Protección de Datos

Derechos ARSULIPO del interesado: arts. 15-22 RGPD

Derechos del interesado del RGPD (acceso, rectificación, supresión-olvido, limitación, portabilidad, oposición, decisiones automatizadas): arts.

Por Laura Sánchez Revisado por Carlos López, editor jefe Actualizado el 10 de junio de 2026

Portada de Opotips sobre derechos ARSULIPO de protección de datos

Los derechos del interesado son la parte práctica del RGPD: permiten a una persona controlar qué se hace con sus datos. Están regulados en los arts. 15-22 RGPD, con reglas generales en el art. 12 RGPD, y desarrollados en España por los arts. 12-18 LOPDGDD. La regla mnemotécnica clásica es ARSULIPO: Acceso, Rectificación, Supresión, Limitación, I (notificación a destinatarios), Portabilidad y Oposición; a esos se añade el art. 22 RGPD sobre decisiones automatizadas. Esta guía recoge cada derecho con plazo, jurisprudencia TJUE, doctrina AEPD y sanciones por incumplimiento.

Marco normativo

Norma Contenido
Reglamento (UE) 2016/679 RGPD Marco europeo
Arts. 12-22 RGPD Derechos del interesado
LO 3/2018 LOPDGDD, arts. 12-18 Adaptación nacional
LO 7/2021 Protección datos fines penales (excluye RGPD general)
STJUE Google Spain (C-131/12) Derecho al olvido
STJUE Bonnier Audio (C-461/10) Derechos vs propiedad intelectual
STJUE Schufa (C-634/21) Decisiones automatizadas
AEPD: directrices Doctrina nacional
CEPD/EDPB Directrices europeas

Reglas comunes de ejercicio — art. 12 RGPD

Plazos y forma

Aspecto Detalle
Plazo ordinario 1 mes desde recepción solicitud
Prórroga Hasta 2 meses adicionales por complejidad o número de solicitudes
Comunicación de prórroga Dentro del primer mes
Coste Gratuito como regla general
Solicitudes infundadas/excesivas Canon razonable o denegación motivada
Carga de la prueba El responsable debe demostrar el carácter infundado
Verificación identidad Puede pedirse si hay dudas razonables
Medio Accesible; no puede denegarse por elegir un medio razonable
Falta respuesta Reclamación AEPD + posible sanción

Las 8 figuras de los derechos del interesado

Derecho Artículo RGPD Artículo LOPDGDD Qué permite
Acceso 15 13 Saber si se tratan datos + información + copia
Rectificación 16 14 Corregir inexactitudes o completar
Supresión (olvido) 17 15 Borrar datos en supuestos tasados
Limitación 18 16 Pausa jurídica del tratamiento
Notificación destinatarios 19 Comunicar rectificación/supresión/limitación
Portabilidad 20 17 Recibir y transmitir datos en formato estructurado
Oposición 21 18 Oponerse a tratamientos basados en 6.1.e/f o marketing
Decisiones automatizadas 22 No quedar sometido a perfilado con efectos jurídicos

Mnemotécnica ARSULIPO: Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición. + Decisiones automatizadas (art. 22).

Derecho de acceso (art. 15 RGPD)

Qué incluye

Información Detalle
Confirmación Si se tratan datos del interesado
Fines Para qué se tratan
Categorías de datos Tipos concretos
Destinatarios Comunicaciones
Plazo de conservación Cuánto se guardan
Origen de los datos Si no se obtuvieron del interesado
Existencia de derechos Rectificación, supresión, etc.
Decisiones automatizadas Lógica aplicada, importancia y consecuencias
Transferencias internacionales Garantías aplicadas
Derecho de copia Con límites por derechos de terceros

Diferencias con acceso administrativo

Aspecto Acceso RGPD (art. 15) Acceso administrativo (Ley 19/2013)
Norma RGPD Transparencia
Sujeto Interesado titular de datos Cualquier ciudadano
Objeto Datos personales propios Información pública
Plazo 1 mes 1 mes

Derecho de rectificación (art. 16)

Aspecto Detalle
Datos inexactos Procede corrección
Datos incompletos Procede completar (incluso por declaración adicional)
Conexión Principio de exactitud (art. 5.1.d)
Comunicación a destinatarios Obligatoria (art. 19) salvo imposibilidad
Carga de la prueba Sobre el interesado solo si hay duda razonable

Derecho de supresión (art. 17) — derecho al olvido

Supuestos del art. 17.1

Letra Causa
a) Datos ya no necesarios para los fines
b) Retirada del consentimiento sin otra base
c) Oposición sin prevalencia de motivos legítimos
d) Tratamiento ilícito
e) Obligación legal de suprimir
f) Datos recogidos de menor en servicios de la sociedad de la información

Excepciones del art. 17.3

Letra Excepción
a) Libertad de expresión e información
b) Obligación legal o interés público
c) Razones de salud pública
d) Fines de archivo, investigación científica/histórica o estadística
e) Defensa de reclamaciones

El derecho al olvido digital (STJUE Google Spain C-131/12)

Aspecto Detalle
Origen Sentencia de 13 mayo 2014
Concepto Desindexación en motores de búsqueda
Aplicación Información inadecuada, inexacta, no pertinente, no actualizada o excesiva
LOPDGDD Arts. 93-94 lo desarrollan
No borra contenido original Solo desindexa de resultados

Derecho de limitación (art. 18)

Cuándo procede

Letra Causa
a) Impugnación de exactitud (hasta verificar)
b) Tratamiento ilícito + interesado prefiere limitar a suprimir
c) Responsable ya no necesita datos pero el interesado los precisa para reclamaciones
d) Mientras se verifica oposición del art. 21

Efecto

Aspecto Detalle
Dato conservado
Tratamiento restringido
Acciones permitidas Conservación, consentimiento, defensa reclamaciones, protección derechos terceros, interés público importante
Comunicación al interesado Antes de levantar la limitación

Derecho de notificación a destinatarios (art. 19)

Aspecto Detalle
Cuándo Tras rectificación, supresión o limitación
Excepción Imposibilidad o esfuerzo desproporcionado
Información al interesado Sobre los destinatarios si lo solicita

Derecho de portabilidad (art. 20)

Requisito Detalle
Base jurídica Consentimiento o contrato únicamente
Medios Automatizados
Formato Estructurado, uso común, lectura mecánica (JSON, CSV, XML)
Modalidades Recibir + transmitir a otro responsable directamente cuando técnicamente posible
NO aplica Tratamientos basados en obligación legal, interés público, interés legítimo
NO aplica Tratamientos en papel

Trampa típica: pensar que la portabilidad se aplica a cualquier tratamiento. Solo consentimiento + contrato + medios automatizados.

Derecho de oposición (art. 21)

Tratamiento Régimen oposición
Base 6.1.e (interés público) o 6.1.f (interés legítimo) Oposición motivada; el responsable debe demostrar motivos legítimos imperiosos para mantenerlo
Marketing directo Oposición sin motivación; el dato deja de tratarse para esa finalidad
Fines científicos, históricos o estadísticos Oposición salvo interés público
Decisiones automatizadas Conexión con art. 22

Trampa típica: en marketing directo la oposición NO exige ponderación. Debe cesar el tratamiento.

Decisiones automatizadas y perfilado (art. 22)

Regla general

"Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar."

Excepciones (art. 22.2)

Letra Excepción
a) Necesario para contrato
b) Autorizado por Derecho UE/estatal con garantías
c) Consentimiento explícito

Garantías exigibles

Garantía Detalle
Intervención humana A petición del interesado
Expresar punto de vista Sobre la decisión
Impugnar la decisión Derecho a recurso
Información sobre lógica Cómo se toma la decisión (art. 13.2.f)

STJUE Schufa (C-634/21, 2023)

El TJUE estableció que el cálculo automatizado de scoring crediticio constituye una decisión automatizada del art. 22 si influye decisivamente en la concesión de crédito. Doctrina troncal para fintech, banca y seguros.

Régimen específico — LO 7/2021 (fines penales)

Cuando el tratamiento lo realiza una autoridad competente con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales, NO se aplica el régimen general del RGPD, sino la LO 7/2021 que transpone la Directiva (UE) 2016/680.

Aspecto Régimen LO 7/2021
Derechos Información, acceso, rectificación, supresión, limitación
Restricciones Por evitar obstaculizar investigaciones, proteger seguridad pública, salvaguardar derechos de terceros
Reclamación A la AEPD
Ejercicio indirecto Si la restricción impide el ejercicio directo

Sanciones por incumplimiento

Tipo Cuantía
Muy grave (vulneración de derechos) Hasta 20 M € o 4 % volumen global, la superior
Grave Hasta 10 M € o 2 %
Acumulativa Con otras infracciones

Casos prácticos

Caso 1 — Solicitud de acceso a entidad bancaria

Pregunta Respuesta
¿Plazo respuesta? 1 mes (art. 12.3)
¿Prórroga? Hasta 2 meses adicionales por complejidad
¿Coste? Gratuito
¿Qué incluye? Confirmación + finalidades + categorías + destinatarios + plazo + origen + decisiones automatizadas + copia
¿Si no responden? Reclamación AEPD

Caso 2 — Portabilidad de Spotify a Apple Music

Pregunta Respuesta
¿Procede portabilidad? Sí, art. 20: base contrato + tratamiento automatizado
Formato JSON, CSV o equivalente estructurado
Transmisión directa Si técnicamente posible
¿Para qué datos? Listas, preferencias, historial — no algoritmo del proveedor

Caso 3 — Marketing no deseado

Pregunta Respuesta
¿Procede oposición? Sí, art. 21.2
¿Exige motivación? No, en marketing es objeción incondicionada
Efecto inmediato Cese del tratamiento para esa finalidad
¿Pueden seguir tratando para otras finalidades? Sí si tienen otra base

Caso 4 — Scoring bancario denegando crédito

Pregunta Respuesta
¿Decisión automatizada? Sí, art. 22 + STJUE Schufa (C-634/21)
¿Garantías exigibles? Intervención humana + punto de vista + impugnación
¿Información del proceso? Sí (art. 13.2.f) sobre la lógica aplicada
¿Sin esas garantías? Decisión nula + reclamación AEPD

Seis trampas reales del examen

  1. "Todos los derechos se ejercen igual" — Falso. Cada uno tiene requisitos específicos. La portabilidad solo opera con consentimiento/contrato; la oposición en marketing es incondicionada.
  2. "El plazo de respuesta es 2 meses" — Falso. 1 mes ordinario, prorrogable a 2 adicionales por complejidad.
  3. "La supresión es absoluta" — Falso. El art. 17.3 RGPD prevé excepciones (libertad expresión, obligación legal, salud pública, archivo, defensa reclamaciones).
  4. "La portabilidad cubre cualquier dato" — Falso. Solo consentimiento/contrato + medios automatizados.
  5. "El art. 22 prohíbe toda decisión automatizada" — Falso. Solo decisiones únicamente automatizadas con efectos jurídicos o significativos, y con excepciones tasadas.
  6. "En marketing hay que ponderar la oposición" — Falso. En marketing directo, la oposición debe estimarse sin ponderación.

Jurisprudencia troncal

  • STJUE Google Spain (C-131/12, 2014) — derecho al olvido.
  • STJUE Bonnier Audio (C-461/10, 2012) — derechos vs propiedad intelectual.
  • STJUE Schufa (C-634/21, 2023) — scoring automatizado.
  • STJUE Schrems II (C-311/18, 2020) — transferencias internacionales.
  • STC 292/2000 — habeas data y autodeterminación informativa.

