ANTAI exige que los derechos ARCOP del titular sean ejecutables en máximo 15 días hábiles desde la solicitud. La Ley 81 los reconoce en su artículo 4 y son irrenunciables (el titular no puede renunciar a ellos por contrato). Cada derecho tiene procedimiento operativo específico que debe estar documentado en la política de privacidad y en los procesos internos.
Derecho 1 · Acceso
El titular puede solicitar conocer qué datos tiene la empresa sobre él, el origen de los datos, las finalidades del tratamiento, los terceros a los que se han transferido datos, y el período de conservación previsto. Procedimiento operativo: formulario web público en el sitio de la empresa o email a contacto designado. Plazo de respuesta: máximo 7 días hábiles con copia certificada de los datos del solicitante en formato legible. Identificación del solicitante mediante cédula o firma electrónica para evitar acceso fraudulento.
Derecho 2 · Rectificación
El titular puede solicitar corrección de datos incorrectos, irrelevantes, incompletos, desfasados, inexactos, falsos o impertinentes. Procedimiento operativo: actualización inmediata vía API admin de la plataforma con confirmación al solicitante en menos de 24 horas. Si la rectificación afecta terceros (datos compartidos con sub-procesadores), notificación obligatoria a esos terceros para que ellos también actualicen.
Derecho 3 · Cancelación
El titular puede solicitar la eliminación de sus datos cuando ya no sean necesarios, o cuando retire su consentimiento. Procedimiento operativo: hard delete (no soft delete con flag) en máximo 5 días hábiles con certificado de eliminación firmado por el responsable. Excepción: si existe obligación legal de conservación (período de prescripción de obligación tributaria por ejemplo), se mantiene solo lo estrictamente necesario para cumplir esa obligación específica.
Derecho 4 · Oposición
El titular puede negarse a determinado tratamiento aunque haya dado consentimiento previo. Para email marketing aplica directamente: el titular se puede oponer a recibir comunicaciones comerciales aunque previamente las hubiera autorizado. Procedimiento operativo: link one-click unsubscribe RFC 8058 incluido en cada email enviado. Procesamiento en menos de 60 segundos del clic, confirmación visual al titular, registro de la acción con timestamp para auditoría posterior.
Derecho 5 · Portabilidad
El titular tiene derecho a obtener copia de sus datos en formato estructurado, genérico y de uso común que permita transmitirlos a otro responsable. Para email marketing aplica si el titular pide los datos completos de su perfil (preferencias, historia de interacciones, segmentos asignados) en CSV, JSON o XML. Procedimiento operativo: export estandarizado vía panel admin con descarga directa. Plazo: menos de 7 días hábiles desde la solicitud.
Operativamente, las empresas que cumplen ARCOP en menos de 15 días hábiles tienen tres elementos comunes. Primero: formulario web público con campos estructurados que captura cada solicitud con tipo de derecho específico, evita ambigüedad. Segundo: SLA interno definido por tipo de derecho con responsable nominal asignado y escalación automática si el plazo se acerca a vencimiento. Tercero: log auditable de cada solicitud con timestamp de recepción, acciones realizadas, plazo cumplido, evidencia de respuesta enviada al titular. Sin estos tres elementos, el cumplimiento ARCOP existe en política pero no en operación, lo que ANTAI puede detectar fácilmente en una fiscalización mediante prueba ácida (pedir al responsable evidencia de cómo procesó solicitudes ARCOP de los últimos 12 meses).