedir:
- Confirmación de si tus datos están siendo tratados.
- Una copia de tus datos personales.
- Información sobre las condiciones y generalidades del tratamiento.
- Las transferencias realizadas a terceros.
R — Rectificación
Tienes derecho a corregir datos inexactos, incompletos o desactualizados. Si una empresa tiene tu nombre mal escrito, una dirección anterior o información errónea, puedes solicitar que la corrijan.
Ejemplo práctico: tu historial crediticio en el Buró de Crédito muestra un crédito pagado como “vigente”. Puedes solicitar la rectificación presentando el comprobante de liquidación.
Lo que puedes pedir:
- Corrección de datos erróneos.
- Actualización de información obsoleta.
- Complementación de datos incompletos.
C — Cancelación
Tienes derecho a solicitar la eliminación de tus datos personales cuando consideres que no están siendo tratados conforme a la ley, ya no son necesarios para la finalidad para la que fueron recabados, o cuando retires tu consentimiento.
Ejemplo práctico: te diste de baja de una tienda en línea hace años, pero siguen teniendo tu información personal. Puedes solicitar que la eliminen.
Importante: la cancelación no es absoluta. Existen excepciones:
- Datos necesarios por obligación legal (por ejemplo, registros fiscales que deben conservarse 5 años).
- Datos necesarios para el cumplimiento de un contrato vigente.
- Datos requeridos por autoridades judiciales.
Cuando la cancelación procede, el responsable debe aplicar un periodo de bloqueo antes de la eliminación definitiva, durante el cual los datos se conservan únicamente para ponerlos a disposición de autoridades competentes.
O — Oposición
Tienes derecho a oponerte al tratamiento de tus datos personales para una finalidad específica, especialmente cuando se trata de mercadotecnia o prospección comercial.
Ejemplo práctico: una empresa te llama constantemente para ofrecerte productos. Puedes oponerte a que usen tus datos para fines publicitarios sin necesidad de cancelar tu cuenta o relación comercial.
Lo que puedes lograr:
- Dejar de recibir publicidad y ofertas comerciales.
- Impedir que tus datos se usen para perfilamiento o decisiones automatizadas.
- Evitar que tus datos se transfieran a terceros para fines distintos a los originales.
¿Ante quién se ejercen los derechos ARCO?
Frente a empresas privadas (LFPDPPP)
La solicitud se presenta directamente al responsable del tratamiento: es decir, la empresa u organización que tiene tus datos. Toda empresa debe designar un departamento de datos personales o una persona encargada de atender estas solicitudes, y debe informar los medios disponibles para ejercer los derechos ARCO en su Aviso de Privacidad.
Frente a instituciones gubernamentales (LGPDPPSO)
La solicitud se presenta a través de la Plataforma Nacional de Transparencia o directamente ante la unidad de transparencia del sujeto obligado (dependencia o entidad gubernamental).
Cómo ejercer tus derechos ARCO paso a paso
Paso 1: Identifica al responsable
Determina qué empresa o institución tiene los datos personales que quieres consultar, corregir, cancelar o sobre los que quieres oponerte. Revisa su Aviso de Privacidad, que debe estar disponible en su sitio web o en sus instalaciones.
Paso 2: Localiza el medio para hacer la solicitud
El Aviso de Privacidad debe indicar:
- Correo electrónico para solicitudes ARCO.
- Dirección física del departamento de datos personales.
- Formulario en línea (si lo tienen).
- Teléfono de contacto.
Paso 3: Presenta tu solicitud
Tu solicitud debe contener como mínimo:
- Tu nombre completo y domicilio u otro medio para comunicarte la respuesta.
- Documentos que acrediten tu identidad: copia de tu INE, pasaporte o CURP.
- Descripción clara de los datos personales sobre los que deseas ejercer algún derecho ARCO.
- Cualquier elemento que facilite la localización de los datos (número de cliente, número de contrato, etc.).
- Para rectificación: los datos correctos y los documentos que los sustenten.
- Para cancelación u oposición: las razones por las que solicitas la eliminación o el cese del tratamiento.
Paso 4: Espera la respuesta
| Tipo de solicitud | Plazo de respuesta | Plazo de ejecución |
|---|---|---|
| Ante particulares (LFPDPPP) | 20 días hábiles | 15 días hábiles después de la respuesta |
| Ante gobierno (LGPDPPSO) | 20 días hábiles | 15 días hábiles después de la respuesta |
El plazo de respuesta puede ampliarse una vez por un periodo igual cuando esté justificado.
Paso 5: Si no recibes respuesta o te la niegan
Si la empresa no responde, responde de forma insatisfactoria o te niega el ejercicio de tus derechos sin causa justificada, puedes:
Ante particulares:
- Interponer un procedimiento de protección de derechos ante el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales).
- Plazo: 15 días hábiles después de recibir la negativa o de vencido el plazo de respuesta.
Ante gobierno:
- Presentar un recurso de revisión ante el INAI o el organismo garante estatal correspondiente.
El INAI y su papel en la protección de datos
El INAI es el organismo autónomo encargado de garantizar el derecho de acceso a la información y la protección de datos personales en México. Sus funciones incluyen:
- Atender denuncias y procedimientos de protección de derechos ARCO.
- Imponer sanciones a empresas que violen la ley de protección de datos.
- Emitir recomendaciones y lineamientos sobre buenas prácticas.
- Promover la cultura de protección de datos personales.
Contacto del INAI:
- Portal: home.inai.org.mx
- Tel INAI: 800 835 4324
- Plataforma Nacional de Transparencia: plataformadetransparencia.org.mx
Sanciones por violar la ley de protección de datos
La LFPDPPP establece sanciones significativas para las empresas que incumplan:
| Infracción | Multa |
|---|---|
| No atender solicitudes ARCO | 100 a 160,000 veces la UMA ($11,700 a $18,720,000 MXN aprox.) |
| Tratar datos sin consentimiento | 200 a 320,000 veces la UMA |
| Transferir datos sin consentimiento | 200 a 320,000 veces la UMA |
| Vulneraciones de seguridad | 200 a 320,000 veces la UMA |
| Reincidencia | Se duplica la multa |
En casos graves, se pueden imponer penas de 3 meses a 3 años de prisión por tratar datos con ánimo de lucro o causar una vulneración de seguridad de forma dolosa.
El Aviso de Privacidad: tu primera línea de defensa
Todo responsable que trate datos personales debe poner a tu disposición un Aviso de Privacidad que contenga:
- Identidad y domicilio del responsable.
- Qué datos personales se recaban.
- Finalidades del tratamiento (primarias y secundarias).
- Mecanismos para ejercer derechos ARCO.
- Si se realizan transferencias a terceros.
- Medios para revocar el consentimiento.
- Procedimiento para notificar cambios al aviso.
Consejo: antes de proporcionar tus datos a cualquier empresa, lee su Aviso de Privacidad. Si no lo tienen publicado, es una señal de alerta.
Datos personales sensibles
La ley distingue entre datos personales regulares y datos sensibles, que requieren un nivel de protección superior:
- Origen racial o étnico.
- Estado de salud presente o futuro.
- Información genética.
- Creencias religiosas, filosóficas o morales.
- Afiliación sindical.
- Opiniones políticas.
- Preferencia sexual.
- Datos biométricos.
Para tratar datos sensibles, el responsable debe obtener tu consentimiento expreso y por escrito, y aplicar medidas de seguridad reforzadas.
Preguntas frecuentes
¿Puedo pedir que borren mi información de redes sociales?
Sí. Las redes sociales que operan en México deben cumplir con la LFPDPPP. Puedes solicitar la cancelación de tus datos. Sin embargo, también puedes usar las herramientas de privacidad integradas en cada plataforma.
¿El ejercicio de derechos ARCO tiene algún costo?
No. La solicitud y la respuesta son gratuitas. Solo se puede cobrar el costo razonable de reproducción de documentos (por ejemplo, copias físicas), pero nunca el acceso a la información en sí.
¿Puedo ejercer derechos ARCO a nombre de otra persona?
Sí, pero necesitas un poder notarial o una carta poder simple firmada ante dos testigos, junto con la identificación del titular y del representante.
¿El REPEP sirve para proteger mis datos?
El REPEP (Registro Público para Evitar Publicidad) es un registro del gobierno federal donde puedes inscribir tu número telefónico para dejar de recibir llamadas publicitarias. Es un mecanismo complementario a los derechos ARCO. Inscríbete en repep.profeco.gob.mx.
¿Qué hago si una empresa usa mis datos sin que yo los haya proporcionado?
Puedes presentar una denuncia ante el INAI. La empresa debe demostrar cómo obtuvo tus datos y si contaba con tu consentimiento.
Resumen
| Derecho | Acción |
|---|---|
| Acceso | Conocer qué datos tienen sobre ti |
| Rectificación | Corregir datos inexactos o incompletos |
| Cancelación | Solicitar la eliminación de tus datos |
| Oposición | Impedir el uso de tus datos para ciertos fines |
| Plazo de respuesta | 20 días hábiles |
| Organismo garante | INAI (800 835 4324) |
Esta guía es informativa y no sustituye la asesoría legal profesional. La legislación en materia de protección de datos puede cambiar; consulta siempre las fuentes oficiales para la información más actualizada.