Reformas recientes

  • eIDAS 2 (Reglamento UE 2024/1183) — identidad digital.
  • AI Act (Reglamento UE 2024/1689) — IA y decisiones automatizadas.
  • Directrices CEPD/EDPB 2024-2025 — actualizaciones sobre cookies y portabilidad.

Fuentes oficiales

Posts hermanos

Guía revisada el 27 de mayo de 2026 con los arts. 12-22 RGPD, los arts. 12-18 LOPDGDD, la LO 7/2021 (régimen específico fines penales), las STJUE Google Spain (C-131/12) y Schufa (C-634/21), y las directrices del Comité Europeo de Protección de Datos.

Preguntas frecuentes

¿Cuáles son los derechos ARSULIPO?

Acceso (art. 15), Rectificación (16), Supresión-olvido (17), Limitación (18), Portabilidad (20) y Oposición (21). A esos seis se añaden la Notificación a destinatarios (art. 19), y el derecho a no ser objeto de decisiones automatizadas con efectos jurídicos del art. 22 RGPD. Mnemotécnica ampliada: A-R-S-L-N-P-O + decisiones automatizadas.

¿Cuál es el plazo para responder a una solicitud de derechos?

1 mes desde la recepción (art. 12.3 RGPD). Prorrogable hasta 2 meses adicionales por complejidad o número de solicitudes, comunicándolo dentro del primer mes. El ejercicio es gratuito como regla general; solo cabe canon o denegación si la solicitud es manifiestamente infundada o excesiva, y el responsable debe poder demostrarlo (carga de la prueba).

¿Cuándo se aplica el derecho de portabilidad?

Solo cuando concurren dos condiciones acumulativas: a) la base jurídica es consentimiento o contrato (no obligación legal, no interés público, no interés legítimo); b) el tratamiento se efectúa por medios automatizados (no en papel). El formato debe ser estructurado, de uso común y lectura mecánica (JSON, CSV, XML). Permite recibir y, si es técnicamente posible, transmitir directamente a otro responsable.

¿La oposición en marketing exige motivación?

No. En marketing directo, la oposición del art. 21.2 RGPD debe estimarse sin ponderación: el dato deja de tratarse para esa finalidad. El responsable no puede invocar motivos legítimos imperiosos como en otros tratamientos. Si tiene otra base jurídica para finalidades distintas (contrato, obligación legal), puede seguir tratando para esos otros fines.

¿Qué dice la STJUE Schufa sobre decisiones automatizadas?

La STJUE Schufa (C-634/21, 2023) estableció que el cálculo automatizado de scoring crediticio constituye una decisión automatizada del art. 22 RGPD cuando influye decisivamente en la concesión del crédito. Aplica a fintech, banca, seguros y otras empresas que usen sistemas de puntuación o calificación automatizada que afecten significativamente al interesado. Exige garantías reforzadas: intervención humana, derecho a expresar el punto de vista y a impugnar la decisión.

¿Cuándo no se aplica el régimen general de derechos del RGPD?

Cuando el tratamiento lo realiza una autoridad competente con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales (LO 7/2021 que transpone la Directiva UE 2016/680). En ese ámbito también hay derechos de información, acceso, rectificación, supresión y limitación, pero pueden restringirse por razones como evitar obstaculizar investigaciones, proteger seguridad pública o salvaguardar derechos de terceros. La AEPD sigue siendo autoridad de control.

También te conviene repasar

Ver todas las guías de Protección de Datos →
Derechos digitales del Título X LOPDGDD: arts. 79-97

Los 19 derechos digitales del Título X LO 3/2018 LOPDGDD por bloques: ciudadanía digital (79-84), rectificación/actualización (85-86), laborales (87-91)

 Bases jurídicas del tratamiento de datos: art. 6 RGPD

Las 6 bases del art. 6.1 RGPD detalladas (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo), doble candado

 Principios del RGPD: el art. 5 explicado para oposiciones

Los 7 principios del art. 5 RGPD (licitud-lealtad-transparencia, limitación de finalidad, minimización, exactitud, plazo, integridad y confidencialidad

 Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

 Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

 AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro