Volver

RGPD - Reglamento General de Protección de Datos

El RGPD (Reglamento UE 2016/679) es la norma europea que protege tus datos personales. Entró en vigor en mayo de 2018 y te da control sobre cómo las empresas usan tu información.

Qué es el RGPD

El RGPD (Reglamento General de Protección de Datos) es una norma europea de aplicación directa que entró en vigor el 25 de mayo de 2018. A diferencia de otras normas europeas que requieren transposición, el RGPD aplica directamente en todos los países de la UE. En España se complementa con la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), que desarrolla aspectos específicos.

Lo revolucionario del RGPD es que aplica a cualquier empresa que trate datos de personas europeas, esté donde esté. Una empresa americana que venda a europeos tiene que cumplir el RGPD. Una app china que recoja datos de usuarios españoles tiene que cumplir el RGPD. Esto cambió las reglas del juego a nivel mundial.

El objetivo fundamental es devolverte el control sobre tus datos personales. Antes del RGPD, las empresas hacían prácticamente lo que querían con tu información. Ahora tienen obligaciones claras, y tú tienes derechos que puedes ejercer. El RGPD también unificó la normativa en toda la UE, porque antes cada país tenía reglas diferentes, y responsabilizó directamente a las empresas del cumplimiento, con sanciones millonarias si incumplen.

Qué son datos personales

Un dato personal es cualquier información que te identifique o permita identificarte. La definición es deliberadamente amplia. No son solo tu nombre y DNI: cualquier dato que, solo o combinado con otros, permita saber quién eres es un dato personal protegido por el RGPD.

Los más obvios son los identificadores directos: nombre y apellidos, DNI o pasaporte, dirección postal, email, teléfono. Pero también son datos personales tu dirección IP, los datos de geolocalización de tu móvil, las cookies que te identifican cuando navegas, o tus datos biométricos como la huella dactilar o el reconocimiento facial. Si con esa información alguien puede saber que eres tú, es dato personal.

Datos especialmente protegidos

El RGPD establece categorías especiales de datos que merecen protección reforzada por su especial sensibilidad. Tratarlos requiere condiciones más estrictas, y en muchos casos solo puede hacerse con tu consentimiento explícito o por razones muy específicas.

Estas categorías especiales incluyen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos destinados a identificarte, los datos relativos a tu salud, y los datos relativos a tu vida sexual u orientación sexual. Una empresa no puede pedir ni tratar estos datos a la ligera.

Qué NO son datos personales

No todo es dato personal. Los datos de empresas (el NIF de una sociedad, por ejemplo) no están protegidos por el RGPD porque las empresas no son personas físicas. Los datos que han sido correctamente anonimizados —de forma que sea imposible identificar a la persona— tampoco. Los datos de personas fallecidas, en principio, tampoco se protegen por el RGPD, aunque la LOPDGDD española permite a familiares ejercer ciertos derechos. Y la información genérica que no permite identificar a nadie concreto (estadísticas agregadas, por ejemplo) queda fuera del ámbito de la norma.

Principios del RGPD

El RGPD se construye sobre siete principios fundamentales que las empresas deben respetar siempre que traten tus datos. Estos principios son la base de todo el sistema y te ayudan a entender qué puedes exigir.

El principio de licitud, lealtad y transparencia exige que el tratamiento sea legal, justo y transparente. La empresa debe informarte claramente de qué hace con tus datos, sin engaños ni ocultaciones. No vale esconder información en letra pequeña que nadie lee.

El principio de limitación de la finalidad significa que tus datos solo pueden usarse para los fines que te informaron al recogerlos. Si diste tu email para recibir una factura, no pueden usarlo para enviarte publicidad. Si quieren hacer algo diferente con tus datos, necesitan pedirte permiso de nuevo.

El principio de minimización de datos obliga a las empresas a pedir solo los datos estrictamente necesarios. Si una app de linterna te pide acceso a tus contactos, está violando este principio: no necesita esos datos para funcionar. Este principio se complementa con el concepto de "privacy by default": la configuración predeterminada debe ser la más protectora.

El principio de exactitud exige que los datos sean correctos y estén actualizados. Si tus datos son incorrectos, la empresa debe rectificarlos sin demora o suprimirlos si no puede corregirlos.

El principio de limitación del plazo de conservación prohíbe guardar tus datos indefinidamente. Una vez que ya no son necesarios para la finalidad que justificó su recogida, deben eliminarse. Las empresas tienen que establecer plazos proporcionales y respetarlos.

El principio de integridad y confidencialidad exige medidas de seguridad adecuadas para proteger tus datos contra accesos no autorizados, pérdidas o destrucción. Si hay una brecha de seguridad, es responsabilidad de la empresa.

Finalmente, el principio de responsabilidad proactiva significa que la empresa no solo tiene que cumplir, sino que tiene que poder demostrar que cumple. Deben documentar sus tratamientos y tener medidas técnicas y organizativas que acrediten el cumplimiento.

💡 Las multas ya no son testimoniales. Google: 10 millones de euros (2022). Vodafone: 3,94 millones por el SIM swapping que facilitaba fraudes (2022). Mercadona: 3,15 millones por usar reconocimiento facial sin base legal (2021). CaixaBank: 6 millones por no informar bien a los clientes. En 2023, la AEPD impuso casi 30 millones de euros en sanciones. Las grandes empresas ya saben que el RGPD tiene dientes. Y tú tienes derecho a denunciar si no lo cumplen.

🗣️ "A veces, por no leer las políticas de privacidad, vendemos nuestra alma al diablo."Pablo F. Burgueño, abogado especializado en ciberseguridad y privacidad

Bases legales del tratamiento

Para tratar tus datos legalmente, una empresa necesita una base legal que lo justifique. No puede hacerlo "porque sí". El RGPD establece seis bases legales posibles, y la empresa debe elegir una antes de empezar a tratar tus datos.

La base más conocida es el consentimiento. Para que sea válido, debe ser libre (sin presión ni condicionamiento), específico (para cada finalidad concreta), informado (que sepas para qué), e inequívoco (una acción clara tuya, no un silencio). No pueden condicionar un servicio a que consientas cosas que no son necesarias para ese servicio. Y tiene que ser tan fácil retirar el consentimiento como darlo. Si lo retiras, deben dejar de tratar tus datos para esa finalidad.

La ejecución de un contrato es otra base legal. Si contratas una compra online, la empresa necesita tus datos para enviarte el producto: eso es tratamiento necesario para ejecutar el contrato. También vale para medidas precontractuales que tú solicitas, como que te preparen un presupuesto.

La obligación legal permite el tratamiento cuando una norma lo exige. Por ejemplo, las empresas están obligadas a conservar facturas por motivos fiscales, y para eso necesitan tus datos. No es opcional para ellas.

El interés vital es una base muy excepcional, para situaciones donde está en juego la vida de la persona. Si te desmayas en la calle y el médico necesita acceder a tu historial para tratarte, puede hacerlo sin tu consentimiento.

El interés público o ejercicio de poder público aplica principalmente a administraciones públicas que realizan funciones de interés general. Hacienda, por ejemplo, trata tus datos fiscales por esta base.

El interés legítimo es la base más difusa. La empresa puede tratar datos si tiene un interés legítimo que no prevalezca sobre tus derechos. Requiere una ponderación: el interés de la empresa debe ser real, y no puede atropellar tu privacidad. Si la empresa invoca esta base, siempre tienes derecho a oponerte.

🛡️ Modo defensa: el "interés legítimo" no es carta blanca

La empresa te dice que trata tus datos por "interés legítimo". Suena definitivo, ¿no? Pues no lo es. Tú siempre puedes oponerte. Escríbeles: "Ejerzo mi derecho de oposición conforme al artículo 21 del RGPD. Cesen inmediatamente el tratamiento." Si el tratamiento es para marketing directo, la oposición es absoluta: tienen que parar sí o sí. No te dejes impresionar por la jerga legal.

Tus derechos ARCO+

El RGPD te reconoce un conjunto de derechos para controlar tus datos. Se conocen como derechos ARCO+ (Acceso, Rectificación, Cancelación/supresión, Oposición, más los añadidos por el RGPD). Puedes ejercerlos gratuitamente y la empresa debe responder en un mes. Si quieres profundizar en cada uno, tenemos un artículo específico sobre derechos ARCO.

El derecho de acceso te permite saber qué datos tienen de ti, para qué los usan, a quién se los han comunicado, cuánto tiempo los guardarán y de dónde los obtuvieron. Es el punto de partida para saber qué está pasando con tu información.

El derecho de rectificación te permite corregir datos inexactos o completar datos incompletos. Si la empresa tiene tu nombre mal escrito o tu dirección antigua, puedes exigir que lo corrijan sin dilación.

El derecho de supresión (también llamado derecho al olvido) te permite pedir que borren tus datos cuando ya no son necesarios, cuando retiras el consentimiento, cuando te opones y no hay motivo legítimo que prevalezca, cuando el tratamiento es ilícito, o cuando hay obligación legal de suprimirlos.

El derecho de oposición te permite negarte a que traten tus datos por motivos relacionados con tu situación personal. Para marketing directo, la oposición es absoluta: si dices que no quieres publicidad, tienen que parar inmediatamente.

El derecho a la limitación te permite "congelar" el tratamiento en ciertas situaciones: mientras se verifica la exactitud de datos que impugnas, si prefieres limitación a supresión en caso de tratamiento ilícito, si los necesitas para reclamaciones aunque la empresa ya no los necesite, o mientras se resuelve tu oposición.

El derecho a la portabilidad te permite recibir tus datos en un formato estructurado y legible por máquina, y transmitirlos a otro responsable. Es útil para cambiar de proveedor sin perder tu historial.

El derecho a no ser objeto de decisiones automatizadas te protege cuando un algoritmo toma decisiones que te afectan significativamente (denegarte un crédito, por ejemplo). Tienes derecho a exigir intervención humana, expresar tu punto de vista e impugnar la decisión.

Cómo ejercer tus derechos

Ejercer tus derechos ARCO+ es más sencillo de lo que parece. No necesitas abogado ni conocimientos especiales. Basta con seguir estos pasos:

  1. Identifica al responsable: Busca en la política de privacidad de la empresa quién es el responsable del tratamiento y, si lo hay, los datos del Delegado de Protección de Datos (DPO). Esta información debe estar accesible.

  2. Presenta tu solicitud por escrito: Puedes enviar un email, usar el formulario de la empresa si lo tiene, o enviar una carta. Identifícate claramente (incluye copia de DNI si te lo piden) y especifica qué derecho ejerces y qué pides exactamente.

  3. Espera respuesta: La empresa tiene un mes para contestarte, prorrogable a tres meses en casos complejos (deben avisarte de la prórroga). El ejercicio es gratuito, y la empresa tiene obligación de facilitarte el proceso, no de ponerte trabas.

Modelo de solicitud

Asunto: Ejercicio de derecho de [acceso/rectificación/supresión/etc.]

A la atención del Delegado de Protección de Datos de [empresa].

Yo, [nombre], con DNI [número], ejercito mi derecho de [tipo]
según el RGPD y la LOPDGDD.

Solicito:
- [Detalla lo que pides]

Adjunto copia de mi DNI para verificar mi identidad.

Espero respuesta en el plazo legal de un mes.

Fecha y firma

Si no responden

Si la empresa no te contesta en el plazo legal o te da una respuesta insatisfactoria, puedes reclamar ante la AEPD. El proceso es gratuito: accedes a la sede electrónica de la AEPD, presentas tu reclamación explicando lo que pediste y lo que (no) te respondieron, y la AEPD investiga. Si determina que la empresa incumplió, puede sancionarla.

Obligaciones de las empresas

El RGPD no solo te da derechos a ti: impone obligaciones serias a las empresas. Conocerlas te ayuda a saber qué puedes exigir.

La obligación de informar es fundamental. Cuando una empresa recoge tus datos, debe decirte claramente quién es el responsable del tratamiento, los datos de contacto del DPO si lo tiene, para qué va a usar tus datos, cuál es la base legal, a quién los comunicará, si habrá transferencias internacionales, cuánto tiempo los conservará, qué derechos tienes y cómo reclamar ante la AEPD. Toda esta información debe ser accesible y comprensible, no enterrada en políticas de privacidad de 50 páginas.

Las empresas de más de 250 empleados (o las que realizan tratamientos de riesgo) deben mantener un registro de actividades de tratamiento: un documento interno que detalla todos los tratamientos que realizan.

El Delegado de Protección de Datos (DPO) es una figura obligatoria para autoridades públicas, empresas que realizan tratamientos a gran escala, y las que manejan categorías especiales de datos. El DPO es el interlocutor de los ciudadanos para cuestiones de protección de datos.

Antes de iniciar tratamientos de alto riesgo, las empresas deben realizar una evaluación de impacto que analice los riesgos para los derechos de las personas y las medidas para mitigarlos. En algunos casos, deben consultar previamente a la AEPD.

En caso de brecha de seguridad, la empresa debe notificarlo a la AEPD en 72 horas si hay riesgo para los derechos de las personas afectadas. Si el riesgo es alto, también debe informarte directamente a ti. Puedes leer más sobre esto en nuestro artículo sobre brechas de seguridad.

Transferencias internacionales

¿Qué pasa cuando tus datos salen de Europa? El RGPD regula las transferencias internacionales para que no pierdas protección cuando tus datos cruzan fronteras.

Dentro de la UE y el Espacio Económico Europeo hay libre circulación de datos. Todos los países aplican el RGPD, así que tus datos tienen el mismo nivel de protección en España que en Francia o en Alemania.

Las transferencias fuera de la UE son más delicadas. Solo están permitidas si el país de destino tiene una "decisión de adecuación" de la Comisión Europea (que certifica que su nivel de protección es equivalente), si se adoptan garantías adecuadas como las cláusulas contractuales tipo, o en excepciones específicas como tu consentimiento explícito.

Actualmente tienen decisión de adecuación países como Reino Unido, Suiza, Israel, Japón, Corea del Sur, Argentina, Uruguay y, desde 2023, Estados Unidos (mediante el Data Privacy Framework, tras años de incertidumbre). Si una empresa transfiere tus datos a un país sin adecuación y sin garantías, está incumpliendo el RGPD.

Sanciones por incumplimiento

Una de las cosas que hizo del RGPD una revolución fue el régimen sancionador. Las multas pueden ser tan astronómicas que incluso las grandes empresas se lo piensan dos veces antes de incumplir.

Para infracciones leves, las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturación anual global de la empresa, lo que sea mayor. Para infracciones graves —como vulnerar los principios básicos del tratamiento o ignorar los derechos de los interesados— las sanciones pueden llegar a los 20 millones de euros o el 4% de la facturación global.

Esto significa que para una empresa que factura 1.000 millones de euros anuales, una infracción grave puede costarle 40 millones. No son sanciones teóricas: se aplican. En España, la AEPD ha impuesto multas millonarias a empresas conocidas:

  • Vodafone: 8 millones de euros por llamadas comerciales no consentidas
  • BBVA: 5 millones por una política de cookies abusiva
  • Caixabank: 6 millones por tratar datos sin consentimiento válido

Estas sanciones demuestran que el RGPD tiene dientes y que ejercer tus derechos puede tener consecuencias reales para las empresas que los vulneran.

🧠 Hack de la AEPD: tu denuncia puede costarles millones

La AEPD es gratuita, no necesitas abogado, y tramitan todas las denuncias. Si una empresa no te responde en 1 mes cuando ejerces tus derechos, tienes caso. Si te envían publicidad sin consentimiento, tienes caso. La AEPD ha puesto multas de 6 millones a bancos y 8 millones a telecos. Tu denuncia puede ser la que abra la investigación. Documenta todo y denuncia.

Casos prácticos

La teoría está bien, pero ¿cómo se aplica esto en el día a día? Veamos algunos casos típicos.

Me piden más datos de los necesarios

Ejemplo: Una app de linterna pide acceso a tus contactos.

Esto viola flagrantemente el principio de minimización. Una linterna no necesita saber con quién te relacionas para encender el flash del móvil. No des el consentimiento a permisos que no tengan sentido. Busca alternativas (hay miles de apps de linterna) y, si el abuso es grave, denuncia a la AEPD.

No me dejan ejercer mis derechos

Ejemplo: Pides que borren tus datos y la empresa no responde.

Guarda prueba de que enviaste la solicitud (email con acuse de recibo, captura de pantalla). Espera el mes de plazo legal. Si no responden o la respuesta es insatisfactoria, reclama directamente a la AEPD. La empresa puede enfrentarse a una sanción.

Recibo publicidad sin consentir

Ejemplo: Te llegan emails comerciales de una empresa a la que nunca diste tu email.

Ejercita tu derecho de oposición: escríbeles diciendo que no quieres más publicidad. Solicita también la supresión de tus datos. Si persisten, denuncia a la AEPD. Para protegerte de forma proactiva, inscríbete en la Lista Robinson.

Filtración de datos de una empresa

Ejemplo: Una brecha de seguridad expone tus datos personales.

Si el riesgo es alto, la empresa debe notificarte directamente. Cuando te enteres de una filtración que te afecta, cambia las contraseñas de los servicios afectados (y de otros donde usaras la misma contraseña), vigila movimientos bancarios si había datos financieros, y considera la posibilidad de reclamar daños si la negligencia de la empresa te ha perjudicado.

RGPD vs LOPDGDD

En España conviven dos normas de protección de datos que a veces generan confusión. El RGPD es el reglamento europeo, de aplicación directa en todos los países de la UE desde 2018. Establece el marco general de protección de datos, los principios básicos, los derechos de los ciudadanos y el régimen sancionador.

La LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales) es la norma española que complementa y desarrolla el RGPD en aspectos que el reglamento europeo deja a la legislación nacional. No contradice al RGPD, sino que lo concreta.

La LOPDGDD añade algunas particularidades españolas interesantes. Permite que los familiares accedan a datos de personas fallecidas, fija en 14 años la edad mínima para consentir el tratamiento de datos (el RGPD permite entre 13 y 16 años), regula sistemas de exclusión publicitaria como la Lista Robinson, desarrolla la normativa sobre videovigilancia, y regula los canales de denuncia interna en empresas. También añade un título sobre "derechos digitales" que no tiene equivalente directo en el RGPD.

Consejos prácticos

El RGPD te protege, pero la mejor protección empieza por ti mismo. Algunos consejos para proteger tus datos en el día a día:

  • Lee las políticas de privacidad, al menos por encima. Sé que son largas y aburridas, pero ahí está lo que van a hacer con tus datos.
  • No des datos innecesarios. Si un formulario pide tu teléfono y no es imprescindible, déjalo en blanco.
  • Revisa los permisos de las apps. ¿De verdad necesita esa app acceder a tu ubicación, cámara y contactos?
  • Usa contraseñas seguras y diferentes para cada servicio. Si filtran una, no comprometen todo.
  • Ejerce tus derechos cuando algo no te cuadre. El RGPD te da herramientas: úsalas.

Si tienes problemas con una empresa, sigue este orden: primero reclama directamente a la empresa por escrito, dándoles oportunidad de resolverlo. Documenta todo (guarda emails, capturas). Si no resuelven en el plazo legal, reclama a la AEPD. Es completamente gratuito.

Conclusión

El RGPD cambió las reglas del juego. Antes del 2018, las empresas hacían prácticamente lo que querían con tus datos. Ahora tú tienes el control: derecho a saber qué datos tienen, derecho a corregirlos, derecho a borrarlos, derecho a oponerte a cómo los usan.

Las empresas están obligadas a proteger tus datos con medidas de seguridad adecuadas, a informarte de forma clara y transparente, y a responder cuando ejerces tus derechos. Si incumplen, se enfrentan a sanciones que pueden llegar a millones de euros.

Conoce tus derechos y ejércelos. No hace falta ser experto ni abogado. Una simple solicitud por email puede bastar. Y si la empresa no responde, la AEPD está ahí para ayudarte. La protección de datos es un derecho fundamental reconocido en la Constitución y en la Carta de Derechos Fundamentales de la UE. No dejes que nadie te lo niegue.

Para saber más

Claimeet recomienda

Dedica 10 minutos a revisar los permisos de las apps de tu móvil (Ajustes > Privacidad). Revoca el acceso a ubicación, cámara, micrófono y contactos de todas las apps que no lo necesiten para funcionar. Una app de linterna no necesita saber dónde estás ni acceder a tus fotos.

Eduardo Lázaro

Sobre el autor

Eduardo Lázaro

Ingeniero de software y entusiasta del análisis de procesos legales y de consumo. Con una trayectoria vinculada a la arquitectura de información desde 2003, Eduardo aplica la lógica para desglosar normativas complejas en guías accesibles. Ha colaborado con varias organizaciones en la defensa de los derechos de los usuarios y la transparencia digital.

Ver perfil | edulazaro.com
Anterior
Material escolar
Siguiente
Derechos ARCO

Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar el uso de la web, personalizar contenido y mostrarte publicidad relevante. Puedes aceptar todas las cookies o configurar tus preferencias. Más información

Preferencias de Cookies

Cookies Esenciales

Siempre activas

Necesarias para el funcionamiento básico del sitio. Incluyen cookies de sesión, autenticación y seguridad. No se pueden desactivar.

Cookies de Análisis

Nos ayudan a entender cómo interactúas con la web, qué páginas visitas y detectar posibles problemas técnicos. Usamos esta información para mejorar nuestros servicios.

Cookies de Marketing

Permiten mostrarte anuncios relevantes basados en tus intereses. También se utilizan para limitar el número de veces que ves un anuncio y medir la efectividad de las campañas.

Cookies Funcionales

Permiten funcionalidades mejoradas como recordar tus preferencias, idioma o región. Sin estas cookies, algunos servicios pueden no funcionar correctamente.

Ver Política de Cookies completa