El RGPD (Reglamento General de Protección de Datos) te otorga un arsenal de derechos sobre tus datos personales que la mayoría de europeos ni siquiera conoce. Desde mayo de 2018, cuando entró en vigor el Reglamento (UE) 2016/679, cualquier ciudadano europeo puede exigir a empresas —da igual si están en Barcelona o en Silicon Valley— que le digan qué datos tienen, que los borren o que dejen de usarlos. La protección de datos en Europa es, sobre el papel, la más avanzada del planeta. Pero un derecho que no ejerces es un derecho que no existe. Así que vamos a repasar qué puedes hacer exactamente, cómo hacerlo y qué pasa cuando una empresa se hace la sueca. Si alguna vez te has preguntado qué cubre el GDPR en español, este artículo es tu guía práctica.
Los derechos ARCO-POL: tu kit completo frente a cualquier empresa
La normativa española (LOPDGDD, Ley Orgánica 3/2018) complementa el RGPD y reconoce lo que coloquialmente se conoce como derechos ARCO-POL: Acceso, Rectificación, Cancelación (ahora Supresión), Oposición, Portabilidad, Olvido y Limitación. Suena a sopa de letras, pero cada uno resuelve un problema concreto.
| Derecho | Qué puedes hacer | Plazo de respuesta |
|---|---|---|
| Acceso | Pedir una copia de todos los datos que tienen sobre ti | 1 mes |
| Rectificación | Corregir datos inexactos o incompletos | 1 mes |
| Supresión | Exigir que borren tus datos (el "derecho al olvido") | 1 mes |
| Oposición | Que dejen de tratar tus datos para un fin concreto | 1 mes |
| Portabilidad | Recibir tus datos en formato legible para llevártelos a otro servicio | 1 mes |
| Limitación | Que congelen el tratamiento mientras resuelves una disputa | 1 mes |
Ese mes de plazo es máximo. Si la empresa necesita más tiempo por complejidad, puede ampliarlo a dos meses, pero tiene que notificártelo antes de que termine el primero. Si no responden, tienes vía directa a la Agencia Española de Protección de Datos (AEPD).
Cómo ejercer tus derechos paso a paso
No necesitas abogado. No necesitas formularios especiales. Un email basta. Pero hay una forma de hacerlo que funciona mejor que otra.
- Identifica al responsable del tratamiento. Busca en la política de privacidad del servicio quién es el responsable y cuál es el email del DPO (Delegado de Protección de Datos). Todas las empresas de cierto tamaño están obligadas a tener uno.
- Escribe un email claro. Indica tu nombre completo, qué derecho ejerces (cita el artículo del RGPD: acceso es el art. 15, supresión el art. 17, portabilidad el art. 20) y adjunta copia de tu DNI o pasaporte.
- Guarda el acuse de recibo. Si mandas el email con confirmación de lectura, mejor. Si usan formulario web, haz captura de pantalla.
- Espera el plazo. Un mes natural. Si no responden o la respuesta es insatisfactoria, reclama ante la AEPD a través de su Sede Electrónica.
Las multas del RGPD no son testimoniales. El reglamento permite sanciones de hasta 20 millones de euros o el 4% de la facturación global anual (lo que sea mayor). La autoridad luxemburguesa impuso a Amazon una multa de 746 millones de euros en 2021 —aunque la compañía recurrió la sanción—. Meta acumuló sanciones por valor de más de 1.300 millones de euros entre 2022 y 2023 de la autoridad irlandesa (DPC). Cifras que mueven la aguja incluso en las cuentas de las Big Tech.
Por cierto, si te preocupa quién tiene tus datos y no sabes ni por dónde empezar, los data brokers que venden tus datos personales sin que lo sepas son un buen punto de partida para entender la magnitud del problema.
Derecho al olvido: borrar tu huella digital
El derecho de supresión (art. 17 del RGPD) es probablemente el más mediático. Google recibió, solo en España, decenas de miles de solicitudes de desindexación desde 2014, cuando el Tribunal de Justicia de la UE resolvió el caso Google Spain SL vs. Mario Costeja González. Esa sentencia fue el embrión del derecho al olvido tal como lo conocemos.
Pero tiene límites. No puedes borrar información que sea de interés público, que responda a obligaciones legales o que sea necesaria para ejercer la libertad de expresión. Un político no puede borrar noticias sobre su gestión. Un particular sí puede exigir que desaparezca esa foto vergonzosa de un foro de 2008.
Para solicitar la eliminación de resultados en Google, existe un formulario específico que Google pone a disposición. Rellenas el formulario, justificas la petición y esperas. Google evalúa caso por caso equilibrando tu derecho a la protección de datos con el derecho a la información. Si te deniegan la solicitud, recurres a la AEPD.
RGPD en la práctica: dónde falla el sistema
La teoría es impecable. La práctica, menos. Muchas empresas pequeñas y medianas ni siquiera saben que tienen obligaciones bajo el RGPD. El típico gimnasio de barrio que guarda tu DNI, tu número de cuenta y tu historial médico en una hoja de Excel sin contraseña está técnicamente infringiendo la normativa.
Otro punto débil: las transferencias internacionales de datos. Cuando usas servicios estadounidenses, tus datos cruzan el Atlántico. El Privacy Shield fue invalidado en 2020 (sentencia Schrems II). Su sucesor, el EU-US Data Privacy Framework adoptado en julio de 2023, permite de nuevo las transferencias a empresas certificadas en EE.UU., pero su estabilidad legal sigue en cuestión. Max Schrems y su organización NOYB ya han expresado dudas sobre su viabilidad a largo plazo.
Y luego está el consentimiento. Esos banners de cookies que aceptas sin leer son, en muchos casos, ilegales. El RGPD exige que rechazar cookies sea igual de fácil que aceptarlas. La CNIL francesa multó a Google y Facebook con 150 y 60 millones de euros respectivamente en 2022 precisamente por eso. Si te molesta la cantidad de emails sospechosos que recibes después de aceptar cookies a lo loco, quizá te interese saber cómo detectar facturas falsas por email antes de caer en el fraude.
Herramientas para tomar el control de tus datos
Ejercer tus derechos de datos personales está bien, pero prevenir es mejor. Estas herramientas te ayudan a minimizar tu exposición:
- Have I Been Pwned (haveibeenpwned.com): comprueba si tu email aparece en filtraciones de datos conocidas. Creado por Troy Hunt, indexa miles de millones de registros.
- SimpleLogin o AnonAddy: generan alias de email para que no tengas que dar tu dirección real a cada servicio. Si uno se filtra, eliminas el alias y listo.
- JustDeleteMe (justdeleteme.xyz): directorio con enlaces directos para borrar tu cuenta de cientos de servicios, clasificados por dificultad.
- Exodus Privacy: analiza las apps de Android y te dice qué rastreadores incluyen.
- Mine (saymine.com): escanea tu bandeja de entrada y te muestra a qué empresas has dado tus datos, con opción de solicitar el borrado directamente.
Si además tienes dispositivos IoT en casa que envían datos a servidores de medio mundo, plantéate segmentar tu red doméstica con una VLAN o instalar un Pi-hole que bloquee las peticiones de telemetría. No elimina el problema, pero reduce drásticamente la superficie de exposición.
RGPD vs. otras normativas: no estás solo (pero casi)
Europa fue pionera, pero otros territorios han seguido el camino. California tiene la CCPA (California Consumer Privacy Act), Brasil el LGPD y Reino Unido mantiene su propia versión post-Brexit del GDPR. La diferencia principal: el RGPD aplica por defecto a todos los ciudadanos de la UE, sin importar dónde esté la empresa que trata los datos. La CCPA, en cambio, solo aplica a empresas que superan ciertos umbrales de facturación o volumen de datos.
Esto significa que si una app india recopila datos de usuarios españoles, está obligada a cumplir el RGPD. Otra cosa es que la AEPD pueda ejecutar una sanción contra una empresa sin presencia en la UE, pero el mecanismo legal existe y se ha usado.
Preguntas frecuentes
¿Puedo pedir a una empresa que borre todos mis datos aunque sea cliente activo?
Depende. Si la empresa necesita tus datos para cumplir un contrato vigente o una obligación legal (como conservar facturas durante el plazo fiscal), puede negarse parcialmente. Pero debe borrar todo lo que no sea estrictamente necesario para esos fines.
¿El RGPD protege también a menores de edad?
Sí, y con especial énfasis. El artículo 8 establece que el tratamiento de datos de menores de 16 años requiere el consentimiento del titular de la patria potestad. España, a través de la LOPDGDD, rebajó ese umbral a 14 años. Por debajo de esa edad, los padres o tutores deben autorizar el tratamiento.
¿Qué hago si una empresa ignora mi solicitud de acceso a datos?
Espera el mes de plazo legal. Si no hay respuesta, presenta una reclamación ante la AEPD a través de su Sede Electrónica (sedeagpd.gob.es). El procedimiento es gratuito y no necesitas abogado. La AEPD investiga y, si procede, sanciona.
¿El RGPD aplica a datos de personas fallecidas?
El reglamento europeo no los cubre explícitamente, pero la LOPDGDD española sí. El artículo 3 reconoce el derecho de herederos y personas vinculadas al fallecido a solicitar el acceso, rectificación o supresión de sus datos, salvo que el difunto lo hubiera prohibido expresamente.
El siguiente paso
Haz una cosa ahora mismo: entra en Have I Been Pwned, introduce tu email principal y comprueba en cuántas filtraciones aparece. Si el resultado te incomoda (y probablemente lo hará), usa esa lista como punto de partida para ejercer tu derecho de supresión con cada servicio afectado. No tienes que hacerlo todo hoy. Empieza por los tres servicios que menos uses y envíales un email citando el artículo 17 del RGPD. Es gratis, tarda cinco minutos por email y es legalmente vinculante. Tus datos son tuyos. Recupéralos.
