Protección de datos personales: derechos y obligaciones en la era digital

La protección de los datos personales es hoy uno de los ejes del derecho digital. Empresas, administraciones y cualquier servicio online tratan diariamente información personal; al mismo tiempo, las personas disponen de derechos potentes para controlar qué datos se recogen y cómo se usan. En este artículo explicamos, de forma clara y práctica, qué derechos reconoce el Reglamento General de Protección de Datos (RGPD) y la normativa española (LOPDGDD), cómo ejercerlos y qué obligaciones deben cumplir las empresas.

¿Qué derechos tienes sobre tus datos personales?

Las personas físicas cuentan con un conjunto de derechos recogidos en el RGPD y desarrollados por la Agencia Española de Protección de Datos (AEPD). Los más relevantes son:

• Derecho de información: saber quién trata tus datos, con qué finalidad y durante cuánto tiempo.

• Derecho de acceso: solicitar copia de los datos que una organización tiene sobre ti.

• Derecho de rectificación: corregir datos inexactos o incompletos.

• Derecho de supresión (“olvido”): pedir que se borren tus datos cuando no existe ya una base legal para su tratamiento.

• Derecho a la limitación del tratamiento: pedir que se suspenda el uso de tus datos en ciertas circunstancias.

• Derecho a la portabilidad: recibir tus datos en un formato estructurado y trasladarlos a otro responsable.

• Derecho de oposición: oponerte al tratamiento de tus datos (por ejemplo, para publicidad).

• Derecho a no ser objeto de decisiones individualizadas únicamente automatizadas, incluida la elaboración de perfiles, salvo garantías y transparencia concretas.

¿Cómo puedes ejercer tus derechos? — Pasos prácticos

1. Identifica al responsable: busca en la web del servicio o en la política de privacidad quién es el responsable del tratamiento (empresa, entidad o profesional).

2. Prepara la solicitud: indica claramente qué derecho quieres ejercer (acceso, rectificación, supresión, etc.), aporta datos que permitan identificarte (nombre, DNI/equivalente, contacto) y, si procede, prueba de tu identidad.

3. Envía la petición por el canal indicado: muchas empresas permiten formularios web, correo electrónico o envío postal. La AEPD recomienda procedimientos accesibles y sencillos.

4. Plazo de respuesta: el responsable debe contestar en el plazo de 1 mes desde la recepción de la solicitud. Ese plazo puede prorrogarse 2 meses adicionales si la petición es compleja (la empresa debe informar de la prórroga dentro del primer mes).

5. Si la respuesta no es satisfactoria: puedes presentar una reclamación ante la AEPD. La Sede Electrónica de la AEPD facilita formularios y modelos para reclamaciones.

 

Obligaciones clave de empresas y responsables del tratamiento

Las organizaciones que tratan datos deben cumplir obligaciones concretas para proteger a las personas:

• Base jurídica del tratamiento: cada tratamiento debe tener una base (consentimiento, ejecución de contrato, obligación legal, interés legítimo, protección vital o interés público). No vale un uso indefinido sin fundamento.

• Principio de minimización y limitación temporal: recoger sólo los datos necesarios y mantenerlos sólo el tiempo imprescindible.

• Transparencia e información: facilitar políticas y avisos claros sobre finalidades, destinatarios y derechos.

• Registro de actividades: las empresas deben llevar un registro de sus tratamientos (actividades de tratamiento) para demostrar cumplimiento.

• Evaluaciones de impacto (DPIA): cuando el tratamiento entraña alto riesgo para derechos y libertades (ej.: perfiles, datos sensibles, vigilancia masiva) es obligatorio evaluar el impacto.

• Delegado de Protección de Datos (DPO): figura obligatoria en grandes organizaciones o cuando el núcleo de la actividad requiere un control sistemático y regular a gran escala. El DPO asesora y supervisa cumplimiento.

• Medidas de seguridad y notificación de brechas: deben implantarse medidas técnicas y organizativas adecuadas; además, cuando hay una brecha que pueda suponer riesgo para las personas, el responsable debe notificarla a la autoridad (AEPD) y, en determinados casos, a los afectados. La AEPD ofrece guías y herramientas para gestionar brechas.

¿Qué hacer si tu dato se filtra o hay una brecha de seguridad?

• Exige información al responsable sobre qué datos se han visto afectados y las medidas adoptadas.

• Solicita medidas de mitigación (por ejemplo: bloqueo de cuentas, cambio de contraseñas, supervisión de fraudes).

• Presenta reclamación a la AEPD si la respuesta es insuficiente o si sospechas incumplimiento grave. La AEPD publica guías sobre notificación y gestión de brechas.

Consejos prácticos para ciudadanos (checklist)

• Revisa las políticas de privacidad antes de darte de alta en un servicio.

• Conserva evidencias (capturas, correos) cuando envíes solicitudes de derechos.

• Exige comunicaciones claras: la empresa debe explicar qué datos usa y por qué.

• No ignores peticiones de verificación de identidad bien justificadas: son medidas para evitar fraudes.

• Si no te responden en 1 mes, reclama ante la AEPD.

Recomendaciones para empresas

• Publica un procedimiento visible y sencillo para el ejercicio de derechos.

• Mantén actualizado el registro de actividades de tratamiento.

• Evalúa la necesidad de un DPO y documenta la base jurídica de cada tratamiento.

• Implanta medidas de seguridad técnicas (cifrado, control de accesos) y organiza simulacros de respuesta a brechas.

• Forma al personal sobre privacidad y sobre cómo responder solicitudes de derechos.

¿Cuándo acudir a un abogado o a la AEPD?

• Consulta un abogado si la empresa deniega el derecho sin fundamento, si hay dudas sobre compatibilidad de tratamientos, o cuando hay riesgo de sanciones por incumplimiento.

• Dirígete a la AEPD si no obtienes respuesta o consideras que se ha vulnerado tu derecho; la AEPD dispone de formularios de reclamación y servicios de orientación.

 

La protección de datos ya no es una cuestión técnica o administrativa: es un derecho fundamental que exige transparencia, responsabilidad y medidas prácticas tanto por parte de las organizaciones como de las personas. Si conoces tus derechos y sabes cómo ejercerlos —y si las empresas cumplen sus obligaciones— avanzaremos hacia un entorno digital más seguro y respetuoso con las libertades individuales.