LOPDGDD
Norma: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los Derechos Digitales (LOPDGDD).
Se aplica junto con el RGPD (Reglamento UE 2016/679, de 27 de abril) y la LO 7/2021 (protección de datos en ámbito penal).
🔑 El RGPD es de aplicación directa desde el 25 de mayo de 2018.
1. Conceptos clave (art. 4 RGPD)
| Concepto |
Definición resumida |
| Dato personal |
Toda información sobre una persona física identificada o identificable. (No protege a personas jurídicas ni a fallecidos, aunque la LOPDGDD regula el acceso a datos de personas fallecidas). |
| Tratamiento |
Cualquier operación sobre datos: recogida, registro, conservación, consulta, comunicación, supresión… |
| Interesado / afectado |
Persona física titular de los datos. |
| Consentimiento |
Manifestación libre, específica, informada e inequívoca. Debe ser una acción afirmativa clara (no valen casillas premarcadas ni silencio). |
| Seudonimización |
Tratar datos de modo que ya no se atribuyan a un interesado sin información adicional. NO es anonimización. |
| Anonimización |
Hacer imposible la reidentificación. Los datos anonimizados no son datos personales. |
| Perfilado |
Tratamiento automatizado para evaluar aspectos personales. |
| Brecha de seguridad |
Violación que ocasione destrucción, pérdida, alteración o acceso no autorizado. |
Categorías especiales de datos (art. 9 RGPD)
Tratamiento prohibido en general, salvo excepciones:
- Origen racial o étnico.
- Opiniones políticas.
- Convicciones religiosas o filosóficas.
- Afiliación sindical.
- Datos genéticos y biométricos (cuando identifican a la persona).
- Datos de salud.
- Datos sobre vida sexual u orientación sexual.
⚠️ El solo consentimiento del afectado NO basta para levantar la prohibición de tratar datos que revelen ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico (art. 9 LOPDGDD).
Datos relativos a condenas e infracciones penales (art. 10 RGPD)
Solo bajo control de autoridad pública o cuando lo autorice una norma con rango de Ley.
2. Principios (art. 5 RGPD)
- Licitud, lealtad y transparencia.
- Limitación de la finalidad (recogidos con fines determinados, explícitos y legítimos).
- Minimización de datos (adecuados, pertinentes y limitados a lo necesario).
- Exactitud.
- Limitación del plazo de conservación.
- Integridad y confidencialidad (seguridad).
- Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento.
3. Bases jurídicas (legitimación) del tratamiento (art. 6 RGPD)
Para que un tratamiento sea lícito debe cumplirse al menos una:
- Consentimiento del interesado.
- Ejecución de un contrato (o medidas precontractuales).
- Obligación legal del responsable.
- Intereses vitales del interesado u otra persona.
- Misión de interés público o ejercicio de poderes públicos.
- Interés legítimo (no aplicable a las AAPP en sus funciones).
Edad del consentimiento (art. 7 LOPDGDD)
- A partir de los 14 años, el menor puede consentir por sí mismo.
- Por debajo: consentimiento de padres o tutores.
4. Personal y sujetos en protección de datos
4.1 Responsable del tratamiento (art. 4.7 RGPD)
- Persona física/jurídica, autoridad u organismo que, solo o junto con otros, determina los fines y medios del tratamiento.
- Es el principal obligado ante la AEPD y los interesados.
4.2 Corresponsables del tratamiento (art. 26 RGPD)
- Dos o más responsables que determinan conjuntamente los fines y medios.
- Deben suscribir un acuerdo que defina sus responsabilidades.
4.3 Encargado del tratamiento (art. 4.8 y 28 RGPD)
- Persona física/jurídica, autoridad u organismo que trata datos POR CUENTA del responsable.
- Relación regulada por contrato u acto jurídico vinculante (con contenido mínimo del art. 28.3 RGPD).
- Solo trata datos siguiendo instrucciones documentadas del responsable.
4.4 Subencargado del tratamiento
- Encargado que subcontrata parte del tratamiento.
- Requiere autorización previa (específica o general por escrito) del responsable.
4.5 Representante (art. 27 RGPD)
- Designado por responsables/encargados no establecidos en la UE que traten datos de personas en la UE.
4.6 Destinatario y Tercero
- Destinatario: a quien se comunican los datos (pueden ser internos o externos).
- Tercero: distinto del interesado, responsable, encargado y personas autorizadas bajo su autoridad directa.
4.7 Delegado de Protección de Datos (DPD / DPO)
📌 Arts. 37–39 RGPD y 34–37 LOPDGDD
Designación obligatoria (RGPD art. 37):
- Autoridades y organismos públicos (excepto tribunales en ejercicio de funciones jurisdiccionales).
- Cuando las actividades principales del responsable/encargado consistan en operaciones que requieran observación habitual y sistemática a gran escala del interesado.
- Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales o de datos sobre condenas.
