Esquema de la LOPDGDD y el RGPD

LO 3/2018 + Reglamento (UE) 2016/679

Resumen estructurado de la Ley de Protección de Datos y el RGPD: principios de tratamiento, derechos ARCO-POL, delegado de protección de datos, AEPD y régimen sancionador.

Disposiciones Generales y Ámbito de Aplicación(LOPDGDD Arts. 1-4 / RGPD Arts. 1-4)

  • La LOPDGDD (LO 3/2018, de 5 de diciembre) adapta el ordenamiento jurídico español al RGPD (Reglamento UE 2016/679) y completa sus disposiciones.
  • Art. 1 LOPDGDD: Tiene por objeto garantizar los derechos digitales de la ciudadanía conforme al mandato del art. 18.4 CE.
  • Art. 2 RGPD: Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos incluidos o destinados a ser incluidos en un fichero.
  • Art. 3 LOPDGDD: Los datos de las personas fallecidas pueden ser accedidos por sus herederos o personas vinculadas por razones familiares o de hecho, salvo que el fallecido lo hubiera prohibido. Plazo: las instrucciones del fallecido pueden ejercerse en los 10 años siguientes al fallecimiento (o antes si el responsable tiene conocimiento).
  • Art. 4 RGPD: Definiciones clave: dato personal (toda información sobre una persona física identificada o identificable), tratamiento (cualquier operación sobre datos personales), responsable del tratamiento (determina los fines y medios), encargado del tratamiento (trata datos por cuenta del responsable), fichero (conjunto estructurado de datos personales).
  • No se aplica a: tratamientos realizados por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, ni a los tratamientos regulados por la legislación de protección de materias clasificadas.

Principios del Tratamiento de Datos(RGPD Arts. 5-11 / LOPDGDD Arts. 5-10)

  • Art. 5 RGPD: Principios relativos al tratamiento:
  • 1. Licitud, lealtad y transparencia: los datos serán tratados de manera lícita, leal y transparente para el interesado.
  • 2. Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos. No tratados de manera incompatible con dichos fines.
  • 3. Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
  • 4. Exactitud: exactos y, si fuera necesario, actualizados. Se adoptarán medidas razonables para suprimir o rectificar sin dilación los datos inexactos. Plazo máximo para rectificar o suprimir datos inexactos: sin dilación indebida.
  • 5. Limitación del plazo de conservación: mantenidos de forma que permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
  • 6. Integridad y confidencialidad: tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
  • 7. Responsabilidad proactiva (accountability): el responsable del tratamiento es responsable del cumplimiento de los principios y capaz de demostrarlo.

Bases de Legitimación del Tratamiento(RGPD Art. 6 / LOPDGDD Art. 8)

  • Art. 6 RGPD: El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
  • a) Consentimiento del interesado para uno o varios fines específicos.
  • b) Ejecución de un contrato en el que el interesado es parte.
  • c) Cumplimiento de una obligación legal aplicable al responsable.
  • d) Protección de intereses vitales del interesado o de otra persona física.
  • e) Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • f) Satisfacción de intereses legítimos del responsable o de un tercero (no aplicable al tratamiento por autoridades públicas).
  • Art. 7 RGPD: El consentimiento debe ser libre, específico, informado e inequívoco. Para menores de 14 años se requiere el consentimiento del titular de la patria potestad (art. 7 LOPDGDD).
  • Art. 9 RGPD: Prohibición de tratar categorías especiales de datos (origen étnico, opiniones políticas, convicciones religiosas, datos genéticos, biométricos, de salud, vida sexual, orientación sexual) salvo excepciones tasadas (consentimiento explícito, obligación legal en materia laboral, interés vital, etc.).

Derechos de los Interesados (ARCO-POL)(RGPD Arts. 12-23 / LOPDGDD Arts. 12-18)

  • Art. 12 RGPD: El responsable debe facilitar el ejercicio de derechos de forma transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Plazo de respuesta: 1 mes desde la recepción de la solicitud, prorrogable 2 meses más en casos de especial complejidad, informando al interesado.
  • Art. 12.5 RGPD: El ejercicio de derechos es gratuito. Solo puede exigirse un canon razonable o negarse a actuar si las solicitudes son manifiestamente infundadas o excesivas (repetitivas).

Derecho de Acceso(RGPD Art. 15)

  • Art. 15: El interesado tiene derecho a obtener del responsable confirmación de si se están tratando o no datos personales que le conciernen y, en caso afirmativo, a acceder a los datos y a la siguiente información: fines del tratamiento, categorías de datos, destinatarios, plazo de conservación, existencia de derechos de rectificación, supresión, limitación u oposición.
  • El responsable facilitará una copia gratuita de los datos objeto de tratamiento. Por copias adicionales podrá cobrar un canon razonable.
  • Art. 13 LOPDGDD: El derecho de acceso se entenderá otorgado si el responsable facilita un acceso remoto, directo y seguro a los datos.

Derecho de Rectificación(RGPD Art. 16)

  • Art. 16: El interesado tiene derecho a obtener sin dilación indebida del responsable la rectificación de los datos personales inexactos que le conciernan.
  • También tiene derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional complementaria.
  • Art. 14 LOPDGDD: Al ejercer el derecho de rectificación, el interesado deberá indicar los datos que deben corregirse y acompañar la documentación justificativa.

Derecho de Supresión (derecho al olvido)(RGPD Art. 17)

  • Art. 17: El interesado tiene derecho a obtener la supresión de sus datos ("derecho al olvido") cuando: los datos ya no sean necesarios, se retire el consentimiento, se oponga al tratamiento, los datos se hayan tratado ilícitamente, o deban suprimirse por obligación legal.
  • Art. 17.3: No procede cuando el tratamiento sea necesario para ejercer la libertad de expresión, cumplir una obligación legal, razones de interés público en el ámbito de la salud, fines de archivo en interés público o para la formulación, ejercicio o defensa de reclamaciones.
  • Art. 15 LOPDGDD: Cuando los datos hubieran sido obtenidos o tratados ilícitamente, el responsable deberá proceder a su supresión.

Derecho a la Portabilidad(RGPD Art. 20)

  • Art. 20: El interesado tiene derecho a recibir los datos personales que le incumban y que haya facilitado a un responsable en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable original.
  • Solo se aplica cuando el tratamiento esté basado en el consentimiento o en un contrato, y se efectúe por medios automatizados.
  • El interesado tiene derecho a que los datos se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Derecho de Oposición y Decisiones Automatizadas(RGPD Arts. 21-22)

  • Art. 21: El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de datos basado en interés público o interés legítimo. El responsable dejará de tratar los datos salvo que acredite motivos legítimos imperiosos.
  • Art. 21.2: Cuando el tratamiento tenga por objeto la mercadotecnia directa, el interesado tiene derecho a oponerse en todo momento, y los datos dejarán de ser tratados para dichos fines.
  • Art. 22: El interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente. Excepciones: cuando sea necesaria para la celebración o ejecución de un contrato, esté autorizada por el Derecho de la UE o del Estado, o se base en el consentimiento explícito.

Derecho de Limitación del Tratamiento(RGPD Art. 18)

  • Art. 18: El interesado tiene derecho a obtener la limitación del tratamiento cuando: impugne la exactitud de los datos (durante un plazo que permita verificarla), el tratamiento sea ilícito y el interesado se oponga a la supresión, el responsable ya no necesite los datos pero el interesado los necesite para reclamaciones, o se haya ejercido el derecho de oposición mientras se verifica si los motivos legítimos del responsable prevalecen.
  • Mientras dure la limitación, los datos solo podrán ser objeto de conservación, o de tratamiento con el consentimiento del interesado, para reclamaciones, protección de derechos de terceros o razones de interés público importante.

Delegado de Protección de Datos (DPD)(RGPD Arts. 37-39 / LOPDGDD Arts. 34-37)

  • Art. 37 RGPD: Es obligatorio designar un DPD cuando el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales en el ejercicio de su función judicial), cuando las actividades principales del responsable requieran una observación habitual y sistemática de interesados a gran escala, o cuando se traten a gran escala categorías especiales de datos o datos relativos a condenas e infracciones penales.
  • Art. 34 LOPDGDD: Además de los supuestos del RGPD, deben designar DPD obligatoriamente, entre otros: colegios profesionales, centros docentes, entidades aseguradoras, establecimientos financieros de crédito, empresas de seguridad privada, federaciones deportivas, centros sanitarios, distribuidores de energía eléctrica y gas, y operadores de telecomunicaciones.
  • Art. 35 LOPDGDD: El DPD debe comunicar su designación a la AEPD o autoridad autonómica competente en el plazo de 10 días.
  • Art. 36 LOPDGDD: El DPD intervenido en la resolución de reclamaciones. La AEPD puede, antes de resolver un procedimiento, remitir la reclamación al DPD para que responda en el plazo de 1 mes. Si el DPD no comunica la decisión al interesado en 1 mes, la AEPD continuará el procedimiento.
  • Art. 38 RGPD: El DPD actuará de forma independiente. No podrá ser destituido ni sancionado por el desempeño de sus funciones. Rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
  • Art. 39 RGPD: Funciones del DPD: informar y asesorar, supervisar el cumplimiento del RGPD y de la LOPDGDD, asesorar en evaluaciones de impacto, cooperar con la autoridad de control y actuar como punto de contacto.

Responsable y Encargado del Tratamiento(RGPD Arts. 24-36 / LOPDGDD Arts. 28-33)

  • Art. 24 RGPD: El responsable aplicará medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al RGPD (principio de responsabilidad proactiva).
  • Art. 25 RGPD: Protección de datos desde el diseño y por defecto. El responsable aplicará medidas que garanticen que solo se traten los datos necesarios para cada fin específico.
  • Art. 28 RGPD: El encargado del tratamiento se regirá por un contrato o acto jurídico que vincule al encargado con el responsable. El contrato establecerá: el objeto, la duración, la naturaleza y finalidad del tratamiento, el tipo de datos personales y las categorías de interesados.
  • Art. 28 LOPDGDD: El encargado del tratamiento determinará los subencargados de acuerdo con las condiciones del contrato. El encargado debe suprimir los datos al finalizar la prestación del servicio o devolver los datos al responsable.
  • Art. 30 RGPD: Registro de actividades de tratamiento. Obligatorio para organizaciones con más de 250 empleados, o cuando el tratamiento pueda entrañar un riesgo para los derechos, no sea ocasional o incluya categorías especiales de datos.
  • Art. 33 RGPD: Notificación de brechas de seguridad a la autoridad de control: sin dilación indebida y, de ser posible, a más tardar 72 horas después de que el responsable tenga constancia. Si supone alto riesgo, debe notificarse también al interesado (art. 34 RGPD).
  • Art. 35 RGPD: Evaluación de impacto relativa a la protección de datos (EIPD): obligatoria cuando un tipo de tratamiento sea susceptible de entrañar un alto riesgo para los derechos y libertades (evaluación sistemática de aspectos personales, tratamiento a gran escala de datos sensibles, vigilancia sistemática a gran escala).

La Agencia Española de Protección de Datos (AEPD)(LOPDGDD Arts. 44-62)

  • Art. 44: La AEPD es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos.
  • Art. 48: La Presidencia de la AEPD será ejercida por su Presidente, nombrado por el Gobierno mediante Real Decreto, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional. Su mandato es de 5 años no renovable.
  • Art. 48.3: El Presidente solo podrá ser cesado antes de la expiración de su mandato a petición propia, por incapacidad permanente, por condena firme por delito doloso o por incumplimiento grave de sus obligaciones.
  • Art. 49: El Adjunto al Presidente ejerce las funciones de la Presidencia en caso de vacante, ausencia o enfermedad. Es nombrado por el Gobierno por un período de 5 años no renovable.
  • Art. 50: El Consejo Consultivo de la AEPD está compuesto por representantes del Congreso, Senado, Administración del Estado, CCAA, Administración Local, CGPJ, Fiscalía General del Estado, Real Academia de Jurisprudencia, sector afectado, organizaciones de consumidores, y de los profesionales de la protección de datos.
  • Art. 57: Funciones de la AEPD: supervisar la aplicación del RGPD y la LOPDGDD, promover la sensibilización, asesorar al Gobierno y al Parlamento, atender reclamaciones, investigar la aplicación del RGPD, imponer sanciones, aprobar cláusulas contractuales tipo, autorizar transferencias internacionales de datos, y elaborar una memoria anual.
  • Las CCAA pueden crear sus propias autoridades de protección de datos para el ámbito de las Administraciones Públicas autonómicas y locales de su territorio.

Régimen Sancionador(RGPD Arts. 83-84 / LOPDGDD Arts. 70-78)

  • Art. 83.4 RGPD: Infracciones con multas de hasta 10.000.000 euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cifra que sea mayor): obligaciones del responsable y encargado, obligaciones del DPD, obligaciones de los organismos de certificación y de supervisión.
  • Art. 83.5 RGPD: Infracciones con multas de hasta 20.000.000 euros o el 4% del volumen de negocio total anual global (la cifra que sea mayor): infracción de los principios básicos del tratamiento, infracción de los derechos de los interesados, transferencias internacionales de datos sin garantías, incumplimiento de una resolución de la autoridad de control.
  • Art. 72 LOPDGDD: Infracciones muy graves (prescriben a los 3 años): utilización de datos para fines incompatibles, tratamiento sin legitimación, vulneración del deber de confidencialidad, exigir el pago para ejercer derechos, transferencias internacionales sin garantías, obstrucción a la función inspectora de la AEPD.
  • Art. 73 LOPDGDD: Infracciones graves (prescriben a los 2 años): tratamiento de datos de menores sin consentimiento, falta de adopción de medidas técnicas y organizativas apropiadas, no designar DPD cuando sea obligatorio, no notificar brechas de seguridad a la AEPD, incumplimiento de una resolución de la AEPD.
  • Art. 74 LOPDGDD: Infracciones leves (prescriben al año): incumplimiento del principio de transparencia de la información, no suprimir datos de personas fallecidas cuando se solicite, no disponer del registro de actividades de tratamiento, notificación incompleta de brechas de seguridad.
  • Art. 77 LOPDGDD: Las Administraciones Públicas no están sujetas a multas sino a apercibimiento. Cuando la AEPD considere que una Administración ha cometido infracción, dictará resolución declarativa que puede incluir medidas correctoras y se notificará al Defensor del Pueblo.
  • Prescripción de sanciones: leves 1 año, graves 2 años, muy graves 3 años.

Tratamientos Específicos y Derechos Digitales(LOPDGDD Arts. 19-27 y Título X (Arts. 79-97))

  • Art. 19 LOPDGDD: Tratamiento de datos de contacto y de empresarios individuales: se presumen lícitos cuando se refieran a su condición de empresarios y sean tratados para mantener relaciones profesionales.
  • Art. 20 LOPDGDD: Sistemas de información crediticia (ficheros de morosos): solo podrán incluirse datos relativos a deudas ciertas, vencidas y exigibles que hayan sido previamente reclamadas. El importe de la deuda debe ser superior a 50 euros. El deudor debe ser informado previamente. Los datos