Derechos de los Interesados del RGPD Explicados: Los Ocho Derechos (2026)

Conforme al capítulo III del Reglamento (UE) 2016/679, el RGPD otorga ocho derechos exigibles a las personas en la Unión Europea: el derecho a ser informado, de acceso, de rectificación, de supresión, de limitación del tratamiento, de portabilidad de datos, de oposición, y los derechos relacionados con la toma de decisiones automatizada (artículos 13 a 22). Las organizaciones deben responder a cualquier solicitud en el plazo de un mes natural.
El RGPD otorga a toda persona en la Unión Europea derechos exigibles sobre sus propios datos personales. Estos derechos figuran en el capítulo III del Reglamento (UE) 2016/679 (artículos 12 a 22). Cubren todo el ciclo de vida de los datos: desde el momento en que una organización los recopila por primera vez (el derecho a ser informado) hasta acceder a ellos, corregirlos, eliminarlos, transferirlos e impugnar su uso.
Comprender estos derechos importa en ambas direcciones. Las personas necesitan saber qué pueden exigir y cómo hacerlo. Las organizaciones necesitan saber qué están obligadas a hacer, en qué plazos y dónde se aplican las excepciones.
Este artículo explica los ocho derechos en detalle, cubre cómo funcionan en la práctica las solicitudes de acceso del interesado (DSAR), señala las principales sentencias del TJUE que han moldeado su interpretación, y aborda las novedades recientes más significativas, incluidos los informes de aplicación coordinada del CEPD y la propuesta del Ómnibus Digital.
Para el marco regulatorio más amplio, consulta Qué es el RGPD. Para los pasos de implementación del cumplimiento, consulta la Lista de Verificación de Cumplimiento del RGPD. Para las normas de consentimiento en detalle, consulta Requisitos de Consentimiento del RGPD.
Alcance jurisdiccional: Este artículo aborda los derechos de los interesados conforme al Reglamento (UE) 2016/679 (RGPD) de la UE. No cubre el UK GDPR (que divergió del RGPD de la UE tras el Brexit), ni las excepciones específicas de los Estados miembros que puedan aplicarse en sectores particulares. Para los derechos específicos del Reino Unido, consulta a la ICO.
Este artículo ofrece únicamente información legal general. No constituye asesoramiento legal. Consulta a un abogado especializado en protección de datos o a un profesional de la privacidad para obtener asesoramiento específico sobre tu situación.
Los Ocho Derechos de los Interesados del RGPD de un Vistazo
El capítulo III del RGPD establece ocho derechos distintos. El artículo 12 proporciona el marco procedimental general: las respuestas deben ser gratuitas (en primera instancia), entregarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. El plazo de respuesta por defecto de un mes se aplica a todos los derechos.
| Derecho | Artículo Principal | Contenido Central |
|---|---|---|
| Derecho a ser informado | Artículos 13 y 14 | Recibir información sobre privacidad en el momento de la recopilación de datos |
| Derecho de acceso | Artículo 15 | Obtener confirmación y una copia de los datos personales conservados |
| Derecho de rectificación | Artículo 16 | Corregir datos inexactos o incompletos |
| Derecho de supresión | Artículo 17 | Solicitar la eliminación de los datos personales |
| Derecho a la limitación del tratamiento | Artículo 18 | Limitar el uso de los datos sin eliminarlos |
| Derecho a la portabilidad de datos | Artículo 20 | Recibir los datos en un formato estructurado y legible por máquina |
| Derecho de oposición | Artículo 21 | Impugnar el tratamiento basado en el interés legítimo o el marketing directo |
| Derechos relativos a la toma de decisiones automatizada | Artículo 22 | Impugnar las decisiones tomadas únicamente por sistemas automatizados |

El Derecho a Ser Informado (Artículos 13 y 14)
El derecho a ser informado es el fundamento sobre el que descansan todos los demás derechos del RGPD. Exige a las organizaciones proporcionar a las personas información clara sobre qué datos personales se recopilan y cómo se usarán, antes o en el momento de la recopilación. Sin transparencia, las personas no pueden ejercer de forma significativa ninguno de los otros siete derechos.
El artículo 13 regula las situaciones en las que la organización recopila datos personales directamente de la persona, por ejemplo, a través de un formulario web, el registro de una aplicación o una solicitud escrita. El artículo 14 regula las situaciones en las que los datos personales se obtienen de un tercero en lugar de la propia persona.
Qué Deben Divulgar las Organizaciones
Conforme a los artículos 13 y 14, las organizaciones deben proporcionar como mínimo:
- La identidad y los datos de contacto del responsable del tratamiento, y del delegado de protección de datos si se ha designado uno
- Las finalidades del tratamiento y la base jurídica de cada finalidad
- Cuando el tratamiento se base en el interés legítimo, los intereses específicos perseguidos
- Cualquier destinatario o categoría de destinatarios
- Detalles de las transferencias a terceros países y las garantías aplicables
- El plazo de conservación, o los criterios utilizados para determinarlo
- La existencia de todos los derechos aplicables del interesado y cómo ejercerlos
- El derecho a retirar el consentimiento, cuando el consentimiento sea la base jurídica
- El derecho a presentar una reclamación ante una autoridad de control
- Solo conforme al artículo 14: la fuente de la que proceden los datos personales
Requisitos de Plazo
Para la recopilación directa conforme al artículo 13, la información de privacidad debe proporcionarse en el momento en que se obtienen los datos. Para la recopilación indirecta conforme al artículo 14, el plazo es de un mes desde la obtención de los datos, o en el primer contacto con la persona si es antes, o en el momento de la divulgación a otro destinatario si es antes todavía.
El Enfoque de Aplicación del CEF 2026
El CEPD seleccionó los artículos 12, 13 y 14 como tema para su acción del Marco de Aplicación Coordinada (CEF) de 2026, lanzada en 2026. Veinticinco autoridades de protección de datos de toda la UE participan. El CEPD describió el derecho a ser informado como "un elemento central de la transparencia que garantiza que las personas tengan más control sobre sus datos". Se espera que los resultados de la aplicación generen conclusiones sobre si los avisos de privacidad cumplen en la práctica con el estándar del RGPD.
Derecho de Acceso (Artículo 15)
El derecho de acceso es el derecho del RGPD que se ejerce con más frecuencia y el más litigado. El artículo 15 permite a las personas obtener confirmación de si una organización trata sus datos personales y, en caso afirmativo, recibir una copia de esos datos junto con la información complementaria prescrita.
Qué Cubre el Derecho
Conforme al artículo 15(1), el interesado tiene derecho a:
- Confirmación de que se está produciendo el tratamiento
- Una copia de los propios datos personales
- Las finalidades del tratamiento
- Las categorías de datos personales afectadas
- Los destinatarios o categorías de destinatarios, incluidos los de terceros países
- El plazo de conservación previsto, o los criterios utilizados para determinarlo
- La existencia de los derechos de rectificación, supresión, limitación y oposición
- El derecho a presentar una reclamación ante una autoridad de control
- Cuando los datos no se recopilaron de la persona, información sobre su origen
- Si se usa la toma de decisiones automatizada, incluida la elaboración de perfiles, e información significativa sobre la lógica aplicada
Jurisprudencia del TJUE Sobre el Artículo 15
El TJUE ha restringido sustancialmente la discrecionalidad que los responsables ejercían anteriormente al responder a las solicitudes de acceso.
En el asunto C-154/21, RW contra Österreichische Post AG (sentencia de 12 de enero de 2023), el Tribunal sostuvo que el artículo 15(1)(c) exige a los responsables divulgar la identidad específica de los destinatarios a quienes se han divulgado o se divulgarán los datos personales. Solo cuando resulte genuinamente imposible identificar destinatarios específicos puede el responsable recurrir a divulgar categorías de destinatarios. Esta sentencia puso fin a la práctica habitual de proporcionar descripciones genéricas y vagas de categorías.
En el asunto C-487/21, F.F. contra Österreichische Datenschutzbehörde y CRIF GmbH (sentencia de 4 de mayo de 2023), el Tribunal sostuvo que el derecho a obtener una "copia" conforme al artículo 15(3) significa que el interesado debe recibir una reproducción fiel e inteligible de todos los datos personales conservados. Ese derecho puede extenderse a copias de extractos de documentos, documentos enteros o extractos de bases de datos cuando sea necesario para dar a la persona acceso a sus datos de forma comprensible. Los responsables no pueden proporcionar una selección elaborada o resumida.
Las Directrices 01/2022 del CEPD sobre el Derecho de Acceso (versión 2.0, abril de 2023) confirman además que los responsables no pueden limitar sus respuestas a los datos que consideren "relevantes" o "importantes". El acceso debe cubrir todos los datos personales conservados.
Conclusiones del CEF 2024 Sobre el Derecho de Acceso
El CEPD publicó su informe CEF 2024 sobre el derecho de acceso en enero de 2025, tras una acción coordinada en la que participaron 31 autoridades de protección de datos. Los desafíos recurrentes incluyeron: la falta de procedimientos internos para gestionar las solicitudes; las respuestas incompletas; y los requisitos de verificación de identidad excesivamente gravosos que disuadían a solicitantes legítimos.

Derecho de Rectificación (Artículo 16)
El artículo 16 otorga a las personas el derecho a que se corrijan sin dilación indebida los datos personales inexactos. Las personas también pueden solicitar que se completen los datos incompletos, incluso mediante una declaración adicional.
Alcance y Ejemplos Prácticos
Este derecho se aplica siempre que los datos personales fácticos conservados por una organización sean incorrectos o incompletos. Ejemplos comunes incluyen nombres mal escritos, direcciones incorrectas, números de teléfono desactualizados y registros de empleo con fechas erróneas. El derecho no se aplica a las evaluaciones u opiniones (la calificación de una evaluación de desempeño es una opinión, no una inexactitud fáctica), aunque las personas pueden solicitar que se adjunte una declaración adicional a las evaluaciones subjetivas impugnadas.
Obligación de Notificación a Terceros
Cuando un responsable rectifica los datos, el artículo 19 del RGPD exige la notificación a cada destinatario al que se hayan divulgado previamente los datos, salvo que resulte imposible o suponga un esfuerzo desproporcionado. El responsable también debe informar a la persona sobre esos destinatarios si se le solicita.
Derecho de Supresión / Derecho al Olvido (Artículo 17)
El artículo 17 permite a las personas solicitar la eliminación de sus datos personales. El derecho de supresión, también llamado "derecho al olvido", es una de las disposiciones más destacadas del RGPD. No es absoluto: el artículo 17(3) establece las situaciones en las que el derecho no se aplica.
Motivos Para la Supresión
La supresión es obligatoria conforme al artículo 17(1) cuando:
- Los datos ya no son necesarios para la finalidad para la que se recopilaron o trataron
- La persona retira el consentimiento y no se aplica ninguna otra base jurídica
- La persona se opone conforme al artículo 21 y no existen motivos legítimos imperiosos para el responsable
- Los datos se trataron ilícitamente
- La supresión es necesaria para cumplir una obligación legal de la UE o de un Estado miembro
- Los datos se recopilaron de un menor en relación con servicios de la sociedad de la información (artículo 8)
Motivos Para Rechazar la Supresión
Conforme al artículo 17(3), los responsables pueden rechazar la supresión cuando el tratamiento sea necesario para:
- Ejercer el derecho a la libertad de expresión e información
- Cumplir una obligación legal (por ejemplo, la conservación legal de registros fiscales)
- Fines de salud pública de interés público (artículo 9(2)(h) e (i))
- Archivo de interés público, investigación científica o fines estadísticos cuando la supresión perjudicaría gravemente el objetivo
- Formular, ejercer o defender reclamaciones legales
Ten cuidado: La excepción de reclamaciones legales se aplica erróneamente con frecuencia. Las organizaciones a veces la invocan de forma preventiva para evitar las obligaciones de supresión. La excepción exige que exista un procedimiento judicial realmente pendiente, amenazado o razonablemente previsible, no que el responsable pudiera teóricamente enfrentarse a una futura reclamación.
Supresión en Motores de Búsqueda
El derecho de supresión tiene una importancia particular para los motores de búsqueda. Tras la sentencia Google Spain (asunto C-131/12, 2014), las personas pueden solicitar que los motores de búsqueda eliminen resultados sobre ellas. Las Directrices 5/2019 del CEPD establecen los criterios que las autoridades de control aplican al evaluar las solicitudes de eliminación de listados.
CEF 2025: Desafíos en la Implementación del Derecho de Supresión
El CEPD publicó su informe CEF 2025 sobre el derecho de supresión en febrero de 2026. Treinta y dos autoridades de protección de datos participaron a lo largo de 2025, nueve de las cuales iniciaron investigaciones formales y 23 realizaron labores de indagación de hechos. Se identificaron siete desafíos recurrentes de implementación:
- Organizaciones que recurren a técnicas de anonimización ineficaces como sustituto de la eliminación
- Prácticas incoherentes en torno a la supresión en los sistemas de copia de seguridad
- Dificultad para determinar los plazos de conservación y luego actuar conforme a ellos
- Responsables que tienen dificultades para aplicar las pruebas de ponderación del artículo 17(3)
- Falta de procedimientos internos, reflejando las conclusiones sobre acceso de 2024
- Información insuficiente proporcionada a las personas sobre los resultados de las solicitudes de supresión
- Notificación inadecuada a los destinatarios terceros tras la supresión
Derecho a la Limitación del Tratamiento (Artículo 18)
El artículo 18 permite a las personas pedir a una organización que conserve sus datos pero deje de usarlos activamente. Cuando la limitación está en vigor, el responsable puede almacenar los datos, pero no puede tratarlos salvo que la persona lo consienta, o el tratamiento sea necesario para reclamaciones legales, para proteger los derechos de otra persona, o por razones importantes de interés público.
Cuándo se Aplica la Limitación
Las personas pueden solicitar la limitación en cuatro circunstancias:
- Impugnan la exactitud de los datos, y la limitación se aplica mientras el responsable verifica la exactitud
- El tratamiento es ilícito, pero la persona prefiere la limitación a la supresión
- El responsable ya no necesita los datos, pero la persona los necesita para formular, ejercer o defender reclamaciones legales
- La persona se ha opuesto conforme al artículo 21, y el resultado del ejercicio de ponderación está pendiente
Efecto Práctico
La limitación es, en esencia, una "pausa" del tratamiento activo. El responsable debe informar a la persona antes de levantar cualquier limitación. Este derecho sirve como término medio entre la supresión total y el tratamiento sin restricciones, y resulta especialmente útil en disputas fácticas controvertidas o durante un litigio.
Derecho a la Portabilidad de Datos (Artículo 20)
El artículo 20 otorga a las personas el derecho a recibir los datos personales que proporcionaron a un responsable en un formato estructurado, de uso común y legible por máquina, y a que esos datos se transmitan directamente a otro responsable cuando sea técnicamente posible. El derecho está diseñado para reducir la dependencia de un proveedor y facilitar el cambio entre servicios competidores.
Condiciones Para la Portabilidad
El derecho a la portabilidad de datos se aplica solo cuando se cumplen ambas condiciones:
- El tratamiento se basa en el consentimiento (artículo 6(1)(a) o artículo 9(2)(a)) o en un contrato con la persona (artículo 6(1)(b))
- El tratamiento se realiza por medios automatizados
Los datos tratados con base en el interés legítimo, una obligación legal o el interés público no atraen el derecho de portabilidad.
Qué Datos Están Cubiertos
La portabilidad cubre los datos que la persona "proporcionó" al responsable. Esto incluye los datos aportados activamente (entradas de formularios, documentos cargados, información de perfil) y los datos generados mediante el uso de un servicio (historial de transacciones, registros de uso, datos de ubicación del uso de una aplicación). No incluye los datos inferidos o derivados, como las puntuaciones de riesgo, los segmentos de clientes o los resultados de la elaboración de perfiles algorítmicos, ya que estos son generados por el responsable, no proporcionados por la persona.
Requisitos de Formato
Los datos deben proporcionarse en un formato estructurado, de uso común y legible por máquina. CSV, JSON y XML son formatos ampliamente aceptados. Cuando sea técnicamente posible y a solicitud de la persona, el responsable debe transmitir los datos directamente a otro responsable designado.
Derecho de Oposición (Artículo 21)
El artículo 21 permite a las personas oponerse al tratamiento en dos situaciones distintas con consecuencias jurídicas marcadamente diferentes.
Oposición al Tratamiento Basado en el Interés Legítimo o el Interés Público
Cuando el tratamiento se basa en el interés legítimo (artículo 6(1)(f)) o el interés público (artículo 6(1)(e)), las personas pueden oponerse por "motivos relacionados con su situación particular". El responsable debe dejar de tratar los datos, salvo que pueda demostrar motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades de la persona, o que el tratamiento sea necesario para reclamaciones legales.
La carga recae en el responsable de realizar un ejercicio de ponderación genuino y específico a las circunstancias declaradas de la persona, no una afirmación genérica de que sus intereses son de peso.
Derecho Absoluto de Oposición al Marketing Directo
El derecho a oponerse al tratamiento para marketing directo es incondicional. El artículo 21(2) y (3) establecen que cuando una persona se opone al tratamiento para marketing directo, el responsable debe cesar de inmediato, tanto para esa finalidad como para cualquier elaboración de perfiles relacionada. No se aplica ninguna prueba de ponderación y ningún motivo legítimo puede prevalecer sobre ella.
Oposición al Tratamiento con Fines de Investigación
Las personas también pueden oponerse al tratamiento con fines científicos, históricos o estadísticos por motivos relacionados con su situación particular, salvo que el tratamiento sea necesario para una tarea de interés público.

Derechos Relativos a la Toma de Decisiones Automatizada y la Elaboración de Perfiles (Artículo 22)
El artículo 22 establece que las personas tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte de forma significativa de manera similar.
La Protección Central
Deben concurrir tres condiciones para que se active el artículo 22:
- La decisión se basa únicamente en el tratamiento automatizado (sin intervención humana significativa)
- El tratamiento incluye la elaboración de perfiles (análisis de aspectos personales para evaluar, predecir o categorizar a la persona)
- La decisión produce un efecto jurídico (denegación de crédito, visado o empleo) o un efecto significativo similar (denegación de un seguro, exclusión de servicios, consecuencias financieras o sociales graves)
Excepciones Permitidas
El artículo 22(2) permite decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos o efectos significativos similares en tres circunstancias:
- La decisión es necesaria para la celebración o ejecución de un contrato con la persona
- Está autorizada por el derecho de la UE o de un Estado miembro con garantías adecuadas
- Se basa en el consentimiento explícito de la persona
Garantías Obligatorias
Cuando se aplica una excepción, el responsable debe implementar medidas adecuadas para proteger los derechos de la persona. Como mínimo, la persona debe tener derecho a:
- Obtener intervención humana en la decisión
- Expresar su punto de vista antes o después de que se tome la decisión
- Impugnar la decisión
El responsable también debe proporcionar información significativa sobre la lógica aplicada en el sistema automatizado y la importancia y las consecuencias previstas de la decisión para la persona.
Interacción con la Ley de IA de la UE
La Ley de IA de la UE (Reglamento (UE) 2024/1689, en vigor desde agosto de 2024, con las disposiciones principales aplicándose desde agosto de 2026) introduce obligaciones superpuestas para los sistemas de IA de alto riesgo. Los sistemas de IA de alto riesgo enumerados en el anexo III, que cubren la puntuación crediticia, las decisiones de empleo, el acceso a servicios esenciales y la migración, deben cumplir con requisitos de transparencia, supervisión humana y precisión conforme a la Ley de IA, además de cualquier obligación del artículo 22 del RGPD. Cuando ambos regímenes se aplican, deben satisfacerse ambos conjuntos de obligaciones. Se espera que el CEPD y la Oficina de IA de la UE proporcionen orientación coordinada sobre la interacción entre el artículo 22 y la Ley de IA a medida que las disposiciones de esta última entren en pleno vigor durante 2026.
Cómo Funcionan en la Práctica las Solicitudes de Acceso del Interesado (DSAR)
El artículo 12 proporciona el marco procedimental que rige las respuestas a todas las solicitudes de derechos de los interesados.
Presentar una Solicitud
Las personas no necesitan usar un lenguaje legal específico ni citar ningún artículo del RGPD. Cualquier comunicación clara que identifique lo que la persona desea es suficiente. Las solicitudes pueden hacerse por correo electrónico, formulario web, carta, teléfono o cualquier otro canal que opere el responsable.
El Plazo de Un Mes
Los responsables deben responder en el plazo de un mes natural desde el día siguiente a la recepción de la solicitud. El CEPD confirma que esto significa un mes natural (una solicitud recibida el 5 de marzo debe responderse antes del 5 de abril). Si el último día cae en fin de semana o festivo en la jurisdicción del responsable, el plazo se extiende hasta el siguiente día hábil.
Ampliaciones
Para solicitudes complejas, o cuando una persona ha presentado numerosas solicitudes simultáneamente, el plazo puede ampliarse dos meses más (tres meses en total). Para usar la ampliación, el responsable debe notificar a la persona dentro del primer mes natural y explicar el motivo de la ampliación. No enviar el aviso de ampliación dentro del primer mes implica que el responsable no puede acogerse a ella.
Tarifas
La primera respuesta a cualquier solicitud de derechos debe proporcionarse de forma gratuita. Solo puede cobrarse una tarifa administrativa razonable por solicitudes manifiestamente infundadas o excesivas, en particular las repetitivas. El responsable soporta la carga de demostrar que una solicitud cumple ese umbral. El listón es alto; una solicitud rutinaria de una persona que no ha presentado antes la misma solicitud no es excesiva.
Verificación de Identidad
Los responsables pueden solicitar información para verificar la identidad del solicitante, pero solo cuando exista una duda genuina. Las medidas de verificación deben ser proporcionales. Los responsables no pueden imponer obstáculos de verificación desproporcionados como elemento disuasorio. Para las cuentas en línea, pedir al usuario que se autentique mediante sus credenciales de cuenta existentes generalmente es suficiente. Solicitar copias de pasaporte o un documento de identidad oficial suele ser desproporcionado, salvo que los datos en cuestión sean particularmente sensibles o las circunstancias lo justifiquen específicamente.
Cuándo se Pueden Rechazar las Solicitudes
Los responsables pueden negarse a atender solicitudes manifiestamente infundadas o excesivas. Si se rechaza una solicitud, el responsable debe informar a la persona de:
- Los motivos del rechazo
- Su derecho a presentar una reclamación ante una autoridad de control
- Su derecho a interponer un recurso judicial
El responsable no puede ignorar la solicitud. Incluso un rechazo debe comunicarse dentro del plazo de un mes.
Presentar una Reclamación
Cada Estado miembro de la UE cuenta con una autoridad nacional de protección de datos ante la que las personas pueden presentar reclamaciones de forma gratuita. El CEPD mantiene una lista completa de todas las autoridades nacionales de control con sus datos de contacto. Entre las autoridades destacadas se encuentran la CNIL (Francia), la BfDI (Alemania), la DPC (Irlanda, que supervisa a muchas empresas tecnológicas con sede en EE. UU. que tienen bases en la UE en Irlanda), y la APD/GBA (Bélgica).
Excepciones y Límites a los Derechos de los Interesados
Los derechos de los interesados no son ilimitados. El considerando 73 y varios artículos del RGPD permiten a los Estados miembros restringir los derechos mediante legislación cuando sea necesario para salvaguardar:
- La seguridad nacional, la seguridad pública y la defensa
- La prevención, investigación y enjuiciamiento de infracciones penales
- Otros objetivos importantes de interés público general de la UE o de un Estado miembro, incluidos la salud pública, la protección social y la fiscalidad
- La protección de la independencia judicial
- La ejecución de reclamaciones de derecho civil
- Los derechos y libertades de otras personas
Las organizaciones que operan en varios Estados miembros de la UE deben identificar si alguna de las excepciones nacionales aplicables se aplica a su tratamiento en cada jurisdicción.
Novedades Recientes (2024 a 2026)
Aplicación Coordinada del CEPD: Deficiencias Sistémicas en Todos los Derechos
Las acciones anuales del Marco de Aplicación Coordinada (CEF) del CEPD han cubierto ya el derecho de acceso (2024) y el derecho de supresión (2025). Ambos informes identificaron las mismas deficiencias sistémicas: las organizaciones carecen de procedimientos internos para gestionar las solicitudes de derechos; las respuestas son incompletas o se retrasan; los requisitos de verificación son desproporcionados; y la notificación a los destinatarios terceros de las correcciones o eliminaciones se aplica de forma incoherente.
La acción de 2026 se centra en los artículos 12 a 14 (transparencia e información). Dado el patrón de años anteriores, el CEPD anticipa deficiencias sistémicas en la calidad y accesibilidad de los avisos de privacidad. Se esperan resultados de aplicación de las 25 autoridades de protección de datos participantes para finales de 2026.
El TJUE: Restringiendo la Discrecionalidad de los Responsables
La jurisprudencia del TJUE sobre el acceso ha restringido de forma constante el margen de los responsables para limitar el cumplimiento. El asunto C-154/21 (enero de 2023) exige la divulgación de las identidades reales de los destinatarios cuando sean identificables. El asunto C-487/21 (mayo de 2023) exige una copia completa y fiel de todos los datos personales. Las respuestas de acceso que eran práctica habitual hasta 2022 (tablas resumidas, descripciones solo por categoría, selecciones elaboradas) ahora incumplen la norma.
La Propuesta del Ómnibus Digital (Noviembre de 2025)
La Comisión Europea publicó su Paquete del Ómnibus Digital el 19 de noviembre de 2025, proponiendo modificaciones específicas al RGPD como parte de una iniciativa de simplificación más amplia. Las propuestas más relevantes para los derechos de los interesados incluyen:
- Un nuevo motivo discrecional para que los responsables rechacen o cobren por las DSAR cuando se determine que la persona está abusando de sus derechos "con fines distintos a la protección de sus datos". Esto apunta a situaciones como el litigio laboral, donde las DSAR se usan de forma instrumental en lugar de para la protección genuina de la privacidad.
- Una propuesta de reducción de los requisitos de transparencia del artículo 13 en circunstancias limitadas: cuando los datos se recopilan directamente de la persona, es razonable suponer que la persona ya tiene la información, y la actividad del responsable no es intensiva en datos. Esta excepción no se aplicaría cuando intervengan el tratamiento automatizado, la elaboración de perfiles o las transferencias de datos.
- Un derecho explícito e incondicional a oponerse al tratamiento de datos personales para el entrenamiento de IA.
Se trata solo de propuestas. El paquete se encuentra en negociaciones tripartitas entre el Parlamento Europeo, el Consejo y la Comisión. Los derechos actuales del RGPD descritos en este artículo permanecen plenamente vigentes y sin cambios hasta que se publique cualquier reglamento modificativo en el Diario Oficial.
Preguntas Frecuentes
Más Guías Sobre el RGPD
- Qué es el RGPD para una visión general completa del reglamento y su base jurídica
- Requisitos de Consentimiento del RGPD para los estándares de consentimiento válido y cómo interactúa el consentimiento con los derechos de los interesados
- Lista de Verificación de Cumplimiento del RGPD para una guía de implementación de cumplimiento paso a paso
- Multas y Sanciones del RGPD para datos de aplicación normativa y las consecuencias del incumplimiento
- Notificación de Violaciones de Datos del RGPD: la Regla de las 72 Horas para las obligaciones de notificación de violaciones
- Leyes de Privacidad de Datos de la UE para la visión general completa de la protección de datos en la UE
Aviso Legal
Este artículo ofrece información legal general sobre los derechos de los interesados conforme al Reglamento (UE) 2016/679 (RGPD). Cubre únicamente el RGPD de la UE y no aborda el UK GDPR ni las excepciones específicas de los Estados miembros. La información se verificó el 19 de mayo de 2026. El RGPD es un instrumento vivo: la guía de las autoridades de control, las sentencias del TJUE y las decisiones de aplicación normativa perfeccionan continuamente cómo se interpretan sus disposiciones. Este artículo no sustituye el asesoramiento legal. Consulta a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado y habilitado en tu jurisdicción para obtener asesoramiento específico sobre tu situación.
Sobre el Autor
[MARCADOR DE POSICIÓN: lista de autores pendiente]
Autoridades Citadas
- Reglamento (UE) 2016/679 (RGPD): Texto Oficial Completo. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Artículo 12 del RGPD: Transparencia de la información, comunicación y modalidades. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- Directrices 01/2022 del CEPD sobre el Derecho de Acceso, versión 2.0 (abril de 2023). https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- Directrices 5/2019 del CEPD sobre el Derecho al Olvido en los Motores de Búsqueda. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- TJUE, asunto C-154/21, RW contra Österreichische Post AG, sentencia de 12 de enero de 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- TJUE, asunto C-487/21, F.F. contra Österreichische Datenschutzbehörde y CRIF GmbH, sentencia de 4 de mayo de 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- CEPD: Identifica desafíos que dificultan la plena implementación del derecho de supresión (febrero de 2026). https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- Informe CEF 2025 del CEPD: Implementación del Derecho de Supresión. https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- CEPD: Lanzamiento del CEF 2026: aplicación coordinada sobre transparencia y obligaciones de información. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CEPD: CEF 2024: desafíos para la plena implementación del derecho de acceso (enero de 2025). https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- Comisión Europea: Información para las Personas Sobre los Derechos del RGPD. https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- Comisión Europea: Gestión de las Solicitudes de Derechos de los Interesados. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- CEPD: Autoridades Nacionales de Control (Miembros). https://edpb.europa.eu/about-edpb/about-edpb/members_en
Última actualización: 19-05-2026. Las disposiciones del RGPD citadas reflejan el Reglamento (UE) 2016/679 vigente a fecha de 19-05-2026. Las propuestas del Ómnibus Digital (noviembre de 2025) están pendientes de negociación tripartita y no han modificado el RGPD a esta fecha.
Preguntas frecuentes
¿Cuáles son los ocho derechos de los interesados del RGPD?
Los ocho derechos del capítulo III del RGPD son: (1) el derecho a ser informado (artículos 13 y 14), (2) el derecho de acceso (artículo 15), (3) el derecho de rectificación (artículo 16), (4) el derecho de supresión, también llamado derecho al olvido (artículo 17), (5) el derecho a la limitación del tratamiento (artículo 18), (6) el derecho a la portabilidad de datos (artículo 20), (7) el derecho de oposición (artículo 21), y (8) los derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles (artículo 22). El artículo 12 regula las obligaciones procedimentales que se aplican a todos los derechos.
¿Cómo presento una solicitud de acceso del interesado del RGPD?
Contacta con la organización que conserva tus datos a través de cualquier canal disponible: correo electrónico, carta, formulario web o teléfono. Indica claramente que deseas acceder a tus datos personales. No necesitas citar el artículo 15 ni usar la frase 'solicitud de acceso del interesado'. La organización debe responder en el plazo de un mes natural y proporcionar la primera copia de forma gratuita. Conserva un registro de tu solicitud y de cuándo la enviaste. Si la organización no responde en el plazo de un mes, o rechaza la solicitud sin una explicación adecuada, presenta una reclamación ante tu autoridad nacional de protección de datos.
¿Puede una organización cobrar una tarifa por una DSAR?
La primera respuesta a una solicitud de acceso del interesado debe proporcionarse de forma gratuita. Solo puede cobrarse una tarifa administrativa razonable por solicitudes manifiestamente infundadas o excesivas, en particular cuando las solicitudes son repetitivas. El responsable debe demostrar por qué la solicitud cumple ese umbral. El listón es alto; una solicitud rutinaria de alguien que no ha presentado antes la misma solicitud no es excesiva.
¿Es absoluto el derecho de supresión bajo el RGPD?
No. El artículo 17(3) del RGPD establece seis circunstancias en las que el derecho de supresión no se aplica: cuando el tratamiento es necesario para ejercer la libertad de expresión e información; para cumplir una obligación legal; por fines de salud pública de interés público; para archivo de interés público, investigación científica o fines estadísticos cuando la supresión perjudicaría gravemente el objetivo; o para formular, ejercer o defender reclamaciones legales. Las organizaciones deben evaluar cada solicitud individualmente frente a estas excepciones.
¿Cuál es la diferencia entre la supresión y la limitación del tratamiento?
El derecho de supresión (artículo 17) exige a la organización eliminar por completo los datos personales. El derecho a la limitación del tratamiento (artículo 18) exige a la organización dejar de usar activamente los datos, pero le permite seguir almacenándolos. La limitación es apropiada como medida provisional, por ejemplo, cuando la persona impugna la exactitud y desea que los datos se conserven mientras el responsable los verifica, o cuando la persona necesita que los datos se conserven para una reclamación legal.
¿Cuánto tiempo tiene una organización para responder a una solicitud de derechos?
Un mes natural desde el día siguiente a la recepción de la solicitud. Para solicitudes complejas, o cuando la misma persona ha presentado numerosas solicitudes, el plazo puede ampliarse hasta dos meses adicionales (tres meses en total). La organización debe informar a la persona de la ampliación y del motivo dentro del primer mes natural. Si no se envía ningún aviso de ampliación en ese plazo, se mantiene el plazo de un mes.
¿Se aplica el derecho a la portabilidad de datos a todos mis datos personales?
No. El derecho a la portabilidad de datos conforme al artículo 20 solo se aplica cuando se cumplen ambas condiciones: el tratamiento se basa en el consentimiento o en un contrato con la persona, y el tratamiento se realiza por medios automatizados. No se aplica a los datos tratados con base en el interés legítimo, una obligación legal o el interés público. Tampoco cubre más que los datos que la persona proporcionó al responsable, no los datos inferidos o derivados como las puntuaciones de riesgo, los segmentos de clientes o los resultados de la elaboración de perfiles.
¿Puedo impugnar una decisión tomada por un algoritmo o un sistema de IA?
Sí, en ciertas circunstancias. El artículo 22 del RGPD otorga a las personas el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, cuando la decisión produzca un efecto jurídico o un efecto significativo similar. Cuando dichas decisiones estén permitidas conforme a una de las excepciones del artículo 22(2), la persona debe tener derecho a obtener intervención humana, expresar su punto de vista e impugnar la decisión. Para los sistemas de IA clasificados como de alto riesgo bajo la Ley de IA de la UE, también se aplican obligaciones adicionales de transparencia y supervisión humana.
¿Qué ocurre si me opongo al marketing directo?
El derecho a oponerse al marketing directo conforme al artículo 21(2) y (3) es absoluto e inmediato. Una vez que te opones, la organización debe dejar de tratar tus datos con fines de marketing directo, incluida cualquier elaboración de perfiles relacionada con ese marketing. No se aplica ninguna prueba de ponderación y ningún motivo legítimo puede prevalecer sobre ella.
¿Qué es la propuesta del Ómnibus Digital y cambia mis derechos del RGPD?
La Comisión Europea publicó el Paquete del Ómnibus Digital en noviembre de 2025, proponiendo modificaciones específicas al RGPD. Las propuestas incluyen un nuevo motivo para rechazar DSAR cuando se determine que la persona abusa del derecho, una excepción de transparencia reducida en circunstancias limitadas, y un derecho explícito a oponerse al tratamiento para el entrenamiento de IA. Se trata solo de propuestas y no han sido adoptadas. Todos los derechos actuales de los interesados del RGPD descritos en este artículo permanecen plenamente vigentes y sin cambios hasta que se publique cualquier reglamento modificativo en el Diario Oficial de la UE.
Fuentes y referencias
- Reglamento (UE) 2016/679 (RGPD) — Texto Oficial Completo(eur-lex.europa.eu).gov
- Artículo 12 del RGPD — Transparencia de la información y modalidades(eur-lex.europa.eu).gov
- Directrices 01/2022 del CEPD sobre el Derecho de Acceso (v2.0, abril de 2023)(edpb.europa.eu).gov
- Directrices 5/2019 del CEPD sobre el Derecho al Olvido en los Motores de Búsqueda(edpb.europa.eu).gov
- TJUE, asunto C-154/21, RW contra Österreichische Post AG, 12 de enero de 2023(eur-lex.europa.eu).gov
- TJUE, asunto C-487/21, F.F. contra Österreichische Datenschutzbehörde y CRIF GmbH, 4 de mayo de 2023(eur-lex.europa.eu).gov
- CEPD — Desafíos que dificultan la plena implementación del derecho de supresión (febrero de 2026)(edpb.europa.eu).gov
- Informe CEF 2025 del CEPD — Implementación del Derecho de Supresión(edpb.europa.eu).gov
- CEPD — CEF 2026: aplicación coordinada sobre transparencia y obligaciones de información(edpb.europa.eu).gov
- CEPD — CEF 2024: desafíos para la plena implementación del derecho de acceso (enero de 2025)(edpb.europa.eu).gov
- Comisión Europea — Información para las Personas Sobre los Derechos del RGPD(commission.europa.eu).gov
- Comisión Europea — Gestión de las Solicitudes de Derechos de los Interesados(commission.europa.eu).gov
- CEPD — Autoridades Nacionales de Control (Miembros)(edpb.europa.eu).gov