Designación obligatoria adicional en España (art. 34 LOPDGDD):
Entre otros: colegios profesionales, centros docentes (públicos y privados que ofrezcan enseñanzas regladas), entidades de redes y servicios de comunicaciones electrónicas con datos a gran escala, prestadores de servicios de la sociedad de la información con perfiles a gran escala, entidades financieras y de crédito, aseguradoras y reaseguradoras, empresas de servicios de inversión, distribuidoras de electricidad/gas, ficheros de solvencia patrimonial, entidades de publicidad y prospección comercial (incluido perfilado), centros sanitarios con historiales clínicos, emisores de informes comerciales, operadores de juego online, empresas de seguridad privada, federaciones deportivas (con datos de menores).
Funciones (art. 39 RGPD):
- Informar y asesorar al responsable/encargado y empleados.
- Supervisar el cumplimiento del RGPD y políticas internas.
- Asesorar sobre evaluaciones de impacto (DPIA).
- Cooperar con la autoridad de control (AEPD).
- Actuar como punto de contacto con la AEPD.
Características:
- Puede ser persona física o jurídica, interno o externo (contratado como servicio).
- Designación basada en cualidades profesionales y conocimientos.
- NO recibe instrucciones sobre el ejercicio de sus funciones (independencia).
- No puede ser sancionado ni destituido por el desempeño de sus funciones.
- Reporta directamente al más alto nivel jerárquico.
- Sus datos de contacto se publican y se comunican a la AEPD (10 días).
4.8 Autoridad de Control – AEPD (Título VII LOPDGDD)
- Agencia Española de Protección de Datos: autoridad administrativa independiente de ámbito estatal, con personalidad jurídica propia.
- Se relaciona con el Gobierno a través del Ministerio de Justicia.
- Presidencia: Presidente + Adjunto, mandato de 5 años no renovable, nombrados por el Gobierno a propuesta del Ministerio de Justicia tras comparecencia en el Congreso.
- Autoridades autonómicas de protección de datos: Cataluña, País Vasco y Andalucía, con competencias limitadas a sus AAPP.
5. Derechos del interesado (Capítulo II – arts. 11 a 18 LOPDGDD + arts. 12–22 RGPD)
| Derecho |
Contenido |
| Información (transparencia) (arts. 13–14 RGPD) |
El responsable informa de quién es, finalidad, base jurídica, destinatarios, plazos, derechos… |
| Acceso (art. 15 RGPD) |
Saber si se tratan sus datos y obtener copia. |
| Rectificación (art. 16) |
Corregir datos inexactos o incompletos. |
| Supresión / "derecho al olvido" (art. 17) |
Eliminar datos cuando ya no sean necesarios, se retire el consentimiento, etc. |
| Limitación del tratamiento (art. 18) |
Marcar datos para limitar su uso futuro. |
| Portabilidad (art. 20) |
Recibir los datos en formato estructurado y trasmitirlos a otro responsable. |
| Oposición (art. 21) |
Oponerse al tratamiento (incluido perfilado). |
| Decisiones automatizadas y perfilado (art. 22) |
No ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos. |
Reglas comunes:
- Plazo de respuesta: 1 mes (prorrogable 2 meses más según complejidad).
- Gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
- Si no se atiende → reclamación ante la AEPD.
6. Obligaciones de responsables y encargados
- Registro de actividades de tratamiento (RAT, art. 30 RGPD).
- Medidas técnicas y organizativas apropiadas: pseudonimización, cifrado, copias…
- Protección de datos desde el diseño y por defecto (art. 25).
- Evaluación de Impacto (DPIA / EIPD) (art. 35): obligatoria si el tratamiento entraña alto riesgo (perfilado masivo, datos especiales a gran escala, videovigilancia masiva…).
- Consulta previa a la AEPD si la DPIA muestra alto riesgo no mitigado (art. 36).
- Notificación de brechas de seguridad:
- A la AEPD: sin dilación indebida y, a más tardar, en 72 horas.
- Al interesado: si supone un alto riesgo para sus derechos y libertades, sin dilación indebida.
7. Régimen sancionador (Título IX – arts. 70 a 78 LOPDGDD)
7.1 Sujetos responsables (art. 70):
- Responsables del tratamiento.
- Encargados del tratamiento.
- Representantes de los no establecidos en la UE.
- Entidades de certificación.
- Entidades acreditadas de supervisión de códigos de conducta.
