RGPD en España: Tus Derechos Explicados (Guía Completa 2026)

El Reglamento General de Protección de Datos (RGPD) es la norma europea que regula cómo las empresas pueden recopilar, almacenar y usar tus datos personales. En España, su aplicación se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y la Agencia Española de Protección de Datos (AEPD) es la autoridad encargada de velar por su cumplimiento.

En esta guía vas a entender, sin tecnicismos innecesarios, cuáles son tus derechos como ciudadano, cómo ejercerlos paso a paso y qué hacer cuando una empresa no respeta tu privacidad.

¿Qué es el RGPD y por qué te afecta?

El RGPD (Reglamento UE 2016/679) entró en vigor el 25 de mayo de 2018 y se aplica a cualquier organización —pública o privada— que trate datos personales de personas que residen en la Unión Europea, independientemente de dónde esté ubicada esa empresa.

Esto significa que tanto una tienda de tu barrio como Google, Meta o Amazon están obligados a respetar las mismas reglas cuando manejan tu información. Si vives en España, el RGPD te protege en situaciones tan cotidianas como:

• Suscribirte a una newsletter o crear una cuenta online.
• Comprar en una tienda física que pide tu DNI o teléfono.
• Solicitar un crédito o contratar un seguro.
• Acudir al médico o al ayuntamiento.
• Participar en un sorteo en redes sociales.

¿Qué se considera "dato personal"?

Un dato personal es cualquier información que permita identificarte, directa o indirectamente. Esto incluye:

• Identificativos básicos: nombre, DNI, dirección, email, teléfono.
• Digitales: dirección IP, cookies, identificadores de dispositivo, geolocalización.
• Económicos: nómina, cuenta bancaria, historial crediticio.
• Categorías especiales (protección reforzada): salud, ideología, religión, orientación sexual, datos biométricos.

Los 8 derechos que te otorga el RGPD

El RGPD reconoce ocho derechos fundamentales que puedes ejercer frente a cualquier empresa u organismo que trate tus datos. Son gratuitos y la respuesta debe llegar en un plazo máximo de un mes (prorrogable a tres en casos complejos).

Derecho	Para qué sirve	Artículo RGPD
Información	Saber qué hacen con tus datos antes de dártelos	Arts. 13-14
Acceso	Solicitar una copia de los datos que tienen sobre ti	Art. 15
Rectificación	Corregir datos erróneos o incompletos	Art. 16
Supresión ("al olvido")	Pedir que borren tus datos	Art. 17
Limitación	Restringir su uso sin borrarlos	Art. 18
Portabilidad	Recibir tus datos en formato reutilizable	Art. 20
Oposición	Oponerte al tratamiento por motivos legítimos	Art. 21
Decisiones automatizadas	No ser objeto de perfilados automáticos	Art. 22

1. Derecho de información

Antes de que entregues tus datos, la empresa debe informarte —de forma clara y accesible— sobre quién recoge la información, con qué finalidad, durante cuánto tiempo la conservará, si la cederá a terceros y cuáles son tus derechos. Esto suele aparecer en las políticas de privacidad y en los formularios web.

2. Derecho de acceso

Puedes pedir a cualquier empresa una copia completa de los datos personales que tiene sobre ti. Por ejemplo: a tu banco, qué movimientos ha registrado; a una red social, qué información ha recopilado de tu actividad; al supermercado, qué historial de compras almacena en tu tarjeta de fidelización.

3. Derecho de rectificación

Si detectas que un dato es incorrecto —una dirección antigua, un apellido mal escrito, un cargo erróneo en tu historial—, tienes derecho a que lo corrijan sin demora. Este derecho es especialmente útil con ficheros de morosos como ASNEF, donde un error puede impedirte contratar servicios.

4. Derecho de supresión ("derecho al olvido")

Puedes solicitar que tus datos sean eliminados cuando ya no sean necesarios, retires el consentimiento o el tratamiento sea ilícito. Es la base, por ejemplo, para pedir a Google que deje de indexar resultados antiguos sobre ti que ya no son relevantes.

5. Derecho de limitación

En lugar de borrar los datos, pides que los "congelen". Útil cuando impugnas la exactitud de la información y no quieres que sigan usándola mientras se resuelve la disputa.

6. Derecho de portabilidad

Tienes derecho a recibir tus datos en un formato estructurado (normalmente JSON, CSV o XML) y a transmitirlos a otro proveedor. Esto facilita, por ejemplo, cambiar de plataforma musical o de proveedor de email sin perder tu historial.

7. Derecho de oposición

Puedes oponerte a que tus datos se usen con fines de marketing directo, elaboración de perfiles o investigación. En el caso del marketing, la oposición es incondicional: basta con que la solicites para que cesen inmediatamente.

8. Derecho frente a decisiones automatizadas

No pueden tomarse decisiones que te afecten significativamente basándose únicamente en algoritmos (por ejemplo, denegación de un crédito por scoring automático) sin intervención humana. Tienes derecho a pedir revisión por una persona.

Cómo ejercer tus derechos paso a paso

Ejercer cualquiera de los derechos del RGPD es un proceso sencillo si sigues estos pasos:

1. Identifica al responsable del tratamiento. Busca en la política de privacidad de la empresa o en el aviso legal de su web los datos de contacto del responsable o del Delegado de Protección de Datos (DPD).
2. Redacta tu solicitud por escrito. Indica claramente qué derecho ejerces, tus datos identificativos y, si es necesario, una copia del DNI. Puedes usar las plantillas oficiales de la AEPD.
3. Envíala por un medio que deje constancia. Email con acuse de recibo, formulario oficial, burofax o correo certificado.
4. Espera la respuesta. La empresa tiene un mes para responder. Si no contesta o lo hace de forma insatisfactoria, puedes reclamar.
5. Reclama ante la AEPD. A través de su sede electrónica puedes presentar una denuncia gratuita con certificado digital o Cl@ve.

Plantillas y modelos oficiales

La AEPD pone a disposición de los ciudadanos modelos gratuitos para cada derecho. Puedes descargarlos directamente desde su web oficial y adaptarlos a tu caso. No necesitas abogado para presentarlos.

Sanciones del RGPD: cuánto pueden multar a una empresa

El RGPD prevé sanciones económicas muy severas para las empresas que incumplen. Existen dos tramos:

• Infracciones leves/medias: hasta 10 millones de euros o el 2% de la facturación anual global (la cifra que sea mayor).
• Infracciones graves: hasta 20 millones de euros o el 4% de la facturación anual global.

En España, la AEPD es una de las autoridades más activas de Europa. Empresas como Vodafone, CaixaBank, Google o Meta han recibido multas millonarias por brechas de seguridad, cesiones indebidas o falta de consentimiento válido.

Brechas de seguridad: qué debe pasar si filtran tus datos

Si una empresa sufre una brecha de seguridad que afecta a tus datos personales, está obligada a:

1. Notificar a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento del incidente.
2. Informarte directamente a ti si la brecha supone un alto riesgo para tus derechos (por ejemplo, si se han filtrado contraseñas o datos bancarios).
3. Adoptar medidas para mitigar el daño.

Si recibes una notificación de este tipo, actúa rápido: cambia contraseñas, revisa movimientos bancarios y vigila intentos de suplantación. En casos graves, podrías estar también ante un intento de fraude telefónico —te recomendamos leer nuestra guía sobre cómo reportar un número de estafa y, si sospechas que tu dispositivo está comprometido, revisa las 10 señales de un teléfono hackeado.

RGPD y privacidad online: lo que toda empresa debe respetar

Más allá de las solicitudes formales, el RGPD impone obligaciones técnicas y organizativas a cualquier negocio digital. Si tienes una web, una tienda online o gestionas enlaces y campañas de marketing, debes cumplir con:

Cookies y consentimiento

El banner de cookies no es decorativo: debe permitir aceptar, rechazar y configurar de forma equivalente. "Rechazar todas" debe ser tan fácil como "Aceptar todas". La AEPD ha sancionado a numerosas webs por banners engañosos ("dark patterns").

Bases legales del tratamiento

No puedes tratar datos por capricho. Necesitas una de estas seis bases legales: consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo. Debes documentar cuál aplicas en cada caso.

Privacy by design

El principio de "privacidad desde el diseño" exige minimizar los datos recogidos, anonimizar siempre que sea posible y aplicar medidas de seguridad proporcionales. Por ejemplo, si gestionas enlaces de marketing, usar plataformas que prioricen la privacidad y no rastreen al usuario más allá de lo necesario es clave. Herramientas como Lunyb permiten acortar y compartir enlaces con políticas de datos transparentes, lo que ayuda a cumplir con estos principios sin renunciar a la analítica útil. Si comparas opciones, te puede interesar nuestra revisión de la mejor plataforma de gestión de enlaces 2026.

Registro de actividades

Toda organización con más de 250 empleados —o que trate datos sensibles— debe llevar un registro detallado de qué datos trata, con qué finalidad, durante cuánto tiempo y con qué medidas de seguridad.

Derechos específicos en el entorno digital (LOPDGDD)

La ley española añade derechos digitales propios que complementan al RGPD:

• Derecho a la desconexión digital: los trabajadores no están obligados a responder emails o mensajes fuera de su horario laboral.
• Derecho al olvido en buscadores y redes sociales: puedes pedir la desindexación de información obsoleta o irrelevante.
• Derecho a la portabilidad en redes sociales: trasladar tu perfil, contactos y publicaciones a otra plataforma.
• Derecho al testamento digital: los herederos pueden gestionar las cuentas de personas fallecidas.
• Derecho a la educación digital: el sistema educativo debe formar en uso seguro y responsable de internet.

Consejos prácticos para proteger tus datos día a día

Conocer tus derechos es el primer paso, pero también puedes adoptar hábitos que minimicen la exposición de tu información:

1. Lee (al menos por encima) las políticas de privacidad antes de registrarte en un servicio.
2. Usa contraseñas únicas y un gestor para no reutilizarlas entre servicios.
3. Activa la autenticación en dos factores en todas las cuentas importantes.
4. Revisa periódicamente los permisos de apps y servicios conectados a tus cuentas de Google, Apple o Microsoft.
5. Pide la baja de servicios que ya no usas (derecho de supresión).
6. Desconfía de correos y SMS que pidan datos personales o bancarios.
7. Usa herramientas que respeten la privacidad para acortar enlaces, navegar o enviar mensajes.

Si gestionas enlaces para campañas o redes sociales, elegir un acortador con buena política de datos es importante. Puedes comparar alternativas en nuestras opiniones sobre Short.io y TinyURL.

Preguntas frecuentes (FAQ)

¿Cuánto tiempo tiene una empresa para responder a una solicitud RGPD?

El plazo general es de un mes desde la recepción de la solicitud. Este plazo puede ampliarse otros dos meses cuando la solicitud sea especialmente compleja o se hayan recibido muchas peticiones, pero la empresa debe comunicártelo y justificarlo en el primer mes.

¿Tengo que pagar para ejercer mis derechos RGPD?

No. Ejercer cualquiera de los ocho derechos del RGPD es completamente gratuito. La empresa solo podría cobrar una tasa razonable —o negarse a actuar— si las solicitudes son manifiestamente infundadas o excesivas (por ejemplo, repetitivas), y debe demostrarlo.

¿Puedo reclamar a la AEPD directamente sin avisar antes a la empresa?

Sí, puedes presentar una denuncia directa, pero por norma general la AEPD recomienda intentar primero el ejercicio de derechos ante la empresa. Si no obtienes respuesta en un mes o la respuesta es insatisfactoria, entonces presentas la reclamación adjuntando la prueba del intento previo.

¿El RGPD se aplica también a empresas extranjeras como Google o Meta?

Sí. El RGPD se aplica a cualquier empresa —esté donde esté— que trate datos de residentes en la UE. Por eso gigantes como Google, Meta o Amazon han sido sancionados por la AEPD y otras autoridades europeas con multas millonarias.

¿Puedo pedir que borren mis datos de un fichero de morosos como ASNEF?

Sí, puedes ejercer el derecho de supresión si la deuda no existe, ya fue pagada, está prescrita o no cumple los requisitos legales (importe, comunicación previa, etc.). Si la entidad se niega y consideras que la inclusión es indebida, puedes reclamar ante la AEPD aportando pruebas.

Conclusión

El RGPD te da herramientas reales para controlar tu información personal, pero solo funcionan si las conoces y las ejerces. Acceder, rectificar, suprimir, oponerte… son acciones gratuitas, sencillas y respaldadas por una de las autoridades de protección de datos más activas de Europa: la AEPD.

Combina el conocimiento de tus derechos con buenos hábitos de seguridad digital y herramientas que respeten tu privacidad. Así no solo cumples la ley si tienes un negocio, sino que recuperas el control sobre algo que es tuyo: tus datos.