Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos (RGPD) de la UE regula cómo pueden tratarse y transferirse los datos personales de las personas físicas en la UE.
¿Qué es el RGPD?
El Reglamento general de protección de datos (RGPD) de la UE es la norma más estricta del mundo en materia de privacidad y seguridad.
Este Reglamento ha actualizado y modernizado los principios de la Directiva de protección de datos de 1995. Se adoptó en 2016 y se empezó a aplicar el 25 de mayo de 2018.
El RGPD define:
- los derechos fundamentales de las personas en la era digital;
- las obligaciones de los encargados del tratamiento de datos;
- los métodos para garantizar el cumplimiento;
- las sanciones para quienes infrinjan las normas.
Derechos de las personas
El RGPD enumera los derechos de los interesados, es decir, los derechos de las personas cuyos datos se someten a tratamiento. Estos derechos reforzados dan a las personas un mayor control sobre sus datos personales, en particular gracias a:
- la necesidad de un consentimiento claro de la persona respecto del tratamiento de sus datos personales;
- un acceso más fácil del interesado a sus datos personales;
- los derechos de rectificación, supresión y «al olvido»;
- el derecho de oponerse incluso al uso de datos personales a efectos de elaboración de perfiles;
- el derecho a la portabilidad de los datos de un proveedor de servicios a otro.
El Reglamento de protección de datos describe los derechos de las personas en este ámbito y establece las obligaciones de quienes tratan los datos y de los responsables de dicho tratamiento.
Obligaciones de las empresas y las organizaciones
El RGPD establece las obligaciones generales de los responsables de los datos y de quienes los tratan en su nombre (encargados del tratamiento).
Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen.
En determinados casos, los responsables del tratamiento también están obligados a notificar las violaciones de la seguridad de los datos personales. Todas las autoridades públicas y las empresas que lleven a cabo determinadas operaciones arriesgadas de tratamiento de datos deberán también nombrar un delegado de protección de datos.
Aplicación de las normas de protección de datos
El Reglamento confirma la actual obligación de los Estados miembros de establecer una autoridad de control independiente a nivel nacional y establece un mecanismo para garantizar la coherencia de la aplicación de la legislación en materia de protección de datos en toda la UE.
El RGPD establece que se adopte una única decisión de supervisión en los casos transfronterizos en los que participen varias autoridades de control nacionales. Este principio, conocido como mecanismo de ventanilla única, significa que una empresa con filiales en varios Estados miembros solo tendrá que tratar con la autoridad de protección de datos del Estado miembro de su establecimiento principal.
El Comité Europeo de Protección de Datos se asegura de que el RGPD se aplique plena y coherentemente. Este Comité está compuesto por representantes de las veintisiete autoridades de control independientes.
El 17 de noviembre de 2025, el Consejo adoptó un acto legislativo de la UE, que debe entrar en vigor en 2026. La norma hace la cooperación entre las autoridades nacionales de protección de datos sea rápida y eficiente a la hora de tramitar las reclamaciones transfronterizas en virtud del RGPD que afectan a varios países de la UE. Las normas simplifican los procedimientos administrativos y tienen por objeto garantizar:
- la celeridad en la tramitación de las denuncias transfronterizas y la mejora de la cooperación;
- la investigación de los derechos de los denunciantes y de las partes.
El RGPD dispone sanciones severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos. Los responsables del tratamiento podrían ser multados con hasta 20 millones de euros o el 4 % de su volumen de negocios total anual.
Además, los particulares pueden presentar una reclamación ante una autoridad de control y tienen derecho a la tutela judicial efectiva y a una indemnización. Tienen derecho a que la decisión de su autoridad de protección de datos sea revisada por su órgano jurisdiccional nacional, independientemente del Estado miembro en el que esté establecido el responsable del tratamiento de que se trate.
- Comité Europeo de Protección de Datos
- El Consejo adopta un nuevo acto jurídico de la UE para acelerar la tramitación de las reclamaciones transfronterizas relativas a la protección de datos (comunicado de prensa, 17.11.2025)
- Protección de datos: el Consejo acuerda su posición sobre las normas de ejecución del Reglamento General de Protección de Datos (comunicado de prensa, 13.6.2024)
Transferencias a terceros países
El RGPD también abarca la transferencia de datos personales a países no pertenecientes a la UE o a organizaciones internacionales. La Comisión Europea se encarga de evaluar el nivel de protección que ofrece un territorio o un sector de tratamiento en un país no perteneciente a la UE.
Cuando la Comisión no haya adoptado una decisión de adecuación sobre la protección en un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos específicos o cuando existan las garantías adecuadas.
Véase también
Protección de datos en la UE
Protección de datos en el ámbito policial y judicial
Última revisión: 22 de mayo de 2026