RGPD y datos financieros en España: tus derechos 2026

El RGPD reconoce seis derechos fundamentales a cualquier ciudadano respecto al tratamiento de sus datos personales. Su aplicación al sector financiero:

• Derecho de acceso: puedes solicitar a cualquier banco, fintech o entidad financiera que te informe de qué datos personales tuyos tienen, para qué los usan, durante cuánto tiempo los conservarán y si los comparten con terceros. La entidad tiene 1 mes para responder (ampliable a 3 meses en casos complejos). En el sector financiero, esto incluye datos de solvencia, historial de operaciones y datos de contacto.
• Derecho de rectificación: si los datos que tiene la entidad son inexactos o incompletos, puedes exigir su corrección. Especialmente relevante para corregir errores en ficheros de morosos (ASNEF) o en el CIRBE.
• Derecho de supresión ("derecho al olvido"): en determinadas circunstancias puedes solicitar que se borren tus datos. Sin embargo, en el sector financiero hay importantes excepciones: las entidades tienen obligaciones legales de conservación de datos (5-10 años para información contable y contractual) que prevalecen sobre este derecho.
• Derecho de oposición: puedes oponerte al tratamiento de tus datos para determinadas finalidades, como el marketing directo o el uso en sistemas de scoring automatizado. Tienes derecho a solicitar intervención humana en decisiones automatizadas que te afecten significativamente (como la denegación automática de un préstamo).
• Derecho a la portabilidad: puedes solicitar que tus datos se te entreguen en un formato legible por máquina para trasladarlos a otra entidad. Es la base del Open Banking: tu banco debe entregarte o transmitir tus datos de transacciones a otro proveedor financiero si lo autorizas.

ASNEF (Asociación Nacional de Establecimientos Financieros de Crédito, gestionado por Equifax) es el fichero de morosos más usado en España. Tu inclusión en ASNEF puede bloquear el acceso a cualquier tipo de crédito. Tus derechos específicos respecto a estos ficheros:

• Derecho de acceso gratuito: puedes consultar gratuitamente tus datos en ASNEF una vez al año en equifax.es o por correo certificado. También puedes consultar Badexcug (Experian) e Informa. El acceso adicional puede tener coste.
• Requisitos legales para tu inclusión en ASNEF: la LOPDGDD y el RGPD establecen condiciones estrictas. La deuda debe ser cierta, vencida y exigible. El acreedor debe haberte notificado fehacientemente la inclusión antes de realizarla. La deuda no puede estar siendo reclamada judicialmente. Si no se cumplen estos requisitos, la inclusión es ilegal.
• Cancelación por pago: una vez que has pagado la deuda, el acreedor tiene la obligación de notificar la cancelación a ASNEF en un plazo máximo de 10 días hábiles. Si no lo hace, puedes reclamar directamente a ASNEF aportando el justificante de pago.
• Cancelación por prescripción: los datos en ASNEF se eliminan automáticamente a los 5 años desde la fecha de la deuda, aunque no se haya pagado. Sin embargo, el acreedor puede iniciar acciones judiciales dentro de ese plazo.
• Cómo reclamar una inclusión incorrecta: dirígete primero al acreedor que te incluyó, exigiendo la cancelación por escrito. Si no actúa, presenta reclamación ante la AEPD (Agencia Española de Protección de Datos) en aepd.es.

El CIRBE (Central de Información de Riesgos del Banco de España) es diferente a ASNEF: no es un fichero de morosos sino un registro de todos los riesgos crediticios que las entidades financieras reguladas declaran al Banco de España. Incluye préstamos, créditos, avales y garantías. Sus características:

• Quién declara al CIRBE: todos los bancos, cooperativas de crédito, establecimientos financieros de crédito (EFC), sucursales de entidades extranjeras y, progresivamente, plataformas de financiación participativa reguladas.
• Umbral de declaración: las entidades están obligadas a declarar las operaciones de riesgo que superen los 1.000 €. Los riesgos inferiores se declaran de forma agregada.
• Cómo consultar tu CIRBE: tienes derecho a solicitar gratuitamente un informe de tus datos en el CIRBE al Banco de España. Se puede realizar de forma online (con certificado digital o DNI electrónico) en bde.es, o presencialmente en las sucursales del Banco de España. El informe se entrega en el acto o en pocos días.
• Qué hacer si hay errores en el CIRBE: si detectas operaciones que no reconoces, importes incorrectos o entidades que declaran riesgos que ya están cancelados, debes reclamar primero a la entidad que declara el error. Si no lo corrige, puedes presentar reclamación ante el Servicio de Reclamaciones del Banco de España.

El Open Banking —impulsado por la Directiva PSD2 y su evolución hacia el Open Finance— permite compartir tus datos bancarios con terceros (fintechs, comparadores, asesores) a través de APIs reguladas. El RGPD establece límites claros a este proceso:

• Consentimiento expreso y granular: para que una fintech acceda a tus datos bancarios mediante Open Banking, necesita tu consentimiento expreso, específico e informado. No vale un "acepta todos" genérico. Debes poder dar consentimiento por tipo de dato y finalidad, y revocarlo en cualquier momento.
• Principio de minimización: la fintech solo puede acceder a los datos estrictamente necesarios para el servicio que presta. Si solo necesita ver tus ingresos de los últimos 6 meses para evaluar un préstamo, no puede acceder al historial completo de 5 años.
• Derecho a revocar el acceso: puedes revocar en cualquier momento el acceso que has dado a una fintech a tus datos bancarios. Puedes hacerlo desde la app del banco o desde la propia app de la fintech.
• Responsabilidad compartida: tanto el banco que cede los datos (bajo tu autorización) como la fintech que los recibe son corresponsables del tratamiento correcto. Si hay un uso indebido, puedes reclamar contra ambos ante la AEPD.

La Agencia Española de Protección de Datos (AEPD) es la autoridad supervisora del RGPD en España. Sus poderes sancionadores son significativos: puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual a empresas que incumplan el RGPD. Proceso de reclamación:

1. Intenta resolver con la entidad primero: presenta un escrito formal al Delegado de Protección de Datos (DPD) de la entidad, ejerciendo el derecho concreto que quieres ejercer. Toda entidad financiera debe tener un DPD designado y su contacto debe ser accesible. Guarda copia de todas las comunicaciones.
2. Espera la respuesta: la entidad tiene 1 mes para responder (ampliable a 3 en casos complejos). Si no responde o la respuesta no es satisfactoria, puedes ir a la AEPD.
3. Presenta la reclamación en la AEPD: a través de sede.aepd.es, de forma gratuita. Necesitas identificarte (DNI electrónico o certificado digital, aunque también puedes presentarla presencialmente). Incluye todos los documentos que acrediten el incumplimiento y las comunicaciones previas con la entidad.
4. Proceso de investigación: la AEPD investiga la reclamación, solicita información a la entidad y emite una resolución. Los procedimientos pueden tardar 6-18 meses. Si se confirma la infracción, puede sancionar a la entidad e imponer medidas correctoras.