AEPD 2026: cómo protegen tus datos personales al solicitar créditos online en España

La Agencia Española de Protección de Datos (AEPD) ha publicado en junio de 2026 su esperada Guía sobre Protección de Datos en el Crédito Digital, un documento de referencia que aclara cómo deben tratarse los datos personales de los solicitantes de préstamos y créditos online en España, en el marco del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).

La guía llega en un momento en que el uso de datos personales en procesos crediticios se ha multiplicado exponencialmente, impulsado por la adopción del open banking, los algoritmos de scoring basados en inteligencia artificial y el análisis de comportamiento digital. La AEPD advierte que muchas entidades financieras y plataformas fintech están incumpliendo el marco normativo vigente en aspectos fundamentales como el consentimiento informado y el derecho a la explicación de las decisiones automatizadas.

Bases legítimas para el tratamiento de datos en créditos

La AEPD recuerda que el tratamiento de datos personales en el contexto del crédito online puede fundamentarse en tres bases jurídicas distintas del RGPD, y que la entidad debe identificar correctamente cuál aplica a cada operación de tratamiento:

• Ejecución del contrato: los datos estrictamente necesarios para evaluar la solvencia, formalizar el contrato de préstamo y gestionar su devolución pueden tratarse sin necesidad de consentimiento adicional, al amparo del artículo 6.1.b) del RGPD.
• Interés legítimo: la consulta a ficheros de solvencia (CIRBE, ASNEF, Experian) puede ampararse en el interés legítimo del prestamista en evaluar el riesgo de impago, siempre que se haya realizado el correspondiente test de equilibrio de intereses y se informe al solicitante antes de la consulta.
• Consentimiento explícito: el uso de datos para fines comerciales, publicidad personalizada, cesión a terceros o uso en modelos de scoring distintos al de la operación concreta requiere consentimiento explícito e inequívoco del interesado.

Scoring automatizado: derechos del solicitante

Uno de los aspectos más desarrollados en la guía de la AEPD es el relativo al scoring crediticio automatizado. Cuando una plataforma fintech o una entidad bancaria utiliza un algoritmo para tomar una decisión sobre la concesión de un préstamo sin intervención humana significativa, el solicitante tiene derechos específicos reconocidos por el artículo 22 del RGPD:

• Derecho a no ser objeto de decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos significativos, salvo excepciones expresas.
• Derecho a obtener intervención humana en la revisión de la decisión, a expresar su punto de vista y a impugnar la resolución.
• Derecho a recibir una explicación significativa de la lógica aplicada por el algoritmo y los factores que han determinado la denegación o las condiciones ofrecidas.

La AEPD ha sancionado ya en 2026 a tres plataformas fintech por no proporcionar estas explicaciones de forma adecuada, con multas que oscilan entre 80.000 y 250.000 euros. La regulación española del crédito en el marco del RGPD y la LOPDGDD exige que la información sea comprensible para un consumidor medio, sin tecnicismos innecesarios.

Derecho de supresión y portabilidad en créditos

La guía aclara los límites del derecho de supresión en el contexto crediticio. Un consumidor puede solicitar la eliminación de sus datos personales una vez cancelado el préstamo, pero la entidad está legitimada para conservarlos durante el período de prescripción de las acciones legales (generalmente cinco años en el ámbito civil español) y durante el plazo exigido por la normativa de prevención del blanqueo de capitales (diez años).

En cuanto al derecho de portabilidad, la AEPD confirma que los datos del historial crediticio de un consumidor pueden ser trasladados de una entidad a otra en formato electrónico interoperable, siempre que el tratamiento se base en el consentimiento del interesado. Esta posibilidad, articulada a través del open banking, facilita el acceso a mejores condiciones de crédito online al permitir que nuevas plataformas evalúen el historial real de pagos sin depender exclusivamente de los ficheros de morosos.

Cómo reclamar ante la AEPD

La AEPD pone a disposición de los ciudadanos un procedimiento de reclamación gratuito y online cuando consideran que una entidad ha vulnerado sus derechos en materia de protección de datos durante un proceso crediticio. El plazo de resolución es de seis meses y, en caso de estimarse la reclamación, la AEPD puede imponer las medidas correctivas necesarias e iniciar un expediente sancionador contra la entidad responsable. Antes de solicitar cualquier préstamo o crédito, verifique siempre la política de privacidad de la plataforma y asegúrese de que informa claramente sobre el uso de sus datos personales.