El RGPD (Reglamento General de Protección de Datos, UE 2016/679) reconoce a cualquier persona física una serie de derechos sobre sus datos personales. Estos derechos son ejercitables ante el responsable del tratamiento (el que decide para qué se usan los datos).
Los derechos que reconoce el RGPD
Acceso (art. 15)
Saber si se están tratando datos personales del solicitante y, si es así, qué datos, con qué finalidad, durante cuánto tiempo, a quién se comunican, y de dónde se obtuvieron. La respuesta debe ser una copia de los datos en formato legible.
Rectificación (art. 16)
Corregir datos inexactos o completar datos incompletos. Por ejemplo, actualizar un email cambiado o corregir un nombre mal escrito.
Supresión (art. 17)
También conocido como derecho al olvido. El responsable debe borrar los datos cuando:
- Ya no son necesarios para la finalidad para la que se recogieron.
- Se retira el consentimiento (si esa era la base legal).
- Hubo tratamiento ilícito.
- Lo exige una obligación legal.
Hay excepciones: si los datos son necesarios para cumplir una obligación legal (facturación, contabilidad), no se pueden borrar hasta que prescriba esa obligación.
Limitación del tratamiento (art. 18)
Bloquear temporalmente el tratamiento mientras se verifica algo (exactitud, oposición). Los datos siguen guardados pero no se usan.
Portabilidad (art. 20)
Recibir los datos en formato estructurado (CSV, JSON, XML…) para poder llevárselos a otro proveedor. Aplica solo a datos tratados por consentimiento o contrato, no a los tratados por interés legítimo.
Oposición (art. 21)
Oponerse al tratamiento por motivos relacionados con la situación particular del solicitante, especialmente cuando la base es interés legítimo o ejercicio de poderes públicos. En marketing directo, basta con oponerse — no hace falta justificación.
No ser objeto de decisiones automatizadas (art. 22)
No estar sujeto a decisiones basadas únicamente en tratamiento automatizado (incluyendo profiling) que produzcan efectos jurídicos significativos. La persona puede pedir intervención humana.
Cómo ejercer un derecho
Los pasos genéricos para ejercer cualquier derecho RGPD ante un responsable son:
- Identificarse. El responsable debe poder verificar que el solicitante es titular de los datos.
- Indicar el derecho que se ejerce y, si aplica, el dato concreto.
- Justificarlo si aplica (en oposición, derecho a la limitación).
- Esperar respuesta en el plazo legal de un mes (ampliable a dos en casos complejos, con notificación previa).
El responsable puede pedir documentación adicional para verificar la identidad si tiene dudas razonables.
Si la respuesta no es satisfactoria
- Reclamación al Delegado de Protección de Datos (DPO) del responsable, si lo hay.
- Reclamación a la autoridad de control del país:
- España: AEPD (aepd.es). - Portugal: CNPD (cnpd.pt). - Otros países UE: cada uno tiene la suya.
Las autoridades son gratuitas y resuelven la mayoría de reclamaciones sin necesidad de ir a tribunales.
Plazos típicos
- Respuesta del responsable: 1 mes (ampliable a 2).
- Plazo de la autoridad de control para resolver: variable, suele ir de 3 a 12 meses.
- Multas posibles: hasta 20 millones € o 4% de la facturación global anual, según gravedad.