RGPD en España: Tus Derechos Explicados (Guía Completa 2026)

El Reglamento General de Protección de Datos (RGPD) cambió radicalmente la forma en que las empresas pueden tratar tus datos personales en España y en toda la Unión Europea. Sin embargo, muchos ciudadanos siguen sin conocer todos los derechos que les otorga esta normativa ni cómo ejercerlos de manera efectiva. En esta guía completa te explicamos, de forma clara y práctica, cada uno de tus derechos RGPD, cómo ejercerlos paso a paso y qué hacer cuando una empresa no los respeta.

¿Qué es el RGPD y por qué te afecta?

El RGPD (Reglamento UE 2016/679) es la normativa europea que regula el tratamiento de datos personales desde mayo de 2018. En España se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), supervisada por la Agencia Española de Protección de Datos (AEPD).

Te afecta porque cualquier empresa, organismo público o profesional que trate tus datos personales —desde tu nombre y email hasta tu dirección IP, ubicación o hábitos de navegación— está obligado a cumplir con sus principios. Esto incluye a redes sociales, bancos, comercios online, empleadores, hospitales y prácticamente cualquier servicio digital que utilices.

Principios básicos del RGPD

• Licitud, lealtad y transparencia: las empresas deben informarte claramente sobre qué datos recogen y para qué.
• Limitación de la finalidad: los datos solo pueden usarse para los fines declarados.
• Minimización: solo deben pedirte los datos estrictamente necesarios.
• Exactitud: los datos deben ser correctos y actualizados.
• Limitación del plazo de conservación: no pueden guardarse indefinidamente.
• Integridad y confidencialidad: deben protegerse con medidas de seguridad adecuadas.

Los 8 derechos RGPD que tienes como ciudadano español

El RGPD reconoce ocho derechos fundamentales (conocidos como los derechos ARSULIPO) que puedes ejercer de forma gratuita frente a cualquier responsable del tratamiento. Vamos a verlos uno a uno.

1. Derecho de acceso

Te permite saber si una empresa está tratando tus datos personales y, en caso afirmativo, obtener una copia de ellos. La empresa debe informarte sobre:

1. Qué datos tuyos almacena.
2. La finalidad del tratamiento.
3. Los destinatarios a quienes ha cedido tus datos.
4. El plazo previsto de conservación.
5. El origen de los datos si no los obtuvieron directamente de ti.

Plazo de respuesta: 1 mes (ampliable a 2 meses en casos complejos).

2. Derecho de rectificación

Si tus datos son inexactos o están incompletos, puedes exigir que se corrijan. Por ejemplo, si tu banco tiene mal escrito tu apellido o tu compañía de telefonía conserva una dirección antigua.

3. Derecho de supresión ("derecho al olvido")

Conocido popularmente como "derecho al olvido", te permite solicitar la eliminación de tus datos cuando:

• Ya no son necesarios para la finalidad inicial.
• Retiras tu consentimiento.
• Te opones al tratamiento y no hay motivos legítimos prevalentes.
• Los datos se han tratado ilícitamente.
• Deben suprimirse por obligación legal.

Este derecho es especialmente útil frente a buscadores como Google para retirar enlaces a información obsoleta o perjudicial sobre tu persona.

4. Derecho a la limitación del tratamiento

Permite "congelar" el uso de tus datos sin eliminarlos. La empresa los conserva pero no puede tratarlos. Es útil mientras se resuelve una reclamación o cuando impugnas la exactitud de los datos.

5. Derecho a la portabilidad

Puedes recibir tus datos en un formato estructurado, de uso común y legible mecánicamente (CSV, JSON, XML) y transferirlos a otro proveedor. Por ejemplo, llevar tu historial musical de una plataforma de streaming a otra.

6. Derecho de oposición

Te permite oponerte al tratamiento de tus datos por motivos relacionados con tu situación particular, especialmente frente a:

• Marketing directo y publicidad personalizada.
• Elaboración de perfiles comerciales.
• Tratamientos basados en interés legítimo del responsable.

7. Derecho a no ser objeto de decisiones automatizadas

No estás obligado a aceptar decisiones que te afecten significativamente y que se basen únicamente en algoritmos o IA, como la denegación automática de un crédito o un seguro. Tienes derecho a intervención humana.

8. Derecho a retirar el consentimiento

Cuando el tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento, y debe ser tan fácil retirarlo como darlo (no vale enterrarlo en menús imposibles).

Cómo ejercer tus derechos RGPD paso a paso

Ejercer tus derechos es gratuito y más sencillo de lo que parece. Sigue estos pasos:

1. Identifica al responsable: revisa la política de privacidad del servicio para localizar al responsable del tratamiento o al Delegado de Protección de Datos (DPD).
2. Redacta una solicitud por escrito: indica tu nombre, DNI, derecho que ejerces y los datos a los que afecta. La AEPD ofrece plantillas gratuitas.
3. Envía la solicitud: por email a la dirección de privacidad, formulario web del servicio, o por correo postal con acuse de recibo.
4. Espera la respuesta: la empresa tiene un mes para responder (dos en casos complejos, avisándote).
5. Reclama si no responden: si te ignoran o deniegan injustificadamente, puedes reclamar ante la AEPD.

Tabla resumen de plazos y respuestas

Acción	Plazo	Coste
Respuesta a tu solicitud	1 mes (ampliable a 2)	Gratuito
Reclamación ante la AEPD	Sin plazo límite específico	Gratuito
Resolución de la AEPD	6-12 meses habitualmente	Gratuito
Recurso contencioso-administrativo	2 meses desde resolución	Tasas judiciales

Cómo reclamar ante la AEPD

La Agencia Española de Protección de Datos es la autoridad de control en España. Si una empresa no respeta tus derechos, puedes presentar una reclamación de forma gratuita y sin necesidad de abogado.

Pasos para reclamar

1. Accede a la Sede Electrónica de la AEPD.
2. Identifícate con certificado digital, DNI electrónico o Cl@ve.
3. Selecciona el procedimiento "Reclamación por incumplimiento de la normativa de protección de datos".
4. Adjunta la solicitud que enviaste a la empresa y la respuesta (o constancia de que no respondieron).
5. Describe los hechos y firma electrónicamente.

La AEPD puede imponer sanciones muy elevadas: hasta 20 millones de euros o el 4% de la facturación anual mundial de la empresa, lo que sea mayor. En 2024 y 2025 se han multado a gigantes como Meta, Google y operadoras españolas con importes millonarios.

Casos prácticos: cuándo y cómo aplicar tus derechos

Caso 1: Llamadas comerciales no deseadas

Si una empresa con la que nunca has contratado nada te llama insistentemente para venderte servicios, puedes:

• Ejercer tu derecho de oposición exigiendo que dejen de contactarte.
• Inscribirte en la Lista Robinson (servicio gratuito).
• Reclamar ante la AEPD si persisten.

Caso 2: Información negativa en Google

Si al buscar tu nombre aparecen noticias antiguas, irrelevantes o lesivas, puedes ejercer el derecho de supresión mediante el formulario de Google. Si Google deniega, reclama ante la AEPD.

Caso 3: Datos vendidos a terceros sin consentimiento

Los brokers de datos a menudo recopilan y venden información personal sin que lo sepas. Hemos analizado este fenómeno en detalle en nuestro artículo sobre brokers de datos y quién vende tu información personal en 2026. Puedes ejercer derecho de acceso para saber qué tienen sobre ti y de supresión para eliminarlo.

Caso 4: Antiguo empleador conserva tus datos

Una vez finalizada la relación laboral, la empresa solo puede conservar los datos durante los plazos legales (nómina: 4 años; documentación fiscal: 6 años). Pasados esos plazos, puedes exigir su supresión.

RGPD y servicios online: protege tu privacidad de forma proactiva

Más allá de ejercer tus derechos cuando ya hay un problema, conviene adoptar hábitos preventivos para minimizar la exposición de tus datos:

• Lee las políticas de privacidad antes de registrarte en servicios nuevos.
• Rechaza las cookies no esenciales en los banners (es tu derecho).
• Usa emails alias para registros en sitios poco fiables.
• Acorta enlaces con servicios respetuosos con la privacidad. Cuando compartes URLs largas con parámetros de seguimiento, expones información sobre tu actividad. Herramientas como Lunyb permiten acortar enlaces sin perfilar a quien hace clic, en cumplimiento estricto del RGPD. Para comparativas de plataformas, consulta nuestra guía sobre la mejor plataforma de gestión de enlaces 2026.
• Activa la autenticación en dos factores en todos los servicios críticos.
• Revisa periódicamente los permisos de tus cuentas (Google, Facebook, Apple).

Cookies y consentimiento: lo que debes saber

Desde 2022, la AEPD exige que rechazar cookies sea tan sencillo como aceptarlas. Si un sitio web te obliga a aceptar todas o esconde la opción de rechazo en menús complejos, está incumpliendo la normativa y puedes reclamar.

Sanciones del RGPD: ejemplos reales en España

La AEPD impuso más de 360 millones de euros en multas entre 2022 y 2024. Algunos ejemplos notables:

Empresa	Multa	Motivo
Meta (Facebook)	1.200 M€ (UE)	Transferencias internacionales ilegales
CaixaBank	6 M€	Tratamiento de datos sin base legal
Vodafone España	3,9 M€	Llamadas comerciales no consentidas
Google LLC	10 M€	Dificultades para ejercer el derecho de supresión

Estas sanciones demuestran que el RGPD tiene dientes y que la AEPD actúa frente a incumplimientos graves, sin importar el tamaño de la empresa.

Diferencias entre RGPD y LOPDGDD

Muchos confunden ambas normas. La aclaración es sencilla:

• RGPD: reglamento europeo de aplicación directa en todos los Estados miembros.
• LOPDGDD: ley española que adapta y desarrolla el RGPD, añadiendo aspectos como los derechos digitales (desconexión digital, testamento digital, derecho al olvido en redes sociales, etc.).

Cuando ejerces tus derechos en España, aplicas ambas normas simultáneamente.

Preguntas frecuentes sobre RGPD en España

¿Cuánto cuesta ejercer mis derechos RGPD?

Es completamente gratuito. La empresa solo puede cobrarte un canon razonable si tus solicitudes son manifiestamente infundadas o excesivas, lo cual debe justificar. En la práctica, esto casi nunca ocurre y reclamar ante la AEPD es también gratuito.

¿Qué pasa si la empresa no responde en un mes?

El silencio se considera denegación tácita. Puedes presentar una reclamación ante la AEPD aportando la solicitud original y demostrando que no obtuviste respuesta. La AEPD investigará y podrá sancionar a la empresa por no atender tus derechos.

¿Puedo ejercer mis derechos frente a empresas fuera de la UE?

Sí. El RGPD se aplica a cualquier empresa que ofrezca productos o servicios a residentes en la UE o monitorice su comportamiento, independientemente de dónde esté ubicada. Empresas como Google, Meta, Amazon o TikTok están obligadas a respetar tus derechos.

¿El RGPD protege mis datos en el trabajo?

Sí. Tu empleador es responsable del tratamiento y debe cumplir el RGPD. Tienes derecho a la desconexión digital, a la privacidad de tus comunicaciones laborales, a no ser videovigilado de forma desproporcionada y a acceder a los datos que la empresa conserva sobre ti.

¿Qué hago si soy víctima de una brecha de seguridad?

La empresa está obligada a notificar la brecha a la AEPD en 72 horas y a informarte si supone un alto riesgo para tus derechos. Puedes exigir explicaciones, ejercer el derecho de supresión, cambiar contraseñas afectadas, monitorizar tus cuentas bancarias y, si has sufrido daños, reclamar una indemnización por la vía civil además de la sanción administrativa.

Conclusión

El RGPD es una de las normativas de protección de datos más avanzadas del mundo y te otorga un control real sobre tu información personal. Conocer tus ocho derechos —acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas y retirada de consentimiento— y saber cómo ejercerlos te permite plantar cara a empresas que tratan tus datos de forma indebida.

Ejercer estos derechos es gratuito, sencillo y no requiere asistencia legal en la mayoría de casos. Y si una empresa no respeta la normativa, la AEPD está ahí para investigar y sancionar. Tu privacidad no es opcional: es un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y reforzado por el RGPD y la LOPDGDD.