facebook-pixel
L
Lunyb

RGPD en España: Tus Derechos Explicados (Guía 2026)

E
Equipo de Seguridad Lunyb
··10 min read

El Reglamento General de Protección de Datos (RGPD) es la normativa europea que, desde 2018, regula cómo empresas, administraciones y organizaciones tratan tus datos personales. En España se complementa con la LOPDGDD (Ley Orgánica 3/2018) y es supervisado por la Agencia Española de Protección de Datos (AEPD).

Pero más allá de la teoría, el RGPD te concede derechos concretos y poderosos que puedes ejercer gratuitamente frente a cualquier empresa que maneje tu información. En esta guía te explicamos cuáles son tus derechos RGPD en España, cómo ejercerlos paso a paso y qué hacer cuando una empresa no los respeta.

¿Qué es el RGPD y por qué te afecta?

El RGPD (Reglamento UE 2016/679) es una norma de aplicación directa en todos los estados miembros de la Unión Europea. Su objetivo es proteger a las personas físicas en lo relativo al tratamiento de sus datos personales y la libre circulación de los mismos.

En España, el RGPD se aplica a:

  • Cualquier empresa, autónomo, asociación o administración con sede en territorio español.
  • Empresas extranjeras que ofrezcan productos o servicios a residentes en España (aunque la sede esté fuera de la UE).
  • Entidades que monitoricen el comportamiento de usuarios en España (cookies, tracking, perfilado).

¿Qué se considera dato personal?

Un dato personal es cualquier información que permita identificarte directa o indirectamente: nombre, DNI, email, teléfono, dirección IP, geolocalización, datos biométricos, fotos, voz, historial de navegación, etc. También se consideran datos personales las categorías especiales (salud, ideología, orientación sexual, datos genéticos), que reciben una protección reforzada.

Los 8 derechos RGPD que tienes en España

El RGPD reconoce ocho derechos fundamentales que puedes ejercer de forma gratuita ante cualquier responsable del tratamiento. La empresa tiene un plazo máximo de un mes para responder (ampliable a dos meses en casos complejos).

1. Derecho de información (artículos 13 y 14)

Toda empresa que recopile tus datos debe informarte de forma clara y comprensible sobre:

  • Quién es el responsable del tratamiento y sus datos de contacto.
  • Para qué finalidad se usarán tus datos.
  • La base legal que legitima el tratamiento (consentimiento, contrato, interés legítimo, etc.).
  • Los destinatarios o categorías de destinatarios con quienes se compartirán.
  • El plazo de conservación de los datos.
  • Los derechos que puedes ejercer y cómo hacerlo.

Esta información suele aparecer en la política de privacidad y en los formularios donde introduces tus datos.

2. Derecho de acceso (artículo 15)

Puedes solicitar a cualquier empresa una copia gratuita de todos los datos personales que tiene sobre ti, así como información sobre cómo los está tratando. Es uno de los derechos más utilizados y la base para ejercer otros derechos posteriores.

3. Derecho de rectificación (artículo 16)

Si los datos que una empresa tiene sobre ti son inexactos o incompletos, tienes derecho a exigir su corrección. Por ejemplo, si tu banco tiene mal tu dirección o un comercio online tu nombre escrito incorrectamente.

4. Derecho de supresión o "derecho al olvido" (artículo 17)

Puedes solicitar la eliminación de tus datos personales cuando:

  • Ya no son necesarios para la finalidad para la que se recogieron.
  • Retiras el consentimiento que diste y no existe otra base legal.
  • Te opones al tratamiento y no prevalecen motivos legítimos.
  • Los datos se han tratado de forma ilícita.
  • Deben suprimirse por obligación legal.

Existen excepciones: por ejemplo, una empresa puede conservar facturas durante años por obligaciones fiscales aunque solicites su borrado.

5. Derecho a la limitación del tratamiento (artículo 18)

En lugar de borrar tus datos, puedes pedir que la empresa los "congele": los conservará pero no podrá usarlos. Es útil mientras se resuelve una disputa sobre la exactitud o legalidad del tratamiento.

6. Derecho a la portabilidad de datos (artículo 20)

Tienes derecho a recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica (CSV, JSON, XML) y a transmitirlos a otro responsable. Es especialmente útil al cambiar de banco, operador telefónico o red social.

7. Derecho de oposición (artículo 21)

Puedes oponerte en cualquier momento al tratamiento de tus datos cuando se base en el interés legítimo de la empresa o en una misión de interés público. En el caso de la mercadotecnia directa (publicidad personalizada), la oposición es absoluta y debe respetarse siempre.

8. Derecho a no ser objeto de decisiones automatizadas (artículo 22)

No pueden tomarse decisiones que te afecten significativamente basadas únicamente en algoritmos o IA, salvo que medie tu consentimiento explícito, sea necesario para un contrato o lo autorice la ley. Esto cobra cada vez más importancia con la expansión del scoring crediticio automatizado, los procesos de selección con IA o la moderación algorítmica.

Tabla resumen: Tus derechos RGPD de un vistazo

Derecho Qué te permite Plazo de respuesta
Información Saber qué datos recopilan y para qué En el momento de la recogida
Acceso Obtener copia de tus datos 1 mes (ampliable a 2)
Rectificación Corregir datos erróneos 1 mes
Supresión Eliminar tus datos ("olvido") 1 mes
Limitación Congelar el uso de tus datos 1 mes
Portabilidad Trasladar datos a otra empresa 1 mes
Oposición Negarte a ciertos tratamientos 1 mes
Decisiones automatizadas Exigir intervención humana 1 mes

Cómo ejercer tus derechos RGPD paso a paso

Ejercer tus derechos es gratuito y no requiere abogado. Sigue este procedimiento:

  1. Identifica al responsable. Localiza el nombre y contacto del responsable del tratamiento en la política de privacidad de la empresa (suele incluir un email del DPO o Delegado de Protección de Datos).
  2. Redacta tu solicitud por escrito. Indica claramente qué derecho ejerces, tu identidad (nombre, DNI) y, si procede, especifica los datos a los que te refieres.
  3. Acredita tu identidad. Adjunta una copia del DNI o usa firma electrónica para evitar suplantaciones.
  4. Envíala por un canal con prueba. Email con confirmación de lectura, burofax, correo certificado o el formulario habilitado por la empresa.
  5. Espera la respuesta en el plazo máximo de un mes. La empresa debe responderte aunque sea para denegar la solicitud (motivadamente).
  6. Si no responden o la respuesta no te satisface, puedes presentar una reclamación ante la AEPD.

La AEPD ofrece modelos de escritos gratuitos en su sede electrónica para cada uno de los ocho derechos.

Cómo reclamar ante la AEPD

Si una empresa ignora tu solicitud, responde fuera de plazo o vulnera tus derechos, puedes denunciarla ante la Agencia Española de Protección de Datos. Es gratuito y se puede hacer 100 % online.

Pasos para presentar una reclamación

  1. Accede a la Sede Electrónica de la AEPD (sedeagpd.gob.es).
  2. Identifícate con DNI electrónico, Cl@ve PIN o certificado digital.
  3. Selecciona "Reclamación por incumplimiento de la normativa de protección de datos".
  4. Cumplimenta el formulario describiendo los hechos.
  5. Adjunta pruebas: copia de tu solicitud previa, respuesta (o ausencia de ella), capturas de pantalla, contratos, etc.
  6. Firma y envía la reclamación.

La AEPD te asignará un número de expediente y abrirá una investigación. Las sanciones pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación anual global de la empresa.

RGPD y vida cotidiana: ejemplos prácticos

Cookies y rastreo web

Las webs deben pedirte consentimiento explícito antes de instalar cookies no esenciales. El botón "Aceptar" debe ser tan visible como el de "Rechazar". Si una web te dificulta rechazar las cookies, vulnera el RGPD. Para reducir tu huella digital, considera usar uno de los mejores navegadores privados de 2026, que bloquean rastreadores por defecto.

Email marketing y SPAM

Recibir publicidad sin haber dado consentimiento previo es ilegal en España (LSSI + RGPD). Cada email comercial debe incluir un enlace de baja sencillo. Si te llegan correos no deseados de una empresa, puedes ejercer tu derecho de oposición y, si no lo respetan, denunciar ante la AEPD.

Acortadores de enlaces y privacidad

No todos los acortadores son iguales en cuanto a protección de datos. Algunos servicios populares almacenan información personal de quienes hacen clic con fines publicitarios. Plataformas como Lunyb están diseñadas con un enfoque privacy-first, ofreciendo estadísticas agregadas sin perfilar al usuario individual, lo que facilita el cumplimiento del RGPD para empresas que comparten enlaces. Si comparas alternativas, te recomendamos esta guía sobre la mejor alternativa gratuita a Bitly en 2026 y este análisis de las mejores herramientas de tracking de enlaces.

Códigos QR y datos personales

Los QR pueden redirigirte a webs que recopilan datos sin tu conocimiento. Algunas estafas usan QR falsos para suplantar bancos u organismos públicos. Aprende a identificarlos en nuestras guías sobre cómo protegerte del quishing y cómo reconocer QR codes peligrosos.

Obligaciones de las empresas españolas

Si tienes un negocio en España, debes cumplir con el RGPD desde el primer dato que recopiles. Las obligaciones principales son:

  • Registro de actividades de tratamiento (RAT): documentar qué datos tratas, con qué finalidad y bases legales.
  • Política de privacidad clara y accesible en tu web, formularios y comunicaciones.
  • Consentimiento válido: libre, informado, específico e inequívoco. La casilla premarcada no vale.
  • Medidas de seguridad técnicas y organizativas: cifrado, copias de seguridad, control de accesos, formación al personal.
  • Notificación de brechas de seguridad a la AEPD en un plazo máximo de 72 horas si suponen riesgo para los afectados.
  • Designación de un Delegado de Protección de Datos (DPO) en los casos previstos por la ley (administraciones, tratamientos masivos, datos sensibles).
  • Evaluaciones de impacto (EIPD) cuando el tratamiento entrañe alto riesgo.

Sanciones por incumplimiento del RGPD en España

El RGPD establece dos niveles de sanciones administrativas:

  • Hasta 10 millones de euros o 2 % de la facturación global por infracciones de obligaciones formales (registro, notificación de brechas, designación del DPO).
  • Hasta 20 millones de euros o 4 % de la facturación global por infracciones graves: vulneración de derechos, principios básicos del tratamiento o transferencias internacionales ilegales.

La AEPD impone multas todas las semanas. Empresas como aerolíneas, bancos, operadores de telecomunicaciones, plataformas digitales y pequeñas empresas han sido sancionadas en los últimos años por mala gestión de datos personales.

Preguntas frecuentes (FAQ)

¿Es gratis ejercer mis derechos RGPD?

Sí. Ejercer cualquiera de los ocho derechos es totalmente gratuito. Solo en casos excepcionales, si las solicitudes son manifiestamente infundadas o repetitivas, la empresa puede cobrar una tarifa razonable o negarse, justificándolo.

¿Qué pasa si una empresa no responde en un mes?

El silencio se considera incumplimiento. Puedes presentar una reclamación gratuita ante la AEPD aportando copia de tu solicitud original. La agencia abrirá expediente y la empresa podría ser sancionada.

¿Puedo borrar mis datos de Google, Facebook o Instagram?

Sí, el derecho al olvido es aplicable a estas plataformas en lo relativo a los servicios prestados a usuarios europeos. Cada plataforma cuenta con formularios específicos para solicitar la supresión. Si rechazan la petición sin motivo legítimo, puedes reclamar ante la AEPD o la autoridad principal del país donde tengan su sede europea.

¿El RGPD se aplica a autónomos y pymes?

Sí, sin excepción por tamaño. Cualquier autónomo o pyme que trate datos personales (clientes, proveedores, empleados, suscriptores) debe cumplir el RGPD. Sí existen flexibilizaciones en algunas obligaciones formales para empresas con menos de 250 empleados.

¿Tengo que dar mi DNI al ejercer un derecho RGPD?

La empresa debe verificar tu identidad para evitar suplantaciones, pero no siempre es obligatorio el DNI completo. Puedes tachar datos no necesarios (foto, firma) o usar la firma electrónica como alternativa. La AEPD recomienda solicitar la mínima información imprescindible para identificarte.

Conclusión

El RGPD no es un mero papel burocrático: es un escudo real que protege tu privacidad frente a empresas, administraciones y plataformas digitales. Conocer tus ocho derechos y saber ejercerlos es el primer paso para recuperar el control sobre tu identidad digital.

Si una empresa vulnera tus derechos, no dudes en escribir, reclamar y denunciar. La AEPD recibe miles de reclamaciones al año y la mayoría se resuelven a favor del ciudadano. La privacidad no es un lujo: es un derecho fundamental reconocido por la Constitución Española y por la Carta de Derechos Fundamentales de la UE.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

AEPD: Cómo Presentar una Reclamación Paso a Paso (Guía 2026)

Aprende paso a paso cómo presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en 2026. Plazos, requisitos, documentación y consejos prácticos para defender tus derechos digitales.

9 min

Protección de Datos en España 2026: Guía Completa de Cambios y Obligaciones

El panorama de la protección de datos en España afronta cambios decisivos en 2026 con la consolidación del Reglamento de IA, nuevas guías de la AEPD y un endurecimiento de las sanciones. Te explicamos qué obligaciones tienes como ciudadano o empresa y cómo adaptarte sin sobresaltos.

8 min