7.2 Clasificación de infracciones
| Tipo |
Ejemplos típicos |
Artículo |
| Muy graves |
Tratamiento sin base lícita, fines incompatibles, vulneración consentimiento menores, no atender derechos de forma sistemática, transferencias internacionales ilícitas, no designar DPD cuando es obligatorio (en su forma sistemática)… |
Art. 72 |
| Graves |
Tratamiento sin medidas técnicas suficientes, no informar al interesado, falta de RAT, no atender ejercicio de derechos, no designar DPD cuando proceda… |
Art. 73 |
| Leves |
Incumplimientos meramente formales (información insuficiente parcial, no publicar datos del DPD, no notificar al DPD a la AEPD en plazo…). |
Art. 74 |
7.3 Cuantía de las sanciones (art. 83 RGPD)
| Grupo |
Cuantía máxima |
| Infracciones "menos graves" (registro, encargado, brecha, DPIA, certificaciones…) |
Hasta 10.000.000 € o 2% del volumen de negocio total anual mundial del ejercicio anterior, la mayor. |
| Infracciones "más graves" (principios, bases jurídicas, derechos del interesado, transferencias internacionales, incumplimiento de orden de la AEPD…) |
Hasta 20.000.000 € o 4% del volumen de negocio total anual mundial, la mayor. |
7.4 Prescripción de infracciones y sanciones (art. 78 LOPDGDD)
|
Muy graves |
Graves |
Leves |
| Infracciones |
3 años |
2 años |
1 año |
| Sanciones |
3 años |
2 años |
1 año |
💡 Misma tabla para infracciones y sanciones (más fácil de recordar que las del TREBEP).
En infracciones continuadas o permanentes, el plazo se cuenta desde que finaliza la conducta.
7.5 Procedimiento (art. 64 LOPDGDD):
- Puede iniciarse de oficio o por reclamación del afectado.
- Posibilidad de archivo o inadmisión previa.
- Plazo máximo del procedimiento sancionador: 9 meses desde el acuerdo de inicio.
8. Derechos digitales (Título X – arts. 79 a 97 LOPDGDD)
8.1 Derechos generales en internet:
- Neutralidad de la red (art. 80).
- Acceso universal a internet (art. 81): asequible, calidad, no discriminatorio. Especial atención a colectivos vulnerables y zonas rurales.
- Seguridad digital (art. 82).
- Educación digital (art. 83): sistema educativo debe garantizar competencia digital.
- Protección de los menores en internet (art. 84): padres, tutores y centros educativos.
8.2 Derechos asociados a tu rastro digital:
- Rectificación en internet (art. 85): frente a responsables de servicios de la sociedad de la información.
- Actualización en medios de comunicación digitales (art. 86).
- Olvido en búsquedas de internet (art. 93): retirada de resultados que aparecen al buscar por nombre.
- Olvido en servicios de redes sociales y equivalentes (art. 94).
- Portabilidad en redes sociales (art. 95).
- Testamento digital (art. 96): herederos pueden acceder a contenidos del fallecido, salvo prohibición expresa.
8.3 Derechos digitales LABORALES (caen mucho en oposiciones):
| Derecho |
Artículo |
Contenido clave |
| Intimidad y uso de dispositivos digitales |
Art. 87 |
Acceso del empresario solo para controlar obligaciones laborales y con criterios previos establecidos. |
| Desconexión digital |
Art. 88 |
Derecho a no ser contactado fuera del tiempo de trabajo. Política interna previa audiencia de la representación legal. |
| Intimidad frente a videovigilancia y grabación de sonidos |
Art. 89 |
Información previa expresa, clara y concisa. Cartel informativo. La grabación de sonidos solo en supuestos excepcionales. |
| Intimidad frente a la geolocalización |
Art. 90 |
Información previa expresa, clara e inequívoca. |
| Derechos digitales en la negociación colectiva |
Art. 91 |
Los convenios pueden establecer garantías adicionales. |
8.4 Otros:
- Protección de datos de menores en internet (art. 92).
- Garantía de la libertad de expresión y derecho a la aclaración (art. 85).
9. Conceptos clave – chuleta para test
- Norma básica: LO 3/2018, de 5 de diciembre + RGPD (Reglamento 2016/679).
- Edad consentimiento: 14 años.
- Plazo respuesta a derechos: 1 mes (+2 meses).
- Notificación brecha a la AEPD: 72 horas.
- DPD – plazo comunicación designación a AEPD: 10 días.
- Sanciones máximas: 10M € / 2% o 20M € / 4% del volumen de negocio anual mundial.
- Prescripción (infracciones y sanciones): 3 / 2 / 1 años.
- Plazo máximo procedimiento sancionador: 9 meses.
- Mandato Presidente AEPD: 5 años, no renovable.
- AEPD: autoridad administrativa independiente; se relaciona con el Gobierno por el Ministerio de Justicia.
- Categorías especiales (art. 9): ideología, religión, sindicato, salud, vida sexual, datos genéticos/biométricos, origen racial/étnico.
- El DPD es INDEPENDIENTE: no recibe instrucciones ni puede ser sancionado por el ejercicio de sus funciones.
- Datos anonimizados ≠ datos personales (los seudonimizados, SÍ).
- Principio estrella: responsabilidad proactiva (accountability).
- No basta el consentimiento para tratar datos del art. 9 LOPDGDD (ideología, religión, sindicato, orientación sexual, raza/etnia).
- Tres derechos digitales laborales clásicos: art. 87 (dispositivos), art. 88 (desconexión), art. 89 (videovigilancia).
Documento de estudio resumido. Combinar siempre LOPDGDD + RGPD: el RGPD fija el marco general y la LOPDGDD desarrolla y completa para España.