¿Qué es el RGPD? Guía Completa de la Protección de Datos en la UE (2026)

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) es la ley vinculante de protección de datos de la Unión Europea, exigible desde el 25 de mayo de 2018. Otorga a las personas derechos sobre sus datos personales, impone obligaciones de cumplimiento a las organizaciones que los tratan, y se extiende a cualquier organización en el mundo que dirija sus actividades a residentes de la UE o controle su comportamiento.
El Reglamento General de Protección de Datos, universalmente conocido como el RGPD, es la ley de protección de datos más influyente del mundo. Publicado como Reglamento (UE) 2016/679 en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, se volvió exigible el 25 de mayo de 2018, tras un período de transición de dos años. Se aplica directamente en todos los Estados miembros de la UE y, mediante el artículo 3, alcanza a organizaciones establecidas en cualquier parte del mundo que traten datos personales de personas ubicadas en la UE.
Esta guía explica el RGPD desde cero: sus orígenes, el ámbito territorial, los siete principios fundamentales, las definiciones clave, las seis bases jurídicas para el tratamiento, una visión general de los derechos de los interesados, quién lo aplica, cómo son las sanciones, cómo se relaciona con el derecho nacional, y los últimos avances de 2024 a 2026. Para un tratamiento detallado de temas específicos, use las guías complementarias enlazadas a lo largo del texto.
Para el contexto legal más amplio de la UE, consulte nuestra visión general de las leyes de privacidad de datos de la UE.
Este artículo tiene fines meramente informativos y no constituye asesoramiento jurídico. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado para obtener asesoramiento específico sobre su situación.
Respuesta Rápida: ¿Qué es el RGPD?
El RGPD es un reglamento de la UE de aplicación directa que establece normas uniformes para recopilar, almacenar, usar y compartir los datos personales de personas ubicadas en la UE y el Espacio Económico Europeo. "Reglamento" es la palabra clave: a diferencia de una directiva de la UE, un reglamento no exige a los Estados miembros aprobar legislación de implementación. Se convirtió en ley vinculante en los 27 Estados miembros de la UE automáticamente el mismo día.
En esencia, el RGPD hace tres cosas. Otorga a las personas (llamadas "interesados") derechos exigibles sobre sus datos personales. Impone obligaciones a las organizaciones (llamadas "responsables" y "encargados") que tratan esos datos. Y establece autoridades de control independientes en cada Estado miembro para investigar reclamaciones e imponer multas cuando algo sale mal.
El RGPD reemplazó la Directiva 95/46/CE, la Directiva de Protección de Datos de 1995, que había regido la protección de datos de la UE durante más de dos décadas.

Historia y Propósito
La Directiva de Protección de Datos de 1995
El primer marco importante de protección de datos de la UE fue la Directiva 95/46/CE, adoptada en octubre de 1995. Una directiva no se aplica directamente; cada Estado miembro tuvo que aprobar su propia ley nacional de implementación. El resultado fue un mosaico de 28 estatutos nacionales diferentes. Las empresas que operaban en toda Europa tenían que navegar un régimen de cumplimiento distinto en cada país.
La directiva funcionó de forma tolerable en la era de internet de acceso telefónico, pero se volvió cada vez más inadecuada a medida que las plataformas de redes sociales, los servicios en la nube y los teléfonos inteligentes generaron datos personales a una escala sin precedentes a lo largo de la década de 2000 y principios de la de 2010.
De la Propuesta a la Adopción
El Supervisor Europeo de Protección de Datos (SEPD) documentó que la Comisión Europea propuso por primera vez reemplazar la directiva con un reglamento en enero de 2012. Elegir un reglamento en lugar de una nueva directiva resolvió el problema del mosaico: un único conjunto de normas se aplicaría de manera uniforme en todos los Estados miembros.
Las negociaciones entre el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión se prolongaron durante cuatro años e implicaron más de 3000 enmiendas parlamentarias. El Consejo adoptó su posición el 8 de abril de 2016. El Parlamento Europeo aprobó el texto final el 14 de abril de 2016. El reglamento se publicó en el Diario Oficial el 4 de mayo de 2016, con el 25 de mayo de 2018 fijado como fecha de aplicación, dando a las organizaciones dos años para prepararse.
Evolución Posterior a la Aplicación
El RGPD no congeló el derecho de protección de datos en 2018. El Comité Europeo de Protección de Datos (CEPD) ha publicado docenas de directrices que interpretan disposiciones específicas. Los tribunales de toda Europa han dictado sentencias históricas sobre el consentimiento, el interés legítimo y las transferencias internacionales de datos. Las multas acumuladas del RGPD superaron los 7100 millones de euros a principios de 2026, con aproximadamente 1150 millones de euros impuestos solo en 2025.
Abril de 2026 marcó diez años desde la adopción del RGPD en abril de 2016. El CEPD señaló que el reglamento había establecido el primer marco integral de protección de datos que abarca todo un continente y había influido directamente en la legislación de privacidad de más de 150 países.
Ámbito Territorial: ¿Quién Debe Cumplir? (Artículo 3)
El artículo 3 del RGPD es inusualmente amplio para una ley nacional o regional. Establece dos criterios principales de aplicabilidad.
El Criterio de Establecimiento (Artículo 3(1))
El RGPD se aplica a cualquier responsable o encargado que trate datos personales "en el contexto de las actividades de un establecimiento" en la UE. El establecimiento no requiere constitución formal; una sucursal, filial o acuerdo estable de cualquier tipo califica.
Fundamentalmente, el tratamiento no necesita ocurrir en suelo de la UE. Una empresa con sede en Berlín que trata datos de clientes en servidores en Estados Unidos sigue estando sujeta al RGPD porque el tratamiento ocurre en el contexto de su establecimiento en la UE.
El Criterio de Dirección (Artículo 3(2))
Las organizaciones sin establecimiento en la UE aún deben cumplir si:
- Ofrecen bienes o servicios a personas en la UE, se exija o no un pago; o
- Controlan el comportamiento de personas ubicadas en la UE, incluso mediante analítica de sitios web, publicidad conductual, seguimiento de ubicación y elaboración de perfiles basada en cookies.
Las Directrices 3/2018 del CEPD sobre el ámbito territorial aclaran que el mero hecho de que un sitio web sea accesible desde la UE no es suficiente. Debe haber evidencia de intención de dirigirse a residentes de la UE: aceptar euros, ofrecer contenido en idiomas de la UE, o hacer referencia expresa a clientes de la UE son todos indicadores.
El Requisito del Representante en la UE (Artículo 27)
Las organizaciones ajenas a la UE sujetas al RGPD en virtud del criterio de dirección deben designar por escrito un representante dentro de la UE. Este representante actúa como punto de contacto para las autoridades de control y los interesados.

Los Siete Principios de Protección de Datos (Artículo 5)
El artículo 5 del RGPD establece siete principios que se aplican a toda actividad de tratamiento. Infringirlos activa el nivel superior de multas (hasta 20 millones de euros o el 4% de la facturación global). El principio de responsabilidad proactiva del artículo 5(2) traslada la carga de la prueba a la organización para demostrar el cumplimiento de los siete.
1. Licitud, Lealtad y Transparencia
El tratamiento debe tener una base jurídica válida conforme al artículo 6. Debe llevarse a cabo de maneras que las personas razonablemente esperarían y sin causar un perjuicio injustificado. Las organizaciones deben informar claramente a las personas sobre lo que ocurre con sus datos mediante avisos de privacidad accesibles.
2. Limitación de la Finalidad
Los datos personales solo pueden recopilarse para fines determinados, explícitos y legítimos, y no pueden tratarse posteriormente de manera incompatible con esos fines originales. Recopilar direcciones de correo electrónico para confirmaciones de pedido y luego usarlas para marketing sin una base jurídica separada infringe este principio. Existen excepciones limitadas para el archivo, la investigación científica y los fines estadísticos.
3. Minimización de Datos
Solo pueden tratarse los datos personales que sean adecuados, pertinentes y limitados a lo estrictamente necesario para la finalidad declarada. Las organizaciones no deberían recopilar datos "por si acaso" resultan útiles más adelante.
4. Exactitud
Los datos personales deben ser exactos y estar actualizados. Las organizaciones deben tomar todas las medidas razonables para eliminar o corregir sin demora los datos inexactos. La orientación de la ICO sobre los principios de protección de datos señala que la exactitud significa que los datos no deben ser engañosos en su contexto, no meramente correctos técnicamente.
5. Limitación del Plazo de Conservación
Los datos deben conservarse de forma que permita identificar a los interesados solo durante el tiempo necesario para la finalidad del tratamiento. Una vez cumplida la finalidad, la organización debe eliminar o anonimizar los datos. Los calendarios de conservación deben documentarse; el almacenamiento indefinido no está permitido.
6. Integridad y Confidencialidad (Seguridad)
Los datos personales deben tratarse con medidas técnicas y organizativas apropiadas para protegerlos contra el acceso no autorizado, la pérdida accidental, la destrucción o el daño. Este principio sustenta las obligaciones de notificación de violaciones de seguridad de los artículos 33 y 34.
7. Responsabilidad Proactiva
El responsable es responsable de, y debe poder demostrar, el cumplimiento de los seis principios anteriores. Se trata de una obligación activa: mantener registros de las actividades de tratamiento, realizar evaluaciones de impacto relativas a la protección de datos cuando se requiera, designar un Delegado de Protección de Datos cuando sea obligatorio, y poner a disposición de las autoridades de control la evidencia de cumplimiento.
Definiciones Clave (Artículo 4)
El artículo 4 del RGPD contiene 26 definiciones. Las seis que aparecen en todo análisis de cumplimiento son:
Datos Personales
Toda información sobre una persona física identificada o identificable (el "interesado"). La definición es intencionalmente amplia y neutral en cuanto a tecnología. Cubre nombres, direcciones de correo electrónico, números de teléfono, direcciones IP, identificadores de cookies, datos de ubicación, datos genéticos, datos biométricos, fotografías, y cualquier combinación de datos que pueda identificar directa o indirectamente a alguien.
La Comisión Europea subraya que el RGPD se aplica sin importar si los datos se almacenan digitalmente, en papel, o se captan mediante videovigilancia.
Tratamiento
El "tratamiento" cubre prácticamente cualquier operación realizada sobre datos personales: recopilación, registro, organización, estructuración, conservación, adaptación, extracción, uso, comunicación, combinación, limitación, supresión o destrucción. La definición es deliberadamente expansiva; si usted maneja datos personales de cualquier forma, los está tratando.
Responsable del Tratamiento
El responsable del tratamiento es la persona física o jurídica, autoridad pública, agencia u otro organismo que determina los fines y medios del tratamiento. Los responsables deciden por qué se recopilan los datos y cómo se usarán. Asumen la responsabilidad principal de cumplimiento del RGPD.
Encargado del Tratamiento
Un encargado del tratamiento trata datos personales en nombre de, y siguiendo las instrucciones de, un responsable. Una empresa de alojamiento en la nube que almacena la base de datos de clientes de un minorista actúa como encargada. Los encargados deben seguir las instrucciones del responsable, implementar medidas de seguridad apropiadas y celebrar un contrato de encargo de tratamiento por escrito conforme al artículo 28. Las Directrices 07/2020 del CEPD proporcionan orientación detallada para determinar las funciones.
Interesado
La persona física cuyos datos personales se están tratando. Los interesados son los titulares de derechos conforme al capítulo III del RGPD.
Categorías Especiales de Datos Personales
El artículo 9 identifica categorías de datos especialmente sensibles que merecen protección adicional: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos usados para identificación única, datos de salud, y datos sobre la vida sexual o la orientación sexual. El tratamiento de estas categorías está prohibido por defecto; solo las excepciones específicas enumeradas en el artículo 9(2) lo permiten.
Las Seis Bases Jurídicas para el Tratamiento (Artículo 6)
Todo acto de tratamiento debe apoyarse en una de las seis bases jurídicas establecidas en el artículo 6. Los responsables deben identificar y documentar la base aplicable antes de que comience el tratamiento. Las bases no pueden cambiarse después del hecho.
| Base Jurídica | Cuándo se Aplica | Ejemplo Típico |
|---|---|---|
| Consentimiento | El interesado otorga una indicación de acuerdo libre, específica, informada e inequívoca | Suscripción a un boletín con una casilla de aceptación explícita |
| Necesidad Contractual | El tratamiento es necesario para ejecutar un contrato con el interesado, o para tomar medidas precontractuales a su solicitud | Usar una dirección de envío para completar un pedido en línea |
| Obligación Legal | El tratamiento se exige para cumplir una obligación legal conforme al derecho de la UE o de un Estado miembro | Conservar registros de nómina con fines fiscales |
| Intereses Vitales | El tratamiento es necesario para proteger la vida del interesado o de otra persona | Compartir datos médicos en una emergencia |
| Interés Público / Autoridad Oficial | El tratamiento es necesario para una tarea realizada en interés público o en el ejercicio de poderes públicos | Vigilancia de salud pública por parte de una agencia gubernamental |
| Interés Legítimo | El tratamiento es necesario para los intereses legítimos del responsable (o de un tercero), que no son anulados por los intereses del interesado ni sus derechos fundamentales | Prevención del fraude, seguridad de la red, marketing directo (con cautela) |
El consentimiento se identifica erróneamente a menudo como la base predeterminada. Las Directrices 1/2024 del CEPD sobre el interés legítimo aclaran que el interés legítimo requiere una prueba de ponderación y no puede usarse para tratamiento que claramente prevalezca sobre los derechos individuales.
Para una orientación detallada sobre cuándo se necesita el consentimiento y qué lo hace válido, consulte nuestra guía Requisitos de Consentimiento del RGPD.
Derechos de los Interesados: Una Visión General (Capítulo III)
El capítulo III del RGPD otorga ocho categorías de derechos a los interesados. Los responsables deben responder a las solicitudes de derechos sin dilación indebida y en el plazo de un mes (ampliable en dos meses más para solicitudes complejas). Las respuestas deben ser gratuitas.
| Derecho | Artículo | Qué Significa |
|---|---|---|
| Derecho a ser informado | Arts. 13, 14 | Recibir información clara sobre el tratamiento mediante avisos de privacidad |
| Derecho de acceso | Art. 15 | Obtener confirmación del tratamiento y una copia de los datos personales conservados |
| Derecho de rectificación | Art. 16 | Que se corrijan los datos inexactos o incompletos |
| Derecho de supresión ("derecho al olvido") | Art. 17 | Que se eliminen los datos cuando ya no sean necesarios, se retire el consentimiento, o el tratamiento haya sido ilícito |
| Derecho a la limitación | Art. 18 | Limitar el tratamiento en circunstancias definidas mientras se resuelve una disputa |
| Derecho a la portabilidad de los datos | Art. 20 | Recibir los datos personales en un formato estructurado y de uso común y legible mecánicamente, y transferirlos a otro responsable |
| Derecho de oposición | Art. 21 | Oponerse al tratamiento basado en intereses legítimos o marketing directo |
| Derechos relacionados con la toma de decisiones automatizada | Art. 22 | No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos o similares |
Ninguno de estos derechos es absoluto. El RGPD establece motivos específicos por los cuales los responsables pueden rechazar o limitar las solicitudes. Para un tratamiento completo de cada derecho y cómo deben responder las organizaciones, consulte nuestra guía Derechos de los Interesados en el RGPD.
Aplicación: Cómo se Vigila el RGPD

Autoridades Nacionales de Control (Autoridades de Protección de Datos)
Cada Estado miembro de la UE cuenta con al menos una Autoridad de Protección de Datos independiente. Las autoridades de control tienen tres categorías de facultades conforme al artículo 58:
- Facultades de investigación: auditorías, acceso a instalaciones, ordenar que se proporcione información y realizar auditorías de protección de datos.
- Facultades correctivas: advertencias, apercibimientos, órdenes de cumplimiento, prohibiciones temporales o permanentes del tratamiento y multas administrativas.
- Facultades de autorización y consulta: aprobar normas corporativas vinculantes, emitir dictámenes, autorizar cláusulas contractuales tipo.
Entre las autoridades de control más conocidas se encuentran la Comisión de Protección de Datos de Irlanda (DPC), la CNIL de Francia, los múltiples Landesbeauftragten de Alemania, el Garante de Italia y la AEPD de España.
El Comité Europeo de Protección de Datos (CEPD)
El CEPD es el organismo independiente de la UE compuesto por todas las autoridades de control nacionales y el Supervisor Europeo de Protección de Datos. Reemplazó al Grupo de Trabajo del Artículo 29 cuando el RGPD entró en vigor. El CEPD emite decisiones vinculantes en disputas transfronterizas, publica directrices interpretativas y coordina la aplicación entre los Estados miembros.
El Mecanismo de Ventanilla Única
Para las organizaciones que operan en varios Estados miembros de la UE, el mecanismo de ventanilla única del RGPD designa una única "autoridad de control principal": normalmente la autoridad de protección de datos del Estado miembro donde se encuentra el establecimiento principal de la organización en la UE. Otras autoridades de control "interesadas" pueden plantear objeciones a los proyectos de decisión, y las disputas no resueltas se escalan al CEPD para una decisión vinculante.
La DPC de Irlanda se ha convertido en la autoridad de control dominante por valor monetario porque tantas grandes empresas tecnológicas (Meta, Google, Apple, TikTok, LinkedIn, X) tienen su sede europea en Dublín.
Sanciones (Artículos 83 y 84)
El RGPD establece dos niveles de multas administrativas:
Nivel inferior (artículo 83(4)): hasta 10 millones de euros o el 2% de la facturación anual global, lo que sea mayor. Se aplica a las infracciones de las obligaciones del responsable y del encargado conforme a los artículos 8, 11, 25-39, 42 y 43 (incluidos los requisitos de DPD, la protección de datos desde el diseño y la notificación de violaciones de seguridad).
Nivel superior (artículo 83(5)): hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. Se aplica a las infracciones de los principios básicos (artículo 5), las bases jurídicas (artículo 6), las condiciones de consentimiento (artículo 7), las normas sobre categorías especiales (artículo 9), los derechos de los interesados (capítulo III), y las normas de transferencia internacional (capítulo V).
Los Estados miembros también pueden imponer sanciones adicionales conforme al artículo 84, incluidas sanciones penales.
Ejemplos notables de aplicación:
- La DPC de Irlanda multó a TikTok con 530 millones de euros en 2025 por transferencias ilícitas de datos de usuarios de la UE a China.
- La DPC de Irlanda multó a Meta con 1200 millones de euros en 2023 por transferencias de datos ilícitas a Estados Unidos mediante cláusulas contractuales tipo.
- La DPC de Irlanda multó a Meta con 251 millones de euros en diciembre de 2024 por fallos en la notificación de violaciones de seguridad y la seguridad de los datos relacionados con la vulnerabilidad "Ver Como" de 2018.
- LinkedIn fue multado con 310 millones de euros en 2024 por usar publicidad conductual sin una base jurídica válida.
Las multas acumuladas del RGPD superaron los 7100 millones de euros a principios de 2026. Para el desglose completo de cómo se calculan las multas y la lista completa de las principales acciones sancionadoras, consulte nuestra guía Multas y Sanciones del RGPD.
El RGPD y las Leyes Nacionales de Implementación
A pesar de ser un reglamento de aplicación directa, el RGPD incluye más de 50 cláusulas de apertura que permiten o exigen a los Estados miembros añadir, restringir o adaptar disposiciones específicas conforme al derecho nacional. El resultado es que el cumplimiento del RGPD en Alemania no es idéntico al cumplimiento del RGPD en Francia o Irlanda.
Las áreas comunes de variación nacional incluyen:
Edad de consentimiento para los datos de menores. El artículo 8 fija el valor predeterminado en 16 años pero permite a los Estados miembros reducirlo hasta un mínimo de 13. El Reino Unido (que aplicaba el RGPD antes del brexit) lo fijó en 13.
Categorías especiales de datos. El artículo 9(4) permite a los Estados miembros imponer condiciones adicionales al tratamiento de datos de salud, datos genéticos y datos biométricos para fines de identificación.
Datos laborales. El artículo 88 permite a los Estados miembros adoptar normas específicas para los datos de los empleados, incluidas la selección previa al empleo y el control en el lugar de trabajo.
Libertad de expresión y periodismo. El artículo 85 exige a los Estados miembros conciliar la protección de datos con la libertad de expresión, incluso para fines periodísticos, académicos y artísticos.
Datos de condenas penales. El artículo 10 deja a discreción de los Estados miembros las condiciones bajo las cuales los registros de infracciones penales pueden ser tratados por particulares.
Las organizaciones que operan en varios Estados miembros deben verificar no solo el RGPD en sí, sino también la ley de implementación nacional aplicable en cada Estado relevante.
Avances Recientes: 2024 a 2026
Reglamento Procedimental del RGPD (Reglamento (UE) 2025/2518)
Una crítica persistente al RGPD era que los casos de aplicación transfronteriza tardaban demasiado. El mecanismo de ventanilla única exigía una cooperación extensa entre la autoridad principal y las autoridades interesadas, y no existían plazos vinculantes.
La UE abordó esto con el Reglamento (UE) 2025/2518, el Reglamento Procedimental del RGPD. Publicado en el Diario Oficial el 12 de diciembre de 2025, entró en vigor el 1 de enero de 2026, y se aplicará a partir del 2 de abril de 2027 (con normas transitorias que protegen las investigaciones en curso).
Cambios clave:
- Plazo vinculante de 15 meses para las investigaciones de la autoridad principal, ampliable en 12 meses para casos complejos.
- Procedimientos estandarizados para los reclamantes y las partes investigadas.
- Mayores obligaciones de transparencia sobre los plazos de aplicación.
- Derechos de participación aclarados para los reclamantes durante el proceso de aplicación.
Este reglamento no altera las obligaciones sustantivas del RGPD; regula cómo coordinan las autoridades de control y qué derechos procedimentales tienen las partes.
La Propuesta del Ómnibus Digital (Noviembre de 2025)
El 19 de noviembre de 2025, la Comisión Europea adoptó un amplio paquete Ómnibus Digital que propone modificaciones a múltiples leyes digitales de la UE, incluidos el RGPD, la Ley de Datos, la Directiva de Privacidad Electrónica, la NIS 2 y otras. A fecha de mayo de 2026, el Ómnibus Digital es solo una propuesta legislativa; no ha sido promulgado y está sometido al procedimiento colegislativo estándar de la UE que involucra al Parlamento Europeo y al Consejo.
Las modificaciones clave propuestas al RGPD incluyen:
- Restringir la obligación de mantenimiento de registros conforme al artículo 30 para organizaciones con menos de 750 empleados, salvo que el tratamiento suponga un alto riesgo.
- Modificar los artículos 13, 14 y 15 para introducir límites al alcance de los derechos de información en circunstancias definidas.
- Ajustar la norma de limitación de la finalidad del artículo 5(1)(b).
- Introducir un "punto de entrada único" para las notificaciones de violaciones de seguridad de datos conforme a un nuevo artículo 33 bis.
- Refinar el artículo 22 sobre la toma de decisiones automatizada.
El CEPD y el SEPD emitieron un dictamen conjunto a principios de 2026 que apoya ciertos elementos de simplificación pero plantea serias preocupaciones sobre los cambios propuestos a la definición de datos personales, que a su juicio iban más allá de la jurisprudencia establecida del TJUE y restringirían significativamente el concepto. El texto actual del RGPD sigue vigente hasta que las modificaciones completen el proceso legislativo y se publiquen formalmente.
La Ley de IA de la UE y el RGPD
La Ley de IA de la UE entró en aplicación conforme a un calendario escalonado de 2024 a 2026. El CEPD ha confirmado que el tratamiento de datos personales para desarrollar o desplegar sistemas de IA está sujeto a las obligaciones del RGPD, y el CEPD está trabajando con la Oficina de IA de la Comisión en directrices conjuntas sobre la interacción entre la Ley de IA y el RGPD, cuya adopción se espera en 2026. El principio central es sencillo: el cumplimiento de la Ley de IA no sustituye el cumplimiento del RGPD.
La Influencia Global del RGPD
Desde 2018, el RGPD ha influido en la legislación de privacidad de más de 150 países. La Lei Geral de Proteção de Dados (LGPD) de Brasil, la Ley de Protección de la Información Personal (APPI) modificada de Japón, la Ley de Protección de la Información Personal (PIPA) de Corea del Sur, y la Ley de Protección de Datos Personales Digitales de India de 2023 incorporan todas conceptos derivados del RGPD. La CCPA y la CPRA de California introdujeron derechos de los interesados al estilo del RGPD en el derecho de EE. UU.
El marco de adecuación de la Comisión Europea refuerza esta influencia: los países que buscan recibir datos personales libremente de la UE deben demostrar protecciones "esencialmente equivalentes" al RGPD, estableciendo efectivamente el cumplimiento del RGPD como un punto de referencia global.
Preguntas frecuentes
¿Qué significa RGPD?
RGPD significa Reglamento General de Protección de Datos. Es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptado el 14 de abril de 2016 y exigible desde el 25 de mayo de 2018. El reglamento estandariza el derecho de protección de datos en todos los Estados miembros de la UE y el Espacio Económico Europeo, reemplazando la Directiva de Protección de Datos de 1995.
¿Se aplica el RGPD fuera de Europa?
Sí. El artículo 3 otorga al RGPD un alcance extraterritorial. Cualquier organización en el mundo que ofrezca bienes o servicios a residentes de la UE, o que controle el comportamiento de residentes de la UE (por ejemplo, mediante analítica de sitios web, publicidad conductual o seguimiento), debe cumplir el RGPD sin importar dónde esté establecida. Una empresa en Estados Unidos, Canadá o Japón está sujeta al RGPD si trata datos personales de residentes de la UE en estos contextos.
¿Cuáles son los siete principios del RGPD?
Los siete principios conforme al artículo 5 son: (1) licitud, lealtad y transparencia; (2) limitación de la finalidad; (3) minimización de datos; (4) exactitud; (5) limitación del plazo de conservación; (6) integridad y confidencialidad (seguridad); y (7) responsabilidad proactiva. Estos principios se aplican a todo tratamiento de datos personales. El principio de responsabilidad proactiva traslada al responsable la carga de demostrar el cumplimiento de los otros seis.
¿Cuál es la diferencia entre un responsable del tratamiento y un encargado del tratamiento?
Un responsable decide los fines y medios del tratamiento de datos personales y asume la responsabilidad principal de cumplimiento del RGPD. Un encargado trata datos personales en nombre del responsable, siguiendo sus instrucciones. Por ejemplo, un minorista (responsable) que usa un proveedor de alojamiento en la nube (encargado) para almacenar datos de clientes. Los responsables y encargados deben celebrar un contrato de encargo de tratamiento por escrito conforme al artículo 28.
¿Cuáles son las seis bases jurídicas para el tratamiento?
El artículo 6 establece seis bases jurídicas: (1) el consentimiento del interesado; (2) la necesidad contractual; (3) el cumplimiento de una obligación legal; (4) la protección de intereses vitales; (5) el cumplimiento de una tarea de interés público o el ejercicio de poderes públicos; y (6) los intereses legítimos del responsable o de un tercero. Toda actividad de tratamiento debe justificarse conforme a una de estas bases antes de que comience el tratamiento.
¿Cuáles son las multas máximas del RGPD?
El nivel más alto de multas del RGPD es de 20 millones de euros o el 4% de la facturación anual mundial total del ejercicio financiero anterior, lo que sea mayor. Se aplica a las infracciones de los principios fundamentales, las bases jurídicas, los derechos de los interesados y las normas de transferencia internacional. Un nivel inferior de 10 millones de euros o el 2% se aplica a infracciones más procedimentales. La multa individual del RGPD más grande hasta la fecha es de 1200 millones de euros, impuesta a Meta por la DPC de Irlanda en 2023 por transferencias de datos ilícitas.
¿Qué es el Reglamento Procedimental del RGPD?
El Reglamento (UE) 2025/2518, conocido como el Reglamento Procedimental del RGPD, se publicó en diciembre de 2025 y entró en vigor el 1 de enero de 2026, con aplicación desde el 2 de abril de 2027. Introduce plazos vinculantes para los casos de aplicación transfronteriza (una ventana de investigación de 15 meses, ampliable en 12 meses), derechos procedimentales estandarizados para los reclamantes y las partes investigadas, y una mayor transparencia. No modifica las obligaciones sustantivas del propio RGPD.
¿Qué es el Ómnibus Digital de la UE y cómo afecta al RGPD?
El Ómnibus Digital es una propuesta legislativa adoptada por la Comisión Europea el 19 de noviembre de 2025 que modificaría múltiples leyes digitales de la UE, incluido el RGPD. A fecha de mayo de 2026 sigue en negociación colegislativa entre el Parlamento Europeo y el Consejo y no ha sido promulgada. Los cambios propuestos al RGPD incluyen restringir las obligaciones de mantenimiento de registros para organizaciones más pequeñas, modificar los derechos de información, ajustar las normas de notificación de violaciones de seguridad, y refinar las normas de toma de decisiones automatizada. El texto actual del RGPD sigue vigente hasta que las modificaciones se adopten y publiquen formalmente.
¿Cuándo entró en vigor el RGPD?
El RGPD fue adoptado el 14 de abril de 2016, publicado el 4 de mayo de 2016, y entró en aplicación el 25 de mayo de 2018, tras un período de transición de dos años. Reemplazó la Directiva de Protección de Datos de 1995 (Directiva 95/46/CE). El RGPD fue adoptado el 14 de abril de 2016 y se volvió aplicable el 25 de mayo de 2018. El 25 de mayo de 2026 marcó el octavo aniversario de la aplicación del RGPD.
Fuentes y referencias
- Texto completo del RGPD — Reglamento (UE) 2016/679(eur-lex.europa.eu).gov
- Directiva 95/46/CE — Directiva de Protección de Datos de 1995(eur-lex.europa.eu).gov
- Texto Consolidado del RGPD (EUR-Lex)(eur-lex.europa.eu).gov
- Comité Europeo de Protección de Datos (CEPD)(edpb.europa.eu).gov
- Directrices 3/2018 del CEPD sobre el Ámbito Territorial (Artículo 3)(edpb.europa.eu).gov
- CEPD — Principios del Artículo 5(edpb.europa.eu).gov
- Directrices 1/2024 del CEPD sobre el Interés Legítimo (Artículo 6(1)(f))(edpb.europa.eu).gov
- Directrices 07/2020 del CEPD — Responsable y Encargado del Tratamiento(edpb.europa.eu).gov
- Guía del CEPD para PYME — Responsable del Tratamiento vs. Encargado del Tratamiento(edpb.europa.eu).gov
- Guía del CEPD para PYME — Respeto de los Derechos Individuales(edpb.europa.eu).gov
- Dictamen Conjunto del CEPD y el SEPD sobre el Ómnibus Digital (2026)(edpb.europa.eu).gov
- CEPD — Diez Años del RGPD (2026)(edpb.europa.eu).gov
- SEPD — Historia del RGPD(edps.europa.eu).gov
- Comisión Europea — Principios del RGPD(commission.europa.eu).gov
- Comisión Europea — Responsable vs. Encargado del Tratamiento(commission.europa.eu).gov
- Comisión Europea — La Protección de Datos Explicada(commission.europa.eu).gov
- Comisión Europea — Decisiones de Adecuación(commission.europa.eu).gov
- Comisión Europea — La Protección de Datos en la UE(commission.europa.eu).gov
- ICO — Guía de los Principios de Protección de Datos(ico.org.uk).gov
- Artículo 3 del RGPD — Ámbito Territorial(gdpr-info.eu)
- Artículo 5 del RGPD — Principios(gdpr-info.eu)
- Artículo 6 del RGPD — Licitud del Tratamiento(gdpr-info.eu)
- RGPD Capítulo 3 — Derechos del Interesado(gdpr-info.eu)