Guía completa sobre el derecho al olvido, la oposición al tratamiento, los data brokers en España y cómo hacer valer tus derechos.
El Reglamento General de Protección de Datos (RGPD, o GDPR en inglés) es la norma de privacidad más exigente del mundo. Entró en vigor el 25 de mayo de 2018 y se aplica en todos los países de la Unión Europea.
El RGPD te protege si eres persona física residente en la UE, independientemente de tu nacionalidad. También se aplica a empresas de fuera de la UE que traten datos de residentes europeos.
El RGPD reconoce que tus datos personales —nombre, email, DNI, teléfono, historial de navegación, hábitos de compra, localización, datos de salud— son parte de tu identidad y tienes derechos sobre ellos.
Tienes derecho a saber si una empresa o entidad está tratando datos tuyos. Si es así, tienen que decirte exactamente qué datos tienen, para qué los usan, con quién los comparten y durante cuánto tiempo los guardan.
La empresa tiene 30 días para responder (prorrogable a 60 días en casos complejos)
La primera copia de tus datos es gratuita
Aplica a cualquier empresa que tenga datos tuyos, aunque nunca hayas sido cliente
Si una empresa tiene datos incorrectos sobre ti (nombre mal escrito, dirección antigua, errores en tu historial), puedes exigir que los corrijan sin demora.
Debes indicar qué dato es incorrecto y cuál es el correcto
Puedes completar datos incompletos aportando una declaración complementaria
Plazo de respuesta: 30 días
Puedes exigir que una empresa elimine todos tus datos personales. Es el derecho más poderoso del RGPD y el núcleo de lo que hace BorraMisDatos.
Puedes ejercerlo cuando:
Los datos ya no son necesarios para el fin para el que se recogieron
Retiras el consentimiento en el que se basaba el tratamiento
Te opones al tratamiento y no hay interés legítimo prevalente
Los datos se han tratado ilícitamente
Existe una obligación legal de supresión
Si la empresa ha compartido tus datos con terceros, debe notificarles la solicitud de supresión (Art. 17.2 RGPD). Esto incluye a Google, que está obligado a eliminar los resultados de búsqueda que aparezcan con tu nombre si así lo solicitas.
Puedes solicitar que la empresa mantenga tus datos pero deje de utilizarlos mientras se resuelve una disputa sobre su exactitud o la legitimidad del tratamiento.
Útil cuando disputas la exactitud de tus datos (mientras se verifica)
Cuando el tratamiento es ilícito pero prefieres la limitación a la supresión
Cuando necesitas los datos para reclamaciones legales aunque la empresa ya no los necesite
Puedes pedir que te entreguen tus datos en un formato estructurado, de uso común y lectura mecánica (JSON, CSV, XML). Además, puedes pedirles que transmitan esos datos directamente a otro responsable.
Solo aplica cuando el tratamiento está basado en consentimiento o en contrato
Solo aplica cuando el tratamiento es automatizado
Especialmente útil para cambiar de proveedor (banco, teleoperadora, red social)
Puedes oponerte al tratamiento de tus datos en cualquier momento, sin necesidad de justificarlo, cuando se basa en el «interés legítimo» del responsable o en el ejercicio de poderes públicos.
En el caso del marketing directo (publicidad, spam, llamadas comerciales), el derecho de oposición es absoluto: la empresa debe cesar el tratamiento de inmediato, sin condiciones.
El responsable solo puede continuar el tratamiento si acredita motivos legítimos imperiosos que prevalezcan sobre tus intereses
Para marketing directo: cese obligatorio e inmediato, sin excepciones
Para investigación científica/estadística: aplican excepciones de interés público
Los data brokers (corredores de datos) son empresas que recopilan, agregan y venden datos personales de millones de personas, muchas veces sin que éstas lo sepan. Sus bases de datos pueden incluir tu nombre, dirección, número de teléfono, historial crediticio, hábitos de compra y mucho más.
Una de las mayores bases de datos de consumidores del mundo. Vende perfiles detallados para campañas publicitarias.
Solicitar supresión ↗Filial de Dun & Bradstreet en España. Publica información de autónomos y empresas, incluyendo datos de directivos.
Ejercer derechos ↗Fichero de morosos. Si has tenido deudas, pueden tener un registro. Tienes derecho a acceder y rectificar.
Ejercer derechos ↗Asociación Nacional de Establecimientos Financieros. El fichero de morosidad más consultado por bancos y financieras.
Consultar inclusión ↗Registro de Aceptaciones Impagadas. Usado principalmente para empresas y autónomos con letras de cambio impagadas.
Consultar RAI ↗Publica informes de riesgo crediticio de empresas y autónomos. Sus datos provienen del Registro Mercantil y fuentes propias.
Ejercer derechos ↗Vende segmentos de audiencia para publicidad programática. Sus datos de comportamiento online te siguen por toda la web.
Opt-out ↗Especializada en bases de datos para marketing directo postal y digital. Activa en el mercado español.
Ejercer derechos ↗Para ejercer cualquiera de tus derechos RGPD frente a una empresa, debes enviar una solicitud escrita. Aquí tienes el proceso completo:
Busca en su web el apartado «Privacidad» o «Protección de datos» para encontrar el email de su DPO (Delegado de Protección de Datos) o el canal oficial para ejercer derechos.
Debe incluir: tu nombre y apellidos, DNI/NIE, email o dirección de contacto, el derecho que quieres ejercer (supresión, acceso, oposición...) y la razón si es necesario. No necesitas dar más explicaciones de las estrictamente necesarias.
Envía por email (guarda el acuse) o por correo certificado. La fecha de envío es clave para calcular el plazo de 30 días.
La empresa tiene 30 días naturales para responder. Puede ampliarlo otros 60 días si justifica la complejidad, notificándotelo antes del primer mes.
Puedes presentar una reclamación ante la AEPD de forma gratuita. Tienes 3 meses desde la respuesta (o desde que venció el plazo sin respuesta) para hacerlo.
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España. Es un organismo público independiente que investiga las infracciones del RGPD y tiene potestad para imponer multas millonarias.
— Una empresa no ha respondido a tu solicitud de ejercicio de derechos en 30 días.
— Una empresa ha denegado tu solicitud sin causa justificada.
— Crees que una empresa está tratando tus datos de forma ilegal.
— Has recibido spam o publicidad sin haber dado consentimiento.
— Una empresa te ha incluido en un fichero de morosos sin seguir el procedimiento correcto.
sedeagpd.gob.es — puedes hacerlo con certificado digital, DNI electrónico, Cl@ve o sin identificación para reclamaciones básicas.
El formulario te guiará. Necesitarás la documentación de tu solicitud original y la respuesta (o ausencia de respuesta) de la empresa.
Copia de tu solicitud original, acuse de recibo del envío, respuesta de la empresa (si la hay). Cuanta más documentación, mejor.
La AEPD tiene un plazo de 3 meses para resolver. Puede iniciar un procedimiento sancionador contra la empresa, exigirle que cumpla con tu solicitud o archivar si considera que no hay infracción.
El RGPD establece multas de hasta 20 millones de euros o el 4% de la facturación anual global (la cifra que sea mayor). No son multas simbólicas. Aquí tienes casos reales:
| Empresa | Multa | Año | Motivo | Autoridad |
|---|---|---|---|---|
| Meta (Instagram) | 405 M€ | 2022 | Datos de menores publicados por defecto en perfiles públicos | DPC (Irlanda) |
| Meta (WhatsApp) | 225 M€ | 2021 | Falta de transparencia en el tratamiento de datos | DPC (Irlanda) |
| Amazon | 746 M€ | 2021 | Publicidad comportamental sin consentimiento válido | CNPD (Luxemburgo) |
| Google LLC | 50 M€ | 2019 | Falta de transparencia y ausencia de base legal para publicidad personalizada | CNIL (Francia) |
| Glovo | 25 M€ | 2021 | Tratamiento ilícito de datos de repartidores, BBDD de candidatos sin base legal | AEPD (España) |
| Vodafone España | 8,15 M€ | 2021 | Envío masivo de spam, contrataciones fraudulentas sin consentimiento | AEPD (España) |
| BBVA | 5 M€ | 2021 | Tratamiento de datos con finalidades distintas a las informadas al cliente | AEPD (España) |
| Vueling | 600.000 € | 2021 | Acceso obligatorio a cookies sin posibilidad de rechazo | AEPD (España) |
| Caixabank | 6 M€ | 2022 | Uso de datos de clientes para venta cruzada sin base legal adecuada | AEPD (España) |
| TikTok | 345 M€ | 2023 | Tratamiento de datos de menores, cuentas de menores públicas por defecto | DPC (Irlanda) |
En España, la AEPD publicó más de 900 resoluciones sancionadoras en 2023. Las empresas más sancionadas son las de telecomunicaciones, banca y publicidad digital. Las multas por no atender solicitudes de ejercicio de derechos ARCO están tipificadas como infracción grave (Art. 74 LOPDGDD).
Conocer tus derechos es el primer paso. Ejercerlos es el segundo. Y ahí es donde la mayoría de personas se rinde: hay que buscar el contacto correcto de cada empresa, redactar la solicitud legal adecuada, enviarla, hacer seguimiento...
BorraMisDatos automatiza todo ese proceso.
Añade las empresas de las que quieres eliminar tus datos. Nuestros agentes IA se encargan del resto: encuentran el DPO, redactan la solicitud legal y la envían en tu nombre.
Empezar gratis — sin tarjeta