NordVPN y ExpressVPN suspendieron sus solicitudes RGPD (Adiós a la privacidad)

8 min de lectura Contiene enlaces de afiliado
vpn gdpr privacy nordvpn expressvpn protonvpn data-rights
Tabla de Contenidos

“Protegemos tu privacidad.” Eso es lo que dice cada VPN. Luego alguien les pidió que lo demostraran — y 9 de 10 suspendieron.

Resultados del test de solicitudes RGPD: ¿Quién respeta realmente tus derechos?

Proveedor VPNTiempo de respuestaPlazo legalCalidad de la respuestaResultado
Surfshark 4 horas 30 días Informe PDF detallado con todos los datos personales ✅ APROBADO
NordVPN 8+ semanas 30 días No se entregaron datos ❌ SUSPENDIDO
TunnelBear 8+ semanas 30 días No se entregaron datos ❌ SUSPENDIDO
Hotspot Shield 8 semanas 30 días Archivos CSV ilegibles (sin encabezados de columna) ❌ SUSPENDIDO
ProtonVPN Dentro de 30 días 30 días Respuesta genérica remitiendo a la política de privacidad ❌ SUSPENDIDO
ExpressVPN Desconocido 30 días Respuesta problemática ❌ SUSPENDIDO
Otros 4 VPN Variable 30 días No cumplieron los estándares ❌ SUSPENDIDO

Fuente: Test exclusivo de TechRadar de solicitudes RGPD, enero 2026. Solicitudes enviadas el 5 de enero de 2026 bajo el Artículo 15 del RGPD (derecho de acceso).

En enero de 2026, TechRadar envió solicitudes de acceso según el Artículo 15 del RGPD a 10 grandes proveedores de VPN. Es un derecho legal básico bajo la legislación europea — le preguntas a una empresa qué datos personales tiene sobre ti, y tienen 30 días para responder.

Un VPN respondió correctamente. Uno de diez.

¿El resto? O se pasaron del plazo legal, enviaron basura ilegible, te remitieron a su política de privacidad en vez de proporcionar datos reales, o simplemente no respondieron en absoluto.

Son empresas que gastan cientos de millones en marketing diciéndote que protegen tu privacidad. No pueden ni cumplir con una solicitud legal básica sobre tus propios datos.

Declaración de comisiones:

  • ProtonVPN: ~$25/venta
  • Mullvad: $0 (sin programa de afiliados)
  • NordVPN, ExpressVPN, Surfshark: No los recomiendo a pesar de $60-150/venta disponibles
  • Critico a ProtonVPN aunque soy afiliado. Así funcionan las cosas en este sitio.

Veredicto en 30 segundos

  • Solo Surfshark respondió correctamente — PDF detallado en 4 horas
  • NordVPN y TunnelBear reventaron el plazo legal de 30 días — sin datos entregados tras 8 semanas
  • Hotspot Shield envió archivos CSV ilegibles con nombres de columna crípticos (“field_0” hasta “field_32”)
  • ProtonVPN envió respuestas genéricas remitiendo a su política de privacidad en vez de proporcionar datos reales del usuario
  • 9 de 10 VPN suspendieron al no proporcionar una respuesta RGPD completa y dentro del plazo
  • La sanción legal por incumplimiento: hasta 20 millones € o el 4 % de la facturación global
  • Más del 70 % de los proveedores VPN incumplen el RGPD según investigaciones más amplias

Lo que realmente exige el Artículo 15 del RGPD

Antes de ver quién suspendió, dejemos claro lo que exige la ley.

El Artículo 15 del RGPD — el “derecho de acceso” — establece que puedes pedir a cualquier empresa que procese tus datos personales que te informe:

  • Qué datos personales tienen sobre ti
  • Por qué los procesan
  • Con quién los comparten
  • Cuánto tiempo los conservan
  • Tus derechos a que los rectifiquen o eliminen

La empresa tiene 30 días para responder. Si la solicitud es compleja, pueden extender el plazo dos meses — pero deben notificarte dentro del primer mes que necesitan más tiempo.

Esto no es una sugerencia. Es ley de la UE. La sanción por incumplimiento es de hasta 20 millones € o el 4 % de la facturación anual global — lo que sea mayor.

Para NordVPN (facturación estimada de $500M+), eso es potencialmente $20 millones en multas.

Los resultados del test

Surfshark: El único que aprobó

Tiempo de respuesta: 4 horas.

No 4 días. No 4 semanas. Cuatro horas.

Surfshark envió un informe PDF detallado y profesional con todos los datos personales asociados a la cuenta, en un formato legible y organizado. Trataron la solicitud RGPD como una obligación legal seria — porque lo es.

¿La ironía? Surfshark pertenece a Nord Security — la misma empresa que es dueña de NordVPN. Misma empresa matriz, estándares de cumplimiento completamente diferentes.

Ya escribí sobre este problema de falsa competencia. Ahora se extiende también al cumplimiento legal.

NordVPN: La empresa de privacidad que no respeta tus derechos de privacidad

Tiempo de respuesta: 8+ semanas. No se entregaron datos.

NordVPN — la empresa que probablemente gasta más en patrocinios de YouTube que cualquier otro VPN — no pudo responder a una solicitud básica de acceso a datos dentro del plazo legal de 30 días. Ni en 60 días. Ni siquiera en 8 semanas.

¿Su excusa? Alegaron problemas con la “verificación de identidad”.

Es la misma empresa que se promociona con informes de privacidad y transparencia. La misma empresa que discretamente cambió su política de “no cooperaremos” a “solo cooperaremos”. La misma empresa que fue hackeada y mintió al respecto.

Ahora no pueden ni cumplir con tu derecho legal básico de ver qué datos tienen sobre ti.

TunnelBear: Mismo fracaso, menos excusas

Tiempo de respuesta: 8+ semanas. No se entregaron datos.

TunnelBear tiene un Privacy Center donde los usuarios supuestamente pueden ver los datos que el servicio recopila. Pero cuando se probó con una solicitud RGPD formal real, nada. Mismo fracaso que NordVPN — pasado el plazo legal sin datos proporcionados.

Hotspot Shield: La respuesta ilegible

Tiempo de respuesta: 8 semanas. Datos entregados — pero ilegibles.

Hotspot Shield al final envió siete archivos CSV. ¿El problema? Sin encabezados de columna. Datos etiquetados críticamente como “field_0” hasta “field_32”. Sin saber qué representa cada campo, los datos son inútiles. Podrían haberlos cifrado directamente.

Técnicamente, respondieron. En la práctica, no cumplieron con nada. El RGPD exige que los datos se proporcionen en un “formato electrónico de uso común” que la persona interesada pueda realmente entender. Columnas numeradas al azar no cumplen.

ProtonVPN: La decepción

Tiempo de respuesta: Dentro de 30 días. Pero sin cumplir realmente.

ProtonVPN no se pasó del plazo. Pero en vez de proporcionar datos personales reales, enviaron respuestas genéricas dirigiendo al usuario a leer su política de privacidad pública.

Así no funciona el Artículo 15. La obligación de una empresa de proporcionar tus datos personales específicos no se puede satisfacer remitiendo a un documento público genérico. “Lee nuestra política de privacidad” no es una respuesta RGPD válida.

Esto es particularmente decepcionante viniendo de Proton — una empresa que realmente recomiendo y de la que gano dinero. Su política de privacidad es genuinamente buena. Su VPN ha pasado cuatro auditorías consecutivas de no-logs. Pero el cumplimiento del RGPD es algo aparte, y lo gestionaron mal.

Sigo recomendándolos por el VPN en sí. Pero esto hay que decirlo.

El problema mayor: Más del 70 % de los VPN incumplen el RGPD

No fue un test aislado. Investigaciones más amplias pintan un cuadro aún peor.

Según el análisis de TechRadar, más del 70 % de los proveedores de VPN incumplen el RGPD. Un estudio separado de VPN Ranks encontró que 46 de 83 proveedores de VPN no cumplen.

La industria VPN tiene un problema sistémico con el RGPD. Estas empresas se venden como herramientas de privacidad mientras no respetan la ley de privacidad más básica del mundo.

Lo que esto dice sobre las promesas “no-logs”

Aquí viene la pregunta incómoda: si un VPN no puede ni gestionar correctamente una solicitud RGPD, ¿qué te dice eso sobre su madurez operativa?

Las empresas que mienten sobre sus políticas no-logs son un problema. Las empresas que usan auditorías como props de marketing son otro. Pero las empresas que no pueden cumplir con una solicitud legal sencilla, eso es un problema de competencia.

Si los sistemas de NordVPN están tan desorganizados que no pueden localizar y compilar tus datos personales en 30 días, ¿qué confianza deberías tener en que están gestionando (o no gestionando) correctamente tus registros de conexión?

Los VPN que ni siquiera pueden con el RGPD probablemente tampoco están gestionando bien muchas otras cosas. Y cuando los gobiernos bloquean activamente los VPN, fallos de cumplimiento como estos se convierten en algo más que problemas burocráticos.

Lo que puedes hacer

Ejerce tus derechos

Puedes enviar una solicitud del Artículo 15 del RGPD a cualquier VPN que uses. Esto es lo que debes incluir:

  1. Indica que estás haciendo una solicitud bajo el Artículo 15 del RGPD
  2. Solicita todos los datos personales que tienen sobre ti
  3. Pregunta por las finalidades del tratamiento
  4. Pregunta con quién comparten tus datos
  5. Pregunta cuánto tiempo conservan tus datos
  6. Envíala a su Delegado de Protección de Datos (normalmente indicado en su política de privacidad)

Tienen 30 días. Si no responden, puedes presentar una reclamación ante tu autoridad local de protección de datos.

Elige VPN que realmente respeten tus derechos

Los VPN que recomiendo:

Mullvad VPN — €5/mo (Commission: $0)
  • Demostrado en los tribunales — no pueden entregar datos que no tienen
  • Sistema de número de cuenta — sin email, sin nombre, sin datos personales que solicitar
  • La cuestión del RGPD apenas aplica porque apenas recopilan datos
  • Comisión: $0 (sin programa de afiliados)
ProtonVPN — From $4.99/mo (Commission: ~$25)
  • Cuatro auditorías consecutivas de no-logs (Securitum)
  • Jurisdicción suiza con leyes de privacidad estrictas
  • Gestionó mal la solicitud RGPD (respuesta genérica) — pero el VPN en sí es sólido
  • Comisión: ~$25/venta (declarada)

¿Por qué no Surfshark? Aprobaron el test RGPD con nota, pero pertenecen a Nord Security — la misma empresa cuyo otro producto (NordVPN) fracasó estrepitosamente. Lee nuestra reseña de Surfshark para tener el panorama completo.

La conclusión

Nueve de cada diez empresas VPN suspendieron un test legal básico de privacidad.

Son empresas que gastan cientos de millones en marketing diciéndote que protegen tu privacidad. Compran patrocinios de YouTube. Pagan a influencers. Lanzan anuncios aterradores sobre hackers en WiFi público. Prometen cifrado de grado militar y políticas no-logs.

Luego alguien les pide que demuestren que respetan tus derechos sobre tus datos — una obligación legal, no un favor — y el 90 % no puede hacerlo.

NordVPN no pudo responder en 8 semanas. Hotspot Shield envió basura ilegible. ProtonVPN remitió a su política de privacidad. Solo Surfshark — irónicamente propiedad de la misma empresa que NordVPN — lo trató como la obligación legal que es.

Si no pueden con el RGPD, ¿realmente necesitas un VPN de empresas como estas? Quizás la respuesta son herramientas de privacidad gratuitas que realmente funcionan — por $0.

No me creas — verifica todo

Transparencia total: Gano dinero con ProtonVPN (~$25/venta) y $0 con Mullvad. Critiqué el fallo RGPD de ProtonVPN en este artículo a pesar de ser su afiliado. NordVPN, ExpressVPN y Surfshark ofrecen $60-150/venta — no los recomiendo.

The Angry Dev

NO confíes en los sitios de reseñas. Las comisiones de afiliados dictan sus clasificaciones. Este también es un sitio de afiliados, pero soy honesto sobre lo que gano y clasifico por calidad en lugar de por pago. Incluso si eso significa que me paguen $0. Lee sobre mi enfoque y por qué dejé de mentir. Aquí están los datos en bruto para que puedas verificar todo.

VPNs | Hosting | Almacenamiento | Herramientas

Publicaciones relacionadas

¿Necesitas una VPN de confianza?

MullvadSin registros, sin cuenta, sin tonterías
ProtonVPNPrivacidad suiza, apps de código abierto
NordVPNRápido, auditado, 6 dispositivos simultáneos
Enlaces de afiliado — Puedo recibir una comisión