¿Cuál es la diferencia concreta entre RGPD, CCPA y LGPD en 2026?

Tres marcos jurídicos de la misma familia pero con perímetros distintos. **RGPD** (Reglamento General de Protección de Datos, aplicable desde mayo 2018): 27 países UE + 3 EEE, ~450 millones de habitantes, consentimiento explícito previo obligatorio, derechos extensos (acceso, rectificación, supresión, portabilidad, oposición), multas hasta el 4% del CA mundial. **CCPA/CPRA** (California Consumer Privacy Act reforzada por CPRA en 2023): ~40 millones de residentes californianos, modelo opt-out (por defecto autorizado salvo rechazo usuario), derecho a saber, suprimir, rechazar venta, corregir. **LGPD** (Lei Geral de Proteção de Dados, aplicable desde agosto 2020): 215 millones de brasileños, calcada del RGPD con consentimiento opt-in, derechos equivalentes, multas hasta el 2% del CA local con techo 50 M BRL. En 2026, el RGPD sigue siendo el estándar de referencia mundial — ~80% de las nuevas leyes de protección adoptadas desde 2020 (India DPDPA 2023, Australia revisión 2024, Japón APPI 2022) se inspiran directamente en él.

¿Cómo ejercer mi derecho de acceso RGPD concretamente?

Procedimiento estructurado en 4 pasos. (1) **Identificar al responsable de tratamiento**: la sociedad que decide por qué y cómo se tratan tus datos (Meta para Facebook/Instagram, Google para Gmail/YouTube, Amazon para amazon.es). Su DPO (Data Protection Officer) es localizable por mail dedicado: `dpd@meta.com`, `data-protection-office@google.com`, `eu-privacy@amazon.es` notablemente. (2) **Enviar una solicitud escrita** precisando: tu identidad (copia documento de identidad aceptada pero con límites estrictos al estricto mínimo), naturaleza de la solicitud (acceso completo, fragmento específico), formato deseado (JSON, PDF, CSV). Modelo AEPD descargable en aepd.es. (3) **Plazo legal**: 1 mes, prorrogable 2 meses en caso de complejidad justificada. Más allá, denuncia AEPD directa vía [aepd.es](https://www.aepd.es/). (4) **Recepción**: recibes típicamente un export JSON voluminoso (Meta: 200-2000 archivos según antigüedad de la cuenta) cubriendo historial de posts, mensajes, conexiones, geolocalización, modelos publicitarios inferidos. Multas récord 2024: Meta condenada 1.200 millones € por DPC irlandesa por transferencias US insuficientemente protegidas.

¿La CCPA se aplica a mí si estoy en Europa?

No directamente. La CCPA protege a los residentes californianos definidos como personas físicas residiendo en California cualquiera que sea su nacionalidad — así que un español de viaje a Los Ángeles está temporalmente cubierto por CCPA para sus interacciones con empresas CCPA-elegibles (CA > 25 M$ USD, tratamiento de > 100k consumidores/año, o > 50% de CA generado por venta de datos). Inversamente, un residente permanente californiano viajando en Europa sigue cubierto por CCPA para sus intercambios con empresas CA-reguladas incluso vía VPN. El punto crítico: la **localización de residencia** prima, no la geolocalización IP temporal. Muchos sitios US muestran un banner «Do Not Sell My Personal Information» solo a las IP US — usar una VPN US permite acceder a esas opciones incluso desde Europa. Pero jurídicamente, los derechos CCPA solo se aplican a residentes CA — es un uso informacional, no un derecho ejercible.

¿Qué protección RGPD para mis datos que pasan por una VPN?

Excelente pregunta raramente planteada. Cuando usas una VPN no-log, **la VPN se vuelve potencialmente responsable de tratamiento** en el sentido del RGPD para los datos mínimos conservados (cuenta cliente, mail facturación, pago). NordVPN (sede Panamá, estructura UE vía Lituania) aplica el RGPD íntegramente a los clientes UE desde 2018 — su DPO es `dpo@nordvpn.com` y puedes ejercer tus derechos de acceso, rectificación, supresión como para Meta. **Política no-log auditada** significa que ningún log de conexión (IP origen, sitios visitados, duración sesión) se conserva — no hay por tanto *nada que exportar* sobre tu actividad real. Solo puedes ejercer tus derechos sobre los datos de facturación y cuenta. Auditoría independiente Deloitte 2025 confirma esta política en NordVPN; PwC 2024 en ExpressVPN; Cure53 2024 en Mullvad. Para asegurarte del respeto: verificar el informe de transparencia anual publicado en el sitio de la VPN.

¿Qué hacer si una empresa ignora mi solicitud RGPD?

Procedimiento de escalado estructurado. (1) **Primer recordatorio escrito** al DPO de la empresa con mención explícita del plazo de un mes superado y amenaza de denuncia AEPD si no responde en 15 días. Adjuntar el historial de intercambios. (2) **Denuncia AEPD en línea** vía [aepd.es](https://www.aepd.es/) — formulario estructurado, instrucción en 6-12 meses de media. La AEPD puede emitir requerimiento, sanción financiera hasta el 4% CA mundial, o inyunción pública. (3) **Acción judicial civil**: recurso individual ante el juzgado de primera instancia con solicitud de daños y perjuicios. El artículo 82 RGPD prevé derecho a reparación del perjuicio moral y material. Precedentes 2024-2025: 500 € a 5000 € de media por ignorancia completa de una solicitud de supresión. (4) **Acción colectiva**: asociación de defensa (Facua, OCU, NOYB de Max Schrems) puede actuar en class action europea. NOYB ha obtenido 250 M € acumulados desde 2020 contra Meta, Google, Amazon.

¿Las multas RGPD récord en 2024-2026 tienen impacto real?

Sí, pero retardado y desigual. Récords 2023-2025 acumulados: 5,9 mil millones € de sanciones RGPD pronunciadas en 5 años (2018-2023 según enforcementtracker.com). Top 3: Meta 1,2 Md € (mayo 2023, DPC irlandesa, transferencias US ilegales), Amazon 746 M € (julio 2021, CNPD luxemburguesa, segmentación publicitaria no consentida), TikTok 345 M € (septiembre 2023, DPC irlandesa, tratamiento datos de menores). Impacto observable: Meta re-arquitectó su tratamiento UE (Data Center Irlanda exclusivo post-2023), Amazon reforzó su consentimiento publicitario UE. **Límites**: apelaciones en curso retardan la ejecución (Meta obtuvo suspensión parcial en 2024), montos representan < 0,5% del CA anual de las GAFAM, y el ecosistema ad-tech sigue mayoritariamente no conforme pese a 6 años de RGPD (estudio CNIL enero 2026: 73% de los sitios franceses todavía no conformes en consentimiento publicitario). El RGPD es un avance fundamental pero no una victoria acabada.

¿Existe un equivalente RGPD en Suiza, UK, Canadá?

Sí, con matices. **Suiza**: nLPD (nueva Ley de Protección de Datos, aplicable desde septiembre 2023) — calcada del RGPD con algunas flexibilidades (no DPO obligatorio sistemático, sanciones limitadas a 250k CHF). Reconocimiento de adecuación por UE desde 2000, confirmada 2024. **Reino Unido**: UK GDPR + DPA 2018 — casi idéntico al RGPD post-Brexit, ICO (Information Commissioner's Office) regulador independiente. Adecuación UE hasta 2025, renovación en curso. **Canadá**: LPRPDE (Ley de Protección de Información Personal y Documentos Electrónicos) federal + LCAP en Quebec + proyecto C-27 (Ley 25 Quebec 2024) que alinea progresivamente Quebec con RGPD. Adecuación UE existente para LPRPDE. A destacar: los EE.UU. **no** tienen ley federal equivalente — solo leyes sectoriales (HIPAA salud, FERPA educación, GLBA finanzas) y leyes Estados (CCPA California, VCDPA Virginia, CPA Colorado, CTDPA Connecticut desde 2023).

¿Cómo saber si un sitio respeta verdaderamente el RGPD?

Siete señales objetivas a verificar. (1) **Banner de cookies conforme**: rechazo tan simple como aceptación (CNIL enero 2025 sancionó Yahoo 10 M € en este punto). Sin «aceptar todo» por defecto, sin botón de rechazo oculto a 3 clics. (2) **Política de privacidad clara**: longitud razonable (< 5000 palabras), lista exhaustiva de cookies de terceros y su finalidad, duraciones de conservación explícitas por tipo de dato. (3) **DPO mencionado**: dirección mail dedicada (`dpo@`, `data-protection@`), no un formulario genérico. (4) **Terceros explícitamente listados**: Meta Pixel, Google Analytics, Hotjar, etc. deben ser nombrados con su finalidad. (5) **Botón reinicializar preferencias** accesible en todo momento, no solo en la primera visita. (6) **Geolocalización UE detectada**: aplicar efectivamente el RGPD, no un banner US por defecto. (7) **Compatibilidad Schrems II**: transferencias hacia US enmarcadas vía Standard Contractual Clauses + Data Privacy Framework UE-US (julio 2023). Sitios que fallan en 2+ criterios: no conformes.

¿El RGPD prohíbe realmente el rastreo publicitario en 2026?

No — lo enmarca pero no lo prohíbe. El rastreo publicitario (cookies de terceros, fingerprinting, ID publicitario móvil) sigue siendo legal bajo RGPD bajo tres condiciones acumulativas: (1) **consentimiento previo explícito** del usuario (opt-in activo, sin pre-marcado), (2) **información transparente** sobre las finalidades y terceros involucrados, (3) **posibilidad de retirada** tan simple como el consentimiento. La realidad 2026: ~70% de los sitios UE recogen cookies de terceros sin consentimiento válido (estudio CNIL enero 2026), muchos usan dark patterns (botón «aceptar» coloreado vs «rechazar» en gris). Para realmente escapar del rastreo: (a) bloquear las cookies de terceros nativamente (Firefox desde 2019, Safari desde 2017 vía ITP, Chrome ha anunciado Privacy Sandbox progresivo), (b) usar un navegador privacy estricto (Brave, LibreWolf), (c) combinar con VPN no-log + DoH para neutralizar el tracking IP + DNS. El RGPD da el marco, la ejecución depende del usuario.

¿Cuáles son mis derechos CCPA exactos como residente californiano?

Siete derechos codificados en el CPRA (entrado en vigor enero 2023, reforzando el CCPA inicial 2018). (1) **Right to Know**: solicitar las categorías y elementos específicos de datos personales recogidos sobre ti (equivalente al derecho de acceso RGPD), respuesta en 45 días, prorrogable 45 días. (2) **Right to Delete**: solicitar la supresión de tus datos, salvo excepciones legales (obligaciones legales, transacciones en curso, seguridad). (3) **Right to Correct**: exigir la corrección de información inexacta. (4) **Right to Opt-Out of Sale**: rechazar la venta de tus datos a terceros — botón «Do Not Sell or Share My Personal Information» obligatorio en pie de página. (5) **Right to Opt-Out of Sharing for Cross-Context Behavioral Advertising**: rechazar el compartir con fines publicitarios comportamentales (nuevo CPRA 2023). (6) **Right to Limit Use of Sensitive Personal Information**: limitar el uso de datos sensibles (salud, finanzas, geolocalización precisa, contenido comunicaciones). (7) **Right to Non-Discrimination**: ningún desventaja si ejerces tus derechos — sin precio diferente, sin servicio degradado. Ejecución vía formulario empresa (típicamente página `privacy@empresa.com`) o denuncia CPPA (California Privacy Protection Agency) si rechazo.

Leyes de privacidad 2026: RGPD, CCPA, LGPD — guía práctica de tus derechos

Q: ¿Existe un equivalente RGPD en Suiza, UK, Canadá?

Sí, con matices. **Suiza**: nLPD (nueva Ley de Protección de Datos, aplicable desde septiembre 2023) — calcada del RGPD con algunas flexibilidades (no DPO obligatorio sistemático, sanciones limitadas a 250k CHF). Reconocimiento de adecuación por UE desde 2000, confirmada 2024. **Reino Unido**: UK GDPR + DPA 2018 — casi idéntico al RGPD post-Brexit, ICO (Information Commissioner's Office) regulador independiente. Adecuación UE hasta 2025, renovación en curso. **Canadá**: LPRPDE (Ley de Protección de Información Personal y Documentos Electrónicos) federal + LCAP en Quebec + proyecto C-27 (Ley 25 Quebec 2024) que alinea progresivamente Quebec con RGPD. Adecuación UE existente para LPRPDE. A destacar: los EE.UU. **no** tienen ley federal equivalente — solo leyes sectoriales (HIPAA salud, FERPA educación, GLBA finanzas) y leyes Estados (CCPA California, VCDPA Virginia, CPA Colorado, CTDPA Connecticut desde 2023).

Q: ¿Cómo saber si un sitio respeta verdaderamente el RGPD?

Siete señales objetivas a verificar. (1) **Banner de cookies conforme**: rechazo tan simple como aceptación (CNIL enero 2025 sancionó Yahoo 10 M € en este punto). Sin «aceptar todo» por defecto, sin botón de rechazo oculto a 3 clics. (2) **Política de privacidad clara**: longitud razonable (< 5000 palabras), lista exhaustiva de cookies de terceros y su finalidad, duraciones de conservación explícitas por tipo de dato. (3) **DPO mencionado**: dirección mail dedicada (`dpo@`, `data-protection@`), no un formulario genérico. (4) **Terceros explícitamente listados**: Meta Pixel, Google Analytics, Hotjar, etc. deben ser nombrados con su finalidad. (5) **Botón reinicializar preferencias** accesible en todo momento, no solo en la primera visita. (6) **Geolocalización UE detectada**: aplicar efectivamente el RGPD, no un banner US por defecto. (7) **Compatibilidad Schrems II**: transferencias hacia US enmarcadas vía Standard Contractual Clauses + Data Privacy Framework UE-US (julio 2023). Sitios que fallan en 2+ criterios: no conformes.

Q: ¿El RGPD prohíbe realmente el rastreo publicitario en 2026?

No — lo enmarca pero no lo prohíbe. El rastreo publicitario (cookies de terceros, fingerprinting, ID publicitario móvil) sigue siendo legal bajo RGPD bajo tres condiciones acumulativas: (1) **consentimiento previo explícito** del usuario (opt-in activo, sin pre-marcado), (2) **información transparente** sobre las finalidades y terceros involucrados, (3) **posibilidad de retirada** tan simple como el consentimiento. La realidad 2026: ~70% de los sitios UE recogen cookies de terceros sin consentimiento válido (estudio CNIL enero 2026), muchos usan dark patterns (botón «aceptar» coloreado vs «rechazar» en gris). Para realmente escapar del rastreo: (a) bloquear las cookies de terceros nativamente (Firefox desde 2019, Safari desde 2017 vía ITP, Chrome ha anunciado Privacy Sandbox progresivo), (b) usar un navegador privacy estricto (Brave, LibreWolf), (c) combinar con VPN no-log + DoH para neutralizar el tracking IP + DNS. El RGPD da el marco, la ejecución depende del usuario.

Q: ¿Cuáles son mis derechos CCPA exactos como residente californiano?

Siete derechos codificados en el CPRA (entrado en vigor enero 2023, reforzando el CCPA inicial 2018). (1) **Right to Know**: solicitar las categorías y elementos específicos de datos personales recogidos sobre ti (equivalente al derecho de acceso RGPD), respuesta en 45 días, prorrogable 45 días. (2) **Right to Delete**: solicitar la supresión de tus datos, salvo excepciones legales (obligaciones legales, transacciones en curso, seguridad). (3) **Right to Correct**: exigir la corrección de información inexacta. (4) **Right to Opt-Out of Sale**: rechazar la venta de tus datos a terceros — botón «Do Not Sell or Share My Personal Information» obligatorio en pie de página. (5) **Right to Opt-Out of Sharing for Cross-Context Behavioral Advertising**: rechazar el compartir con fines publicitarios comportamentales (nuevo CPRA 2023). (6) **Right to Limit Use of Sensitive Personal Information**: limitar el uso de datos sensibles (salud, finanzas, geolocalización precisa, contenido comunicaciones). (7) **Right to Non-Discrimination**: ningún desventaja si ejerces tus derechos — sin precio diferente, sin servicio degradado. Ejecución vía formulario empresa (típicamente página `privacy@empresa.com`) o denuncia CPPA (California Privacy Protection Agency) si rechazo.

Tres leyes enmarcan el ecosistema de los datos personales en 2026 — el RGPD europeo (desde 2018), el CCPA/CPRA californiano (2018 reforzado 2023), y la LGPD brasileña (2020). Juntas, cubren ~700 millones de personas y estructuran el cumplimiento de los gigantes tech (Meta, Google, Amazon, Apple, Microsoft) en la mayoría del mundo occidental y latino. Entender qué derechos puedes ejercer, cómo ejercerlos concretamente, y qué hacer cuando una empresa los ignora — ése es el tema de esta guía práctica 2026.

RGPD UE — el estándar mundial en 2026

El Reglamento General de Protección de Datos (RGPD), aplicable desde el 25 de mayo de 2018, sigue siendo en 2026 la referencia mundial de protección de datos personales. Seis años después de su entrada en vigor, el ecosistema de cumplimiento ha madurado: DPO obligatorios en toda organización tratando > 250 empleados o tratando datos sensibles, registro de actividades de tratamiento estandarizado, análisis de impacto (PIA) integrados en los procesos de producto en la mayoría de las empresas tech UE.

Perímetro: 27 países UE + 3 países EEE (Noruega, Islandia, Liechtenstein), cubriendo ~450 millones de habitantes. El RGPD se aplica también a las empresas no-UE que apuntan a residentes UE (extraterritorialidad art. 3) — por eso Meta, Google, Amazon, Microsoft aplican el RGPD globalmente a sus usuarios europeos.

Seis derechos fundamentales consagrados por los artículos 15 a 22:

Derecho de acceso (art. 15): obtener una copia de todos los datos relativos a ti.
Derecho de rectificación (art. 16): corregir datos inexactos o incompletos.
Derecho al borrado / al olvido (art. 17): hacer suprimir los datos cuando el tratamiento ya no se justifica.
Derecho a la limitación (art. 18): congelar el tratamiento temporalmente.
Derecho a la portabilidad (art. 20): recuperar tus datos en un formato estructurado, comúnmente legible, para transferirlos a otro proveedor.
Derecho de oposición (art. 21): rechazar ciertos tratamientos, especialmente marketing directo (absoluto) o interés legítimo (condicional).

Procedimiento de ejercicio estandarizado:

Identificar al responsable de tratamiento (la empresa que decide por qué/cómo se tratan tus datos) y a su DPO (Data Protection Officer).
Enviar una solicitud escrita al DPO con: identidad, naturaleza de la solicitud, formato deseado.
La empresa dispone de 1 mes para responder (prorrogable 2 meses en caso de complejidad).
En caso de rechazo o no respuesta: denuncia AEPD (aepd.es) o autoridad de protección nacional (CNIL Francia, ICO UK, Garante Italia, Datatilsynet Noruega).

Sanciones récord 2024-2026

El RGPD ha demostrado su alcance disuasivo con sanciones récord:

Empresa	Monto	Fecha	Autoridad	Motivo
Meta	1,2 Md €	mayo 2023	DPC (Irlanda)	Transferencias US ilegales post-Schrems II
Amazon	746 M €	julio 2021	CNPD (Luxemburgo)	Segmentación publicitaria no consentida
TikTok	345 M €	septiembre 2023	DPC (Irlanda)	Tratamiento datos menores sin consentimiento
Meta	390 M €	enero 2023	DPC (Irlanda)	Base legal publicidad segmentada
Criteo	40 M €	junio 2023	CNIL (Francia)	Consentimiento cookies de terceros
Yahoo	10 M €	enero 2025	CNIL (Francia)	Rechazo cookies no equivalente al accept
Google	250 M €	marzo 2024	AGCM (Italia)	News Showcase y derecho vecino prensa

Tendencia 2025-2026: la AEPD multiplica las sanciones medias (5-50 M €) sobre el consentimiento a cookies — 73% de los sitios franceses eran no conformes en enero de 2026 según la auditoría anual CNIL, las cifras españolas son similares.

CCPA / CPRA California — modelo opt-out

La California Consumer Privacy Act (CCPA) entró en vigor el 1 de enero de 2020, reforzada por la California Privacy Rights Act (CPRA) el 1 de enero de 2023. Protege a los residentes californianos definidos como personas físicas residiendo en California cualquiera que sea su nacionalidad.

Diferencia fundamental con el RGPD: la CCPA sigue el modelo opt-out por defecto (la recopilación se autoriza salvo si te opones), mientras que el RGPD sigue el opt-in (el consentimiento previo es requerido). Este modelo refleja la cultura jurídica estadounidense más permisiva sobre el tratamiento publicitario.

Perímetro de aplicación: empresas que cumplen al menos uno de los tres criterios:

CA anual mundial > 25 M$ USD; O
Tratamiento de > 100.000 consumidores u hogares californianos/año; O
50% de CA generado por la venta o el compartir de datos personales.

Siete derechos CPRA (extendidos desde el CCPA inicial):

Right to Know — Solicitar qué categorías y elementos específicos de datos se recopilan. Respuesta 45 días, prorrogable.
Right to Delete — Hacer suprimir los datos (con excepciones legales).
Right to Correct — Corregir la información inexacta (añadido por CPRA 2023).
Right to Opt-Out of Sale — Rechazar la venta a terceros. Botón «Do Not Sell or Share My Personal Information» obligatorio en pie de página.
Right to Opt-Out of Sharing for Cross-Context Behavioral Advertising — Rechazar el compartir con fines publicitarios comportamentales cruzados (añadido por CPRA 2023).
Right to Limit Use of Sensitive Personal Information — Limitar el uso de datos sensibles (geolocalización precisa, salud, finanzas, contenido comunicaciones). Nuevo derecho CPRA.
Right to Non-Discrimination — Ningún desventaja comercial si ejerces tus derechos.

Ejecución: vía formulario dedicado de la empresa (típicamente página privacy@), o denuncia ante la California Privacy Protection Agency (CPPA), creada por CPRA en 2023. La CPPA dispone de poder de sanción directo desde julio 2023.

Impacto práctico para los usuarios europeos

La CCPA no se aplica a los residentes europeos, salvo viaje temporal a California. Pero en la práctica, muchas empresas tech aplican los derechos CCPA mundialmente por simplificación operacional — es el «California effect»: el estándar más estricto se convierte en el estándar por defecto.

Concretamente, en mayo 2026:

El botón «Do Not Sell or Share My Personal Information» aparece en ~85% de los sitios US visibles desde IP US.
Muchos sitios US lo ocultan a las IP no-US — usar una VPN US permite mostrarlo y ejercerlo (con dirección postal CA proporcionada).
Apple generalizó el App Tracking Transparency a todos los usuarios mundiales tras CCPA (abril 2021).

LGPD Brasil — América Latina 2026

La Lei Geral de Proteção de Dados (LGPD), aplicable desde el 18 de agosto de 2020, traspone el modelo RGPD a Brasil. Perímetro: 215 millones de brasileños + empresas tratando datos de residentes brasileños incluso fuera de Brasil.

Seis bases legales idénticas al RGPD: consentimiento, ejecución contrato, obligación legal, interés vital, interés público, interés legítimo. Derechos usuarios casi idénticos: confirmación de existencia, acceso, corrección, anonimización/bloqueo/eliminación, portabilidad, información sobre compartir con terceros, retirada de consentimiento.

Sanciones: hasta el 2% del CA brasileño limitado a 50 millones de Reales brasileños (~9 M €) por infracción. Significativamente más débil que RGPD pero representa riesgo real para los actores brasileños. Récords 2024-2025:

Cielo (pago) — 7 M BRL (~1,3 M €) por compartir no consentido con socios marketing.
Locaweb (alojamiento) — 2,5 M BRL por fallo de seguridad no declarado a la ANPD.

La ANPD (Autoridade Nacional de Proteção de Dados) regulador, operacional desde 2020, sube progresivamente en potencia en 2025-2026.

Cómo ejercer concretamente tus derechos

Procedimiento unificado aplicable RGPD / CCPA / LGPD:

Etapa 1 — Identificar al interlocutor

Empresa	Email DPO RGPD	Página opt-out CCPA
Meta (Facebook, Instagram, WhatsApp)	`dpd@meta.com`	facebook.com/privacy/center
Google (Gmail, YouTube, Android)	`data-protection-office@google.com`	myaccount.google.com/data-and-privacy
Amazon	`eu-privacy@amazon.es`	amazon.com/privacy
Microsoft	`msdpo@microsoft.com`	account.microsoft.com/privacy
Apple	`privacyeurope@apple.com`	privacy.apple.com
X (Twitter)	`data-protection@x.com`	twitter.com/settings/privacy
TikTok	`privacy@tiktok.com`	tiktok.com/legal/privacy-policy
LinkedIn	`dpo@linkedin.com`	linkedin.com/psettings/privacy

Etapa 2 — Redactar la solicitud

Modelo mínimo para derecho de acceso RGPD:

Asunto: Solicitud de ejercicio del derecho de acceso RGPD (art. 15)

Estimado/a DPO,

Deseo ejercer mi derecho de acceso en virtud del artículo 15 del RGPD. Le ruego me comunique, en el plazo de un mes previsto en el artículo 12.3:

La copia completa de los datos personales relativos a mí que ustedes tratan;

Las finalidades del tratamiento;

Las categorías de destinatarios (terceros, proveedores, socios);

La duración de conservación prevista;

El origen de los datos si no recogidos de mí.

Adjunto copia de mi documento de identidad para verificación.

[Nombre, apellido, dirección, identificadores de cuenta afectados]

Conservar una traza del envío (mail con acuse de recibo, correo certificado). Esta traza es necesaria en caso de denuncia AEPD.

Etapa 3 — Seguimiento y escalado

Plazo	Acción
D+0	Envío de la solicitud al DPO
D+15	Primer recordatorio si no acuse de recibo
D+30	Plazo RGPD expirado (45 días CCPA) — solicitud de requerimiento
D+45	Denuncia AEPD si todavía no respuesta
D+60	Preparar expediente recurso civil si gravedad

Etapa 4 — Denuncia si rechazo

País/Estado	Regulador	Enlace depósito denuncia
España	AEPD	aepd.es
UE — otros	Regulador nacional	Directorio EDPB
Reino Unido	ICO	ico.org.uk/concerns
Suiza	PFPDT	edoeb.admin.ch
California	CPPA	cppa.ca.gov/complaints
Brasil	ANPD	gov.br/anpd

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

NordVPN — privacy by design conforme RGPDNo-log auditado Deloitte 2025 · DPO reactivo 1 mes · Jurisdicción Panamá fuera de 14 Eyes→

Las trampas RGPD/CCPA a conocer en 2026

Trampa 1 — Dark patterns sobre el consentimiento. 73% de los sitios franceses en 2026 todavía usan diseños engañosos: botón «Aceptar» coloreado vs «Rechazar» en gris al pie de página, scroll obligatorio antes de rechazo, re-mostrado del banner en cada visita si rechazo. CNIL multiplica las sanciones (Yahoo 10 M € enero 2025). A detectar: si rechazar lleva más de 2 clics, es no conforme.

Trampa 2 — Falso DPO o formulario genérico. Muchas empresas listan un formulario genérico «contacto» en lugar de un DPO localizable. El RGPD impone un email dedicado al DPO. Si la empresa no proporciona uno, es un incumplimiento RGPD en sí mismo (art. 37-39).

Trampa 3 — Respuesta parcial al derecho de acceso. Meta ha sido condenada varias veces (DPC 2023, CNIL 2024) por proporcionar exports incompletos — omitiendo las inferencias publicitarias, los modelos de engagement, los datos de inferencia. Verificar el export recibido: debe contener > 50 archivos JSON/CSV para una cuenta Meta de > 5 años.

Trampa 4 — «Datos anonimizados» no realmente anónimos. Muchas empresas argumentan que los datos «pseudonimizados» ya no caen bajo RGPD. Falso — los datos pseudonimizados siguen siendo personales según TJUE (sentencias CFLA 2019, OC Vilna 2023). Solo los datos verdaderamente anónimos (irreversibles, k-anonymity > 5) escapan al RGPD.

Trampa 5 — Transferencia internacional no enmarcada. Desde la invalidación del Privacy Shield (TJUE Schrems II, julio 2020), las transferencias hacia los USA exigen Standard Contractual Clauses + Data Privacy Framework UE-US (julio 2023). Verificar en la política privacy: la mención DPF debe aparecer explícitamente para transferencias US.

Herramientas prácticas 2026

Herramienta	Uso	Tipo
Mi cuenta AEPD	Denuncia oficial	Gratis
NOYB.eu	Denuncia colectiva UE	ONG gratis
Facua	Veille + acciones class	ONG
GDPRhub.eu	Base jurisprudencia RGPD	Gratis
Enforcement Tracker	Seguimiento sanciones RGPD	Gratis
GDPR.eu Templates	Modelos solicitudes	Gratis
Mine.com	Solicitudes supresión automatizadas	Freemium

Lo esencial a recordar

El RGPD, el CCPA/CPRA y la LGPD constituyen en 2026 el trío jurídico mundial que enmarca el ecosistema de los datos personales. Tus derechos son reales y ejecutables — no simbólicos. El ejercicio exige método (email DPO dedicado, seguimiento en 30/45 días, escalado hacia regulador si rechazo) pero termina con éxito en la mayoría de los casos. Las sanciones récord (Meta 1,2 Md €, Amazon 746 M €) prueban que los reguladores tienen los medios de imponer el cumplimiento a los gigantes tech.

Combinar estos derechos jurídicos con herramientas técnicas (VPN no-log auditada, DoH, ECH, navegador privacy) maximiza la protección efectiva. El RGPD da el marco, las herramientas técnicas ejecutan la protección día a día. Ver nuestro comparativo de VPN no-log auditadas y nuestra guía DNS over HTTPS para la capa técnica.

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

NordVPN — protección técnica más allá de lo jurídicoNo-log auditado · DPO RGPD reactivo · Jurisdicción Panamá · 30 días reembolso→

Profundizar la privacy y los derechos 2026

★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)

Probar NordVPN30 jours satisfait ou remboursé→