facebook-pixel

RGPD en España: Tus Derechos Explicados (Guía Completa 2026)

E
Equipo de Seguridad Lunyb
··10 min read

El Reglamento General de Protección de Datos (RGPD) llegó en mayo de 2018 y transformó por completo la forma en que las empresas tratan tu información personal. En España, este reglamento se complementa con la Ley Orgánica 3/2018 (LOPDGDD) y está supervisado por la Agencia Española de Protección de Datos (AEPD). Pero, ¿sabes realmente qué derechos tienes como ciudadano? En esta guía te explicamos, de forma clara y práctica, cada uno de los derechos que el RGPD te otorga y cómo ejercerlos.

¿Qué es el RGPD y por qué te afecta en España?

El RGPD (Reglamento UE 2016/679) es la norma europea que regula el tratamiento de datos personales de todos los ciudadanos de la Unión Europea. En España se aplica desde el 25 de mayo de 2018 junto con la LOPDGDD, que adapta el reglamento al ordenamiento jurídico español.

Este reglamento te afecta directamente porque protege cualquier información que pueda identificarte: tu nombre, DNI, correo electrónico, dirección IP, ubicación, huellas biométricas, historial de navegación e incluso datos que combinados permitan identificarte. Toda empresa, administración pública o profesional que trate tus datos —desde tu banco hasta la app del móvil— está obligada a cumplir con él.

El incumplimiento puede acarrear sanciones de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, lo que sea mayor. La AEPD ha sido especialmente activa imponiendo multas millonarias a grandes tecnológicas y empresas nacionales.

Los 8 derechos fundamentales del RGPD

El RGPD reconoce ocho derechos específicos que puedes ejercer frente a cualquier responsable del tratamiento de tus datos. A continuación los explicamos uno a uno.

1. Derecho de acceso (Artículo 15)

Tienes derecho a saber si una empresa está tratando tus datos personales y, en caso afirmativo, a obtener una copia gratuita de esos datos. Además, la empresa debe informarte de:

  • Los fines del tratamiento
  • Las categorías de datos personales tratados
  • Los destinatarios a los que se comunican tus datos
  • El plazo previsto de conservación
  • El origen de los datos si no los aportaste tú
  • La existencia de decisiones automatizadas (incluida la elaboración de perfiles)

La respuesta debe ser gratuita y llegar en un plazo máximo de un mes, ampliable a dos meses en casos complejos.

2. Derecho de rectificación (Artículo 16)

Si detectas que una empresa tiene datos tuyos incorrectos o incompletos, puedes exigir que los corrija o complete. Este derecho es especialmente relevante en registros médicos, bancarios o de solvencia patrimonial (ficheros como ASNEF).

La empresa debe rectificarlos sin dilaciones indebidas y comunicar la corrección a todos los terceros a los que hubiera cedido esos datos.

3. Derecho de supresión o "derecho al olvido" (Artículo 17)

Puedes solicitar la eliminación de tus datos personales cuando:

  1. Ya no sean necesarios para la finalidad para la que se recogieron
  2. Retires el consentimiento y no exista otra base legal
  3. Te opongas al tratamiento y no prevalezcan intereses legítimos
  4. Los datos hayan sido tratados ilícitamente
  5. Deban suprimirse para cumplir una obligación legal

El famoso "derecho al olvido" en buscadores como Google se enmarca aquí: puedes pedir la desindexación de resultados que contengan información obsoleta, inexacta o irrelevante sobre ti.

4. Derecho a la limitación del tratamiento (Artículo 18)

En lugar de borrar tus datos, puedes solicitar que se "congelen" temporalmente. La empresa los conservará pero no podrá tratarlos, salvo para su almacenamiento. Es útil, por ejemplo, mientras se resuelve una impugnación sobre la exactitud de los datos o durante un procedimiento judicial.

5. Derecho a la portabilidad (Artículo 20)

Tienes derecho a recibir los datos que hayas facilitado en un formato estructurado, de uso común y lectura mecánica (por ejemplo, JSON, CSV o XML) y a transmitirlos a otro responsable sin que el primero pueda impedirlo.

Este derecho facilita cambiar de proveedor: puedes migrar tu historial de una plataforma de streaming, un banco o una red social a otra sin perder tu información.

6. Derecho de oposición (Artículo 21)

Puedes oponerte al tratamiento de tus datos por motivos relacionados con tu situación particular, especialmente cuando:

  • El tratamiento se base en un interés legítimo o misión de interés público
  • Los datos se usen para marketing directo (en este caso la oposición es absoluta y sin justificación)
  • Se utilicen con fines de investigación científica, histórica o estadística

7. Derecho a no ser objeto de decisiones automatizadas (Artículo 22)

No pueden tomarse decisiones sobre ti basadas únicamente en tratamientos automatizados —incluida la elaboración de perfiles— que produzcan efectos jurídicos o te afecten significativamente. Piensa en la concesión automática de un préstamo, una prima de seguro o un proceso de selección gestionado por IA.

Tienes derecho a obtener intervención humana, expresar tu punto de vista e impugnar la decisión.

8. Derecho a ser informado (Artículos 13 y 14)

Antes de que una empresa recoja tus datos, debe informarte de forma clara y accesible sobre quién los trata, para qué, con qué base legal, durante cuánto tiempo, a quién se ceden y cómo puedes ejercer tus derechos. Esta es la razón por la que ves banners de cookies y políticas de privacidad en cada web.

Cómo ejercer tus derechos: procedimiento paso a paso

Ejercer tus derechos RGPD es más sencillo de lo que parece. Sigue estos pasos:

  1. Identifica al responsable del tratamiento. Búscalo en la política de privacidad de la web o servicio. Debe aparecer nombre, dirección y datos de contacto del Delegado de Protección de Datos (DPD) si lo hubiera.
  2. Redacta una solicitud escrita. Indica claramente qué derecho ejerces, adjunta copia del DNI o documento equivalente y especifica un medio de contacto para recibir la respuesta.
  3. Envía la solicitud. Por correo electrónico, formulario web o correo postal certificado. La AEPD ofrece modelos gratuitos en su web.
  4. Espera la respuesta. La empresa tiene un mes para contestar (ampliable a dos en casos complejos, previa notificación).
  5. Si no responden o la respuesta es insatisfactoria, puedes reclamar ante la AEPD de forma gratuita a través de su sede electrónica.

Tabla resumen: derechos RGPD de un vistazo

DerechoQué te permiteArtículo RGPDPlazo respuesta
AccesoSaber qué datos tienen sobre tiArt. 151 mes
RectificaciónCorregir datos inexactosArt. 161 mes
SupresiónBorrar tus datos ("derecho al olvido")Art. 171 mes
LimitaciónCongelar temporalmente el tratamientoArt. 181 mes
PortabilidadTrasladar tus datos a otro proveedorArt. 201 mes
OposiciónRechazar el tratamientoArt. 211 mes
Decisiones automatizadasNo ser evaluado solo por algoritmosArt. 221 mes
InformaciónSer informado sobre el tratamientoArt. 13-14En el momento de la recogida

El papel de la AEPD y cómo reclamar

La Agencia Española de Protección de Datos es la autoridad independiente que vela por el cumplimiento del RGPD en España. Puedes acudir a ella cuando:

  • Una empresa no responda a tu solicitud de derechos en plazo
  • Consideres que la respuesta es incompleta o insatisfactoria
  • Detectes un tratamiento ilícito de tus datos
  • Sufras una brecha de seguridad que exponga tu información

La reclamación es gratuita y se puede presentar online en la sede electrónica de la AEPD (sedeagpd.gob.es). La agencia dispone de un canal prioritario para casos graves como la difusión de contenido sexual sin consentimiento.

Casos prácticos: cuándo ejercer cada derecho

Ejemplo 1: eliminar tu perfil de una red social

Cuando cierras una cuenta y quieres asegurarte de que borran todos tus datos —no solo desactivan el perfil—, ejerce el derecho de supresión. Si la plataforma alega conservación por obligación legal, debe justificar exactamente qué datos y por cuánto tiempo.

Ejemplo 2: aparecer en un fichero de morosos por error

Si te incluyen en ASNEF sin justificación, ejerce simultáneamente el derecho de acceso (para saber quién te ha incluido) y de rectificación o supresión (para que te eliminen). La AEPD ha impuesto sanciones importantes por inclusiones indebidas.

Ejemplo 3: recibir spam publicitario

Si recibes comunicaciones comerciales que no autorizaste, ejerce el derecho de oposición al marketing directo. La empresa debe cesar inmediatamente sin exigirte justificación alguna.

Ejemplo 4: portar tu historial médico

Si cambias de mutua o clínica, puedes solicitar la portabilidad de tu historial en formato electrónico para entregarlo a tu nuevo proveedor sanitario.

Protección adicional: cómo cuidar tus datos en el día a día

Además de conocer tus derechos legales, conviene adoptar prácticas de higiene digital que reduzcan tu exposición:

  • Revisa periódicamente los permisos que has otorgado a apps y servicios web.
  • Usa contraseñas únicas y activa la verificación en dos pasos siempre que sea posible.
  • Cuida los enlaces que compartes. Un enlace mal gestionado puede filtrar información sensible. Servicios como Lunyb permiten acortar URL con enfoque en privacidad, sin rastreo invasivo ni recolección masiva de datos, algo relevante si compartes enlaces en redes o campañas. Puedes leer más en nuestra comparativa Lunyb vs Bitly.
  • Configura DNS cifrado (DoH o DoT) en tu router y navegadores para evitar que tu proveedor de internet vea todas las webs que visitas.
  • Utiliza navegadores centrados en privacidad con protección antitracking activada por defecto.
  • Lee las políticas de cookies y rechaza las no esenciales cuando no sean imprescindibles.

Si gestionas una web o negocio, cuidar la privacidad también es una obligación: desde generar códigos QR sin rastreo para menús digitales hasta elegir bien tu plataforma de gestión de enlaces, cada decisión cuenta para el cumplimiento del RGPD.

Sanciones RGPD en España: casos destacados

La AEPD es una de las autoridades más activas de Europa. Algunos ejemplos ilustrativos:

  • Grandes tecnológicas: multas superiores a los 10 millones de euros por transferencias internacionales de datos sin garantías adecuadas.
  • Entidades bancarias: sanciones de varios millones por brechas de seguridad y falta de medidas técnicas.
  • Empresas de telecomunicaciones: multas por inclusión indebida en ficheros de morosidad y por contratación fraudulenta.
  • Pymes y autónomos: sanciones de entre 900 y 60.000 euros por videovigilancia sin cartel informativo, envío de emails sin consentimiento o falta de aviso legal.

Preguntas frecuentes sobre el RGPD en España

¿Cuánto tarda una empresa en responder a mi solicitud RGPD?

El plazo general es de un mes desde la recepción de la solicitud. Puede ampliarse dos meses más en casos complejos, pero la empresa debe notificártelo dentro del primer mes explicando los motivos.

¿Tengo que pagar por ejercer mis derechos RGPD?

No. El ejercicio de derechos es gratuito. Solo en casos manifiestamente infundados o excesivos (por ejemplo, solicitudes repetitivas) la empresa puede cobrar un canon razonable o negarse a actuar, siempre justificándolo.

¿Qué pasa si una empresa fuera de la UE trata mis datos?

El RGPD se aplica igualmente cuando una empresa extracomunitaria ofrece bienes o servicios a personas en la UE o monitoriza su comportamiento. Deben nombrar un representante en la Unión y cumplir con todas las obligaciones. Puedes reclamar ante la AEPD sin problema.

¿Puedo ejercer los derechos RGPD en nombre de un menor o familiar?

Sí. Los padres o tutores legales pueden ejercer los derechos de menores de 14 años. Para mayores de edad se requiere autorización expresa y copia del DNI de ambos. En casos de fallecimiento, los herederos pueden solicitar acceso o supresión.

¿Qué diferencia hay entre RGPD y LOPDGDD?

El RGPD es el reglamento europeo, de aplicación directa en todos los Estados miembros. La LOPDGDD (Ley Orgánica 3/2018) es la ley española que adapta y complementa el RGPD, regulando aspectos específicos como los derechos digitales, el consentimiento de menores (14 años en España) o el tratamiento de datos de fallecidos.

Conclusión

El RGPD te otorga un control real sobre tu información personal, pero solo funciona si conoces tus derechos y los ejerces activamente. Desde saber qué datos tienen sobre ti hasta pedir su eliminación o portarlos a otro proveedor, cada derecho es una herramienta poderosa frente al abuso empresarial de tus datos.

Si crees que una empresa está incumpliendo el reglamento, no dudes en reclamar ante la AEPD: es un procedimiento gratuito, accesible y con resultados reales. Y en tu día a día, combina el conocimiento legal con buenas prácticas de privacidad digital: solo así lograrás una protección efectiva de tu identidad online.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles