facebook-pixel

RGPD en España: Tus Derechos Explicados (Guía Completa 2026)

E
Equipo de Seguridad Lunyb
··10 min read

El Reglamento General de Protección de Datos (RGPD) es la norma europea que regula cómo las empresas y organizaciones tratan tus datos personales. En España, se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y su cumplimiento lo vigila la Agencia Española de Protección de Datos (AEPD).

Si alguna vez te has preguntado qué puedes exigir cuando una empresa recopila tu correo, tu ubicación o tu historial de navegación, esta guía te lo explica paso a paso. Vas a conocer tus derechos, cómo ejercerlos, qué plazos maneja la AEPD y qué hacer si te ignoran.

¿Qué es el RGPD y por qué te afecta?

El RGPD (Reglamento UE 2016/679) es la ley de protección de datos aplicable en toda la Unión Europea desde el 25 de mayo de 2018. Su objetivo es devolverte el control sobre tu información personal y armonizar las normas entre los países miembros.

Te afecta cada vez que:

  • Te registras en una web o aplicación.
  • Compras online y facilitas tu dirección.
  • Aceptas cookies en un portal de noticias.
  • Envías tu currículum a una empresa.
  • Un banco, hospital o administración procesa tus datos.

Cualquier dato que pueda identificarte —nombre, DNI, IP, huella digital, geolocalización, datos biométricos— entra en el ámbito del RGPD. Y toda organización que trate tus datos, sea española o extranjera, debe cumplir con esta normativa si te ofrece servicios en la UE.

El papel de la AEPD

La Agencia Española de Protección de Datos es la autoridad de control independiente encargada de velar por el cumplimiento del RGPD en España. Puede investigar denuncias, imponer sanciones que van desde advertencias hasta multas de 20 millones de euros o el 4% de la facturación anual global de la empresa, y publicar guías oficiales.

Los 8 derechos que te otorga el RGPD

El RGPD reconoce ocho derechos fundamentales sobre tus datos personales. Todos son gratuitos (salvo solicitudes manifiestamente infundadas o excesivas) y deben atenderse en un plazo máximo de un mes, ampliable a dos meses en casos complejos.

1. Derecho de información

Antes de que una empresa recopile tus datos, debe informarte de forma clara y transparente sobre:

  • Quién es el responsable del tratamiento.
  • Con qué finalidad recogen tus datos.
  • Cuál es la base legal para hacerlo (consentimiento, contrato, interés legítimo, etc.).
  • Cuánto tiempo los conservarán.
  • Si los cederán a terceros o los transferirán fuera de la UE.
  • Cómo puedes ejercer tus derechos.

Esta información suele aparecer en la política de privacidad y en formularios de registro.

2. Derecho de acceso

Puedes solicitar a cualquier empresa una copia de todos los datos personales que tienen sobre ti, además de información sobre cómo los usan, con quién los comparten y durante cuánto tiempo los guardan. Es tu radiografía completa como usuario.

3. Derecho de rectificación

Si detectas que una empresa tiene datos incorrectos o incompletos sobre ti —una dirección obsoleta, un teléfono equivocado, un dato profesional erróneo— puedes exigir que los corrijan sin demora.

4. Derecho de supresión ("derecho al olvido")

Puedes pedir que borren tus datos cuando:

  1. Ya no sean necesarios para la finalidad para la que se recogieron.
  2. Retires tu consentimiento y no exista otra base legal.
  3. Te opongas al tratamiento y no prevalezcan motivos legítimos.
  4. Los datos se hayan tratado de forma ilícita.
  5. Deban suprimirse para cumplir una obligación legal.

Este derecho tiene límites: no puedes exigir que Hacienda borre tus datos fiscales, por ejemplo.

5. Derecho a la limitación del tratamiento

En lugar de borrar tus datos, puedes pedir que la empresa los "congele": los conservará pero no los usará. Es útil cuando impugnas la exactitud de un dato o cuando el tratamiento es ilícito pero prefieres que no los eliminen (por ejemplo, para futuras reclamaciones).

6. Derecho a la portabilidad

Tienes derecho a recibir tus datos en un formato estructurado, común y legible por máquina (JSON, CSV, XML) para transferirlos a otro proveedor. Piensa en cambiar de plataforma de correo, red social o servicio en la nube sin perder tu información.

7. Derecho de oposición

Puedes oponerte al tratamiento de tus datos, especialmente cuando se usen para marketing directo, elaboración de perfiles o cuando se basen en el interés legítimo del responsable. En el caso de marketing, la oposición es absoluta e inmediata.

8. Derecho a no ser objeto de decisiones automatizadas

Si una decisión que te afecta significativamente (concesión de un crédito, evaluación laboral, admisión a un servicio) se toma únicamente mediante algoritmos, tienes derecho a exigir intervención humana, expresar tu punto de vista e impugnar la decisión.

Comparativa rápida de tus derechos RGPD

Derecho Cuándo ejercerlo Plazo de respuesta Coste
Acceso Para saber qué datos tienen sobre ti 1 mes (prorrogable a 3) Gratuito
Rectificación Cuando hay datos erróneos 1 mes Gratuito
Supresión Cuando los datos ya no son necesarios 1 mes Gratuito
Limitación Para "congelar" el tratamiento 1 mes Gratuito
Portabilidad Para cambiar de proveedor 1 mes Gratuito
Oposición Marketing, perfiles, interés legítimo 1 mes Gratuito
Decisiones automatizadas Cuando un algoritmo decide por ti 1 mes Gratuito
Información Antes de que recojan tus datos Inmediato Gratuito

Cómo ejercer tus derechos paso a paso

Ejercer un derecho RGPD es más sencillo de lo que parece. Sigue este proceso:

  1. Identifica al responsable del tratamiento. Busca en la política de privacidad de la empresa el nombre, dirección postal y contacto del Delegado de Protección de Datos (DPO).
  2. Redacta tu solicitud por escrito. Indica tu identidad (nombre, DNI), el derecho concreto que ejerces, la información específica que solicitas y un canal de respuesta.
  3. Adjunta copia de tu DNI o documento equivalente para acreditar tu identidad.
  4. Envíala por un canal con acuse de recibo: correo electrónico al DPO, formulario oficial de la web, correo postal certificado o burofax.
  5. Espera la respuesta en el plazo máximo de un mes. Si es un caso complejo, la empresa puede ampliarlo a dos meses adicionales, pero debe justificarlo.
  6. Si no respetan tus derechos, reclama ante la AEPD a través de su sede electrónica.

La AEPD ofrece plantillas gratuitas para cada derecho en su web oficial (aepd.es), lo que agiliza mucho el trámite.

Casos prácticos donde el RGPD te protege

Marketing no deseado

Si recibes correos publicitarios de una empresa a la que no te has suscrito, tienes derecho a oponerte y exigir el borrado. La empresa debe darte de baja de forma inmediata y gratuita, sin condicionar tu oposición a explicaciones.

Cookies y rastreadores

Las webs deben pedirte consentimiento explícito antes de instalar cookies no esenciales. El botón "Aceptar todas" debe ir acompañado, con la misma visibilidad, de "Rechazar todas". Los "muros de cookies" (obligarte a aceptar para ver el contenido) son, en general, ilegales según la AEPD.

Filtraciones de datos

Si una empresa sufre una brecha de seguridad que compromete tus datos, debe notificarlo a la AEPD en 72 horas y, si supone un riesgo alto, comunicártelo directamente. Puedes reclamar indemnización por daños y perjuicios.

Enlaces acortados y trazabilidad

Los acortadores de enlaces son una zona sensible del RGPD porque recopilan IPs, ubicación y patrones de clic. Si utilizas herramientas de gestión de enlaces para tu negocio, elige proveedores que cumplan escrupulosamente con el RGPD, ofrezcan servidores en la UE y te permitan configurar la retención de datos. En Lunyb aplicamos privacidad por diseño, minimizamos la recogida de datos analíticos y te damos control sobre qué información se almacena de cada clic. Si estás comparando plataformas, puedes leer nuestro análisis de las mejores plataformas de gestión de enlaces en 2026.

Phishing y suplantación

El RGPD también respalda tu derecho a la seguridad de tus datos. Si una empresa no protege adecuadamente tu información y eres víctima de suplantación de identidad tras una brecha, puedes reclamar. Complementa esta protección con las mejores herramientas anti-phishing de 2026.

Sanciones del RGPD: lo que arriesgan las empresas

El RGPD contempla dos tramos de sanciones administrativas:

  • Infracciones leves: hasta 10 millones de euros o el 2% de la facturación anual global (lo que sea mayor). Ejemplos: no llevar registro de actividades de tratamiento, no notificar brechas en plazo.
  • Infracciones graves: hasta 20 millones de euros o el 4% de la facturación anual global. Ejemplos: tratar datos sin base legal, ignorar los derechos de los interesados, transferencias internacionales ilegales.

En España, la AEPD ha impuesto multas millonarias a bancos, operadoras de telecomunicaciones, plataformas digitales y aerolíneas. Las sanciones más frecuentes están relacionadas con marketing no consentido, cookies mal configuradas y falta de información al usuario.

Cómo presentar una reclamación ante la AEPD

Si una empresa no responde a tu solicitud o rechaza tu derecho sin justificación, puedes reclamar ante la AEPD:

  1. Accede a la sede electrónica de la AEPD (sedeagpd.gob.es).
  2. Selecciona "Reclamación por vulneración de derechos".
  3. Identifícate con certificado digital, DNI electrónico o Cl@ve.
  4. Adjunta la solicitud enviada al responsable y la respuesta (o la ausencia de ella).
  5. Describe los hechos y aporta cualquier prueba adicional.

La AEPD acusa recibo y abre expediente. Puede resolver a tu favor, obligando a la empresa a atender tu derecho, y sancionarla si aprecia infracción. El trámite es totalmente gratuito.

Consejos prácticos para proteger tus datos

  • Lee las políticas de privacidad antes de aceptar. Busca la sección "con quién compartimos tus datos".
  • Rechaza cookies no esenciales siempre que puedas.
  • Utiliza correos alias para servicios de baja confianza.
  • Activa la autenticación en dos pasos en tus cuentas críticas.
  • Revisa periódicamente qué apps y servicios tienen acceso a tus datos.
  • Guarda copia de cualquier solicitud RGPD que envíes y su respuesta.
  • Configura DNS cifrado (DoH o DoT) en tu router y navegador para dificultar el rastreo a nivel de red.

Conclusión

El RGPD te da un poder real sobre tus datos, pero solo es efectivo si lo ejerces. Conocer tus ocho derechos —información, acceso, rectificación, supresión, limitación, portabilidad, oposición y no ser objeto de decisiones automatizadas— es el primer paso para recuperar el control de tu identidad digital.

La AEPD es tu aliada: pone a tu disposición plantillas, canales de reclamación y una autoridad con capacidad sancionadora real. Y, como usuario, tu mejor herramienta es la información. Si te acostumbras a leer políticas de privacidad, a ejercer tus derechos y a elegir proveedores que cumplan el RGPD por diseño, contribuyes a un ecosistema digital más respetuoso.

Preguntas frecuentes

¿Puedo ejercer mis derechos RGPD frente a empresas fuera de la UE?

Sí, siempre que la empresa te ofrezca bienes o servicios en la UE o monitorice tu comportamiento (por ejemplo, con cookies o publicidad segmentada). Empresas como Google, Meta o Amazon están sometidas al RGPD cuando tratan datos de residentes europeos, con independencia de dónde tengan su sede.

¿Qué pasa si la empresa no responde en un mes?

El silencio se considera denegación tácita. Puedes acudir directamente a la AEPD para presentar una reclamación por vulneración de derechos. Aporta la solicitud original con la prueba de envío y la fecha, y la Agencia iniciará el procedimiento correspondiente.

¿Puedo pedir indemnización si vulneran mis derechos RGPD?

Sí. El artículo 82 del RGPD reconoce el derecho a indemnización por daños materiales o inmateriales (angustia, pérdida de reputación, daño moral). Deberás reclamarla por la vía civil, y la carga de la prueba de haber cumplido con el RGPD recae sobre la empresa, no sobre ti.

¿Los datos anónimos también están protegidos por el RGPD?

No. Los datos verdaderamente anónimos —irreversiblemente desvinculados de una persona identificable— quedan fuera del RGPD. Sin embargo, la seudonimización (sustituir el nombre por un identificador que aún puede reconvertirse) sí está regulada, porque el dato sigue considerándose personal.

¿Cómo sé si una web cumple el RGPD?

Comprueba que tenga política de privacidad accesible, información clara sobre cookies con opción real de rechazo, datos de contacto del responsable y del DPO cuando corresponda, y menciones al RGPD y a la AEPD. La ausencia de estos elementos es una señal de alarma. Si trabajas con herramientas empresariales, verifica también dónde alojan los datos y qué encargados del tratamiento utilizan.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles