GDPR y protección de datos: derechos y obligaciones 2026

El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) lleva en vigor desde mayo de 2018, pero en 2026 sigue siendo uno de los marcos normativos más importantes e incomprendidos del entorno digital europeo. Muchos usuarios no saben qué derechos les otorga. Muchas empresas no cumplen correctamente con sus obligaciones. Y las sanciones siguen siendo muy significativas: la AEPD (Agencia Española de Protección de Datos) y sus homólogas europeas han impuesto multas de decenas y cientos de millones de euros a empresas de todos los tamaños.

Esta guía explica de forma práctica qué es el GDPR, qué derechos tienes como ciudadano y qué deben hacer las empresas para cumplir con él.

Qué protege el GDPR: el concepto de dato personal

El GDPR protege los datos personales, definidos como cualquier información que permita identificar directa o indirectamente a una persona física. Esto incluye lo obvio (nombre, DNI, email, teléfono, dirección) pero también lo menos obvio:

Datos de comportamiento online: historial de navegación, cookies, datos de uso de apps.
Datos de localización: coordenadas GPS, dirección IP (que puede revelar ubicación aproximada).
Datos biométricos: huella dactilar, reconocimiento facial, voz.
Datos de salud: diagnósticos, medicamentos, datos de wearables.
Identificadores técnicos: dirección IP, identificadores de dispositivo, identificadores de cookies.

La categoría de "datos especialmente protegidos" (salud, origen étnico, orientación sexual, opiniones políticas, datos biométricos) tiene un nivel de protección más alto y su tratamiento requiere base legal más sólida.

Tus derechos como ciudadano bajo el GDPR

Derecho de acceso. Puedes solicitar a cualquier empresa o entidad que trate tus datos personales que te informe de qué datos tiene sobre ti, con qué finalidad, durante cuánto tiempo los conserva y con quién los comparte. La respuesta debe llegar en un máximo de un mes.

Derecho de rectificación. Si los datos que tiene una empresa sobre ti son inexactos o incompletos, puedes exigir que los corrijan.

Derecho de supresión (derecho al olvido). Puedes solicitar que se eliminen tus datos cuando ya no son necesarios para la finalidad para la que se recogieron, cuando retiras tu consentimiento o cuando los datos han sido tratados de forma ilícita. No es un derecho absoluto: hay casos donde el tratamiento está justificado por otras bases legales (cumplimiento de obligaciones legales, interés público, etc.).

Derecho a la limitación del tratamiento. Puedes solicitar que se limite el uso de tus datos mientras se resuelve una disputa sobre su exactitud o la licitud del tratamiento.

Derecho a la portabilidad. Para los datos que has proporcionado tú mismo y que se tratan de forma automatizada con base en tu consentimiento o en la ejecución de un contrato, puedes solicitar recibirlos en un formato estructurado y legible por máquina para transferirlos a otro proveedor.

Derecho de oposición. Puedes oponerte al tratamiento de tus datos para fines de marketing directo (en cuyo caso la empresa debe cesar inmediatamente) o para otros fines cuando la base legal es el interés legítimo.

Para entender cómo los atacantes pueden aprovechar la información personal disponible en fuentes públicas antes de que ejerzas tus derechos GDPR para eliminarla, el artículo sobre OSINT: qué es y herramientas esenciales ofrece una perspectiva complementaria muy valiosa.

Cómo ejercer tus derechos: el proceso práctico

Para ejercer cualquiera de estos derechos, debes enviar una solicitud escrita (por email o por correo postal) al responsable del tratamiento (la empresa). La solicitud debe identificarte claramente (para que puedan verificar que eres el titular de los datos) y especificar el derecho que quieres ejercer.

La empresa tiene un mes para responder (prorrogable a tres meses en casos complejos, con comunicación). Si no responde o la respuesta no es satisfactoria, puedes presentar una reclamación ante la AEPD en España (aepd.es) o ante la autoridad de protección de datos del país europeo que corresponda.

Las obligaciones de las empresas bajo el GDPR

Las empresas que tratan datos personales (prácticamente cualquier empresa con clientes o empleados en la UE) tienen obligaciones específicas:

Base legal para el tratamiento. Todo tratamiento de datos personales requiere una base legal: consentimiento explícito del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, misión de interés público o interés legítimo del responsable.

Transparencia e información. Las empresas deben informar a los usuarios qué datos recogen, para qué, cuánto tiempo los conservan y con quién los comparten. Esta información debe estar disponible de forma clara y accesible (política de privacidad).

Minimización de datos. Solo se pueden recoger los datos estrictamente necesarios para la finalidad declarada. Si para abonarte a una newsletter solo necesitas el email, pedir también el teléfono y la fecha de nacimiento puede ser contrario al principio de minimización.

Seguridad de los datos. Las empresas deben implementar medidas técnicas y organizativas apropiadas para proteger los datos personales que tratan. Un incidente de seguridad que exponga datos personales debe notificarse a la autoridad de protección de datos en un máximo de 72 horas.

Notificación de brechas. Si una empresa sufre una brecha de seguridad que afecta a datos personales, debe notificarlo a la AEPD en 72 horas y, si hay riesgo alto para los afectados, también a los propios afectados.

Documentos GDPR regulación protección datos personales normativa cumplimiento empresa — GDPR protección datos normativa

Multas y sanciones: los casos más relevantes

El GDPR tiene dientes: las multas pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual de la empresa, lo que sea mayor. Algunos casos emblemáticos:

Meta: múltiples multas de la DPC irlandesa por transferencias de datos a EE.UU. sin garantías adecuadas, incluyendo una de 1.200 millones de euros en 2023.
Amazon: 746 millones de euros en 2021 por publicidad basada en datos personales sin base legal adecuada.
Google España: 10 millones de euros en 2022 por no atender correctamente las solicitudes de derechos de los usuarios.

En España, la AEPD ha impuesto sanciones a empresas de telecomunicaciones, bancos, hospitales y webs de todo tipo por incumplimientos que van desde cookies no consensuadas hasta brechas de seguridad.

Conclusión

El GDPR no es solo una carga regulatoria para las empresas: es un conjunto de derechos reales que puedes ejercer para tener más control sobre tu información personal. Saber qué derechos tienes, cómo ejercerlos y qué pueden exigirte las empresas es una forma concreta de recuperar algo de poder en el ecosistema digital donde tus datos son un activo muy valioso para otros.

GDPR y protección de datos en 2026: tus derechos y las obligaciones de las empresas

Qué protege el GDPR: el concepto de dato personal

Tus derechos como ciudadano bajo el GDPR

Cómo ejercer tus derechos: el proceso práctico

Las obligaciones de las empresas bajo el GDPR

Multas y sanciones: los casos más relevantes

Conclusión

Tendencias de ciberseguridad en 2026: panorama actual y retos del sector

Se ha descubierto que los navegadores móviles más populares son vulnerables a los ataques de suplantación de la barra de direcciones

Cómo proteger tu red WiFi doméstica en 2026: guía paso a paso

Cómo garantizar la confianza en ciberseguridad digital | Claves para empresas y usuarios

Hacktivismo y seguridad ética mejoran plataformas digitales

Vulnerabilidades de software: cómo funcionan los CVE y por qué debes parchear

Deja una respuesta Cancelar la respuesta

Qué protege el GDPR: el concepto de dato personal

Tus derechos como ciudadano bajo el GDPR

Cómo ejercer tus derechos: el proceso práctico

Las obligaciones de las empresas bajo el GDPR

Multas y sanciones: los casos más relevantes

Conclusión

Publicaciones Similares

Deja una respuesta Cancelar la respuesta