RGPD en España: Tus Derechos Explicados (Guía Completa 2026)

El Reglamento General de Protección de Datos (RGPD) lleva en vigor desde mayo de 2018 y, junto con la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD), constituye el marco que protege tu privacidad en España. Sin embargo, muchos ciudadanos siguen sin saber exactamente qué derechos tienen ni cómo ejercerlos cuando una empresa trata sus datos personales.

Esta guía te explica, de forma clara y práctica, cuáles son tus derechos bajo el RGPD en España, los plazos legales, cómo reclamar ante la Agencia Española de Protección de Datos (AEPD) y qué hacer si una organización se niega a atender tu solicitud.

¿Qué es el RGPD y cómo se aplica en España?

El RGPD es un reglamento europeo de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018. En España, se complementa con la LOPDGDD (Ley Orgánica 3/2018), que adapta y desarrolla aspectos concretos como los derechos digitales y las particularidades nacionales.

El reglamento se aplica a cualquier organización —pública o privada, dentro o fuera de la UE— que trate datos personales de residentes en el Espacio Económico Europeo. Esto incluye desde grandes plataformas tecnológicas hasta la pastelería de tu barrio si gestiona una base de datos de clientes.

Conceptos básicos que debes conocer

• Dato personal: cualquier información sobre una persona física identificada o identificable (nombre, DNI, IP, correo, geolocalización, etc.).
• Responsable del tratamiento: la entidad que decide para qué y cómo se tratan tus datos.
• Encargado del tratamiento: tercero que trata datos por cuenta del responsable (por ejemplo, un proveedor de hosting).
• Interesado: tú, la persona cuyos datos se procesan.
• Consentimiento: manifestación libre, específica, informada e inequívoca de tu voluntad.

Los 8 derechos fundamentales del RGPD en España

El RGPD reconoce un conjunto de derechos conocidos coloquialmente como "derechos ARSULIPO" (Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición), a los que se añaden las decisiones automatizadas y la información transparente. Vamos a verlos uno a uno.

1. Derecho de acceso (Art. 15 RGPD)

Es el derecho a saber qué datos tuyos tiene una organización y cómo los está usando. Cuando lo ejerces, el responsable debe entregarte:

• Una copia de los datos personales que trata sobre ti.
• Las finalidades del tratamiento.
• Las categorías de datos tratadas.
• Los destinatarios o categorías de destinatarios a quienes se han comunicado.
• El plazo previsto de conservación.
• El origen de los datos si no proceden de ti.

Ejemplo práctico: puedes pedir a tu compañía telefónica un listado completo de todos los datos que tienen sobre ti, incluyendo grabaciones de llamadas con atención al cliente.

2. Derecho de rectificación (Art. 16 RGPD)

Si tus datos son inexactos o están incompletos, tienes derecho a que se corrijan sin dilación indebida. Esto incluye, por ejemplo, actualizar un domicilio antiguo, corregir un nombre mal escrito o completar información que falta en un perfil.

3. Derecho de supresión o "derecho al olvido" (Art. 17 RGPD)

Puedes solicitar que se eliminen tus datos cuando:

1. Ya no son necesarios para la finalidad para la que se recogieron.
2. Retiras el consentimiento y no hay otra base legal.
3. Te has opuesto al tratamiento y no prevalecen motivos legítimos.
4. Los datos se han tratado ilícitamente.
5. Deben suprimirse por obligación legal.

El "derecho al olvido" digital, especialmente conocido frente a buscadores como Google, permite solicitar la desindexación de resultados que contengan información obsoleta, irrelevante o perjudicial.

4. Derecho a la limitación del tratamiento (Art. 18 RGPD)

Es una alternativa intermedia a la supresión: tus datos se conservan, pero no se pueden tratar. Aplica cuando impugnas la exactitud de los datos, el tratamiento es ilícito pero no quieres su supresión, o te has opuesto al tratamiento y se está evaluando si proceden motivos legítimos.

5. Derecho a la portabilidad (Art. 20 RGPD)

Tienes derecho a recibir tus datos en un formato estructurado, de uso común y lectura mecánica (típicamente JSON, CSV o XML) y a transmitirlos a otro responsable. Esto facilita, por ejemplo, cambiar de proveedor de servicios sin perder tu historial.

6. Derecho de oposición (Art. 21 RGPD)

Puedes oponerte al tratamiento de tus datos por motivos relacionados con tu situación personal. Es especialmente potente frente al marketing directo: en ese caso, la oposición es absoluta y la empresa debe cesar el tratamiento de inmediato, sin necesidad de justificar nada.

7. Derecho a no ser objeto de decisiones automatizadas (Art. 22 RGPD)

Tienes derecho a no estar sometido a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o te afecten significativamente. Pensemos en la denegación automática de un crédito o un seguro.

8. Derecho a la información transparente (Arts. 13 y 14 RGPD)

Antes de recoger tus datos, la organización debe informarte de forma clara y accesible sobre quién es el responsable, las finalidades, la base jurídica, los plazos de conservación y tus derechos. Es lo que ves (o deberías ver) en las políticas de privacidad y cláusulas informativas.

Tabla resumen de derechos y plazos

Derecho	Artículo RGPD	Plazo de respuesta	¿Coste?
Acceso	Art. 15	1 mes (prorrogable 2 más)	Gratuito
Rectificación	Art. 16	1 mes	Gratuito
Supresión	Art. 17	1 mes	Gratuito
Limitación	Art. 18	1 mes	Gratuito
Portabilidad	Art. 20	1 mes	Gratuito
Oposición	Art. 21	1 mes	Gratuito
Decisiones automatizadas	Art. 22	1 mes	Gratuito

Nota: el plazo puede ampliarse dos meses adicionales en casos de especial complejidad, pero el responsable debe informarte de la prórroga dentro del primer mes.

Cómo ejercer tus derechos paso a paso

Ejercer los derechos del RGPD es más sencillo de lo que parece. Sigue este procedimiento:

1. Identifica al responsable. Busca en la política de privacidad de la web o servicio quién trata tus datos y cuál es su delegado de protección de datos (DPO), si lo tiene.
2. Redacta tu solicitud. Indica claramente qué derecho ejerces, identifícate (nombre, DNI o documento equivalente) y aporta cualquier información que ayude a localizar tus datos.
3. Envía la solicitud por un medio que deje constancia. Correo electrónico al DPO, formulario habilitado en la web, o burofax para casos especialmente sensibles.
4. Espera la respuesta. El responsable tiene un mes para contestar.
5. Si no responde o lo hace de forma insatisfactoria, reclama ante la AEPD.

La AEPD ofrece modelos gratuitos de solicitud en su web (aepd.es) que puedes descargar y adaptar a tu caso concreto. No necesitas abogado para ejercer tus derechos ni para reclamar.

Cómo reclamar ante la AEPD

La Agencia Española de Protección de Datos es la autoridad de control independiente encargada de velar por el cumplimiento del RGPD en España. Puedes presentar una reclamación cuando:

• El responsable no ha atendido tu solicitud en plazo.
• La respuesta es insuficiente o incorrecta.
• Detectas un tratamiento ilícito de tus datos.
• Has sufrido una brecha de seguridad y no se te ha notificado.

Procedimiento de reclamación

1. Accede a la sede electrónica de la AEPD (sedeagpd.gob.es).
2. Identifícate con certificado digital, DNI electrónico o Cl@ve.
3. Cumplimenta el formulario "Reclamación ante la AEPD".
4. Adjunta la documentación: copia de tu solicitud previa, respuesta recibida (o ausencia de ella) y pruebas.
5. Firma y envía. Recibirás un acuse de recibo y un número de expediente.

El procedimiento es gratuito. La AEPD puede imponer sanciones que oscilan entre los 900 € y los 20 millones de euros (o el 4% de la facturación anual mundial, lo que sea mayor) en infracciones muy graves.

Casos prácticos comunes en España

Llamadas comerciales no deseadas

Si recibes llamadas de marketing sin haber dado consentimiento, puedes inscribirte en la Lista Robinson y ejercer tu derecho de oposición ante cada empresa. Desde la entrada en vigor de la Ley General de Telecomunicaciones (junio de 2023), las llamadas comerciales sin consentimiento previo están prohibidas por defecto.

Cookies y rastreadores

Las webs deben permitirte rechazar las cookies no esenciales con la misma facilidad con la que se aceptan. La AEPD ha sancionado a múltiples portales por implementar "muros de cookies" o botones de rechazo poco visibles. Si quieres reforzar tu privacidad al navegar, consulta nuestra guía sobre las mejores herramientas de privacidad en 2026.

Brechas de seguridad

Si una empresa sufre una brecha que afecta a tus datos, debe notificártelo sin dilación indebida cuando entrañe un riesgo alto para tus derechos. Además, debe comunicarlo a la AEPD en un plazo máximo de 72 horas.

Acortadores de enlaces y datos de tráfico

Cuando usas un servicio de acortamiento de URLs, este puede recopilar datos como IP, ubicación aproximada, navegador y referrer. Es importante elegir proveedores que cumplan el RGPD, ofrezcan transparencia sobre los datos tratados y permitan a los usuarios finales conocer sus derechos. Plataformas como Lunyb aplican principios de minimización de datos y ofrecen información clara sobre el tratamiento, algo crítico si gestionas enlaces en campañas dirigidas a usuarios europeos. Para profundizar en este sector puedes leer nuestro análisis de la mejor plataforma de gestión de enlaces de 2026 o nuestras opiniones sobre Short.io y TinyURL.

Derechos digitales específicos en España (LOPDGDD)

La LOPDGDD añade derechos digitales propios del ordenamiento español, complementarios al RGPD:

• Derecho a la neutralidad de Internet y al acceso universal.
• Derecho a la seguridad digital en las comunicaciones.
• Derecho a la educación digital.
• Protección de los menores en Internet (consentimiento desde los 14 años).
• Derecho al olvido en búsquedas de Internet y redes sociales.
• Derecho a la portabilidad en servicios de redes sociales.
• Derecho al testamento digital, que regula el acceso a contenidos de personas fallecidas.
• Derecho a la desconexión digital en el ámbito laboral.
• Derecho a la intimidad frente a dispositivos de videovigilancia y geolocalización en el trabajo.

Buenas prácticas para proteger tus datos personales

Conocer tus derechos es el primer paso, pero también puedes adoptar medidas proactivas:

1. Revisa políticas de privacidad antes de registrarte en servicios nuevos.
2. Limita los permisos que concedes a aplicaciones móviles.
3. Usa contraseñas únicas y un gestor de contraseñas.
4. Activa la autenticación en dos pasos siempre que esté disponible.
5. Configura DNS cifrado (DoH o DoT) en tu navegador y dispositivos.
6. Revisa periódicamente los datos que tienen sobre ti grandes plataformas (Google, Meta, etc.) y depura lo que no necesites.
7. Inscríbete en la Lista Robinson para evitar comunicaciones comerciales.
8. Utiliza navegadores centrados en privacidad y bloqueadores de rastreadores.

Sanciones y consecuencias del incumplimiento

La AEPD ha consolidado su papel sancionador en los últimos años. Las sanciones por incumplimiento del RGPD se dividen en:

• Infracciones leves: hasta 40.000 €.
• Infracciones graves: entre 40.001 € y 300.000 €, o hasta el 2% de la facturación anual.
• Infracciones muy graves: entre 300.001 € y 20 millones de euros, o hasta el 4% de la facturación anual mundial.

En 2024 y 2025, la AEPD impuso multas millonarias a grandes operadores de telecomunicaciones, entidades financieras y plataformas digitales por bases de legitimación insuficientes, falta de información transparente o fallos de seguridad.

Preguntas frecuentes (FAQ)

¿Tengo que pagar algo por ejercer mis derechos RGPD?

No. El ejercicio de derechos es gratuito. Solo en casos excepcionales de solicitudes manifiestamente infundadas o excesivas (por repetitivas), el responsable puede cobrar un canon razonable o negarse a actuar, justificándolo.

¿Qué pasa si la empresa no responde en un mes?

Tienes derecho a reclamar ante la AEPD. La falta de respuesta se considera una negativa tácita y puede dar lugar a procedimiento sancionador. Conserva siempre prueba de tu solicitud (correos, acuses de recibo, burofaxes).

¿Puedo ejercer mis derechos en nombre de otra persona?

Sí, mediante representación acreditada. Necesitarás un documento que acredite la representación (poder notarial, autorización firmada con copia del DNI del representado, etc.). En el caso de menores, los padres o tutores legales pueden ejercerlos directamente.

¿El RGPD se aplica a empresas fuera de la UE?

Sí, siempre que ofrezcan bienes o servicios a residentes en la UE o monitoricen su comportamiento. Por eso plataformas estadounidenses, asiáticas o latinoamericanas también deben cumplirlo cuando tratan datos de usuarios europeos.

¿Puedo solicitar la supresión total de mis datos a un banco o aseguradora?

No siempre. Existen obligaciones legales (normativa fiscal, prevención del blanqueo de capitales, contratos vigentes) que obligan a conservar determinados datos durante años. En esos casos, el responsable puede oponerse legítimamente a la supresión total, aunque deberá limitar el tratamiento a la finalidad legal.

Conclusión

El RGPD ha cambiado de forma profunda la relación entre ciudadanos y organizaciones que tratan datos personales en España. Conocer tus derechos —acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas e información transparente— es esencial para ejercer un control real sobre tu información.

No olvides que la AEPD es tu aliada: un trámite gratuito y accesible que puede acabar con sanciones ejemplares si se ha vulnerado tu privacidad. Ejerce tus derechos, exige transparencia y elige siempre servicios que respeten la normativa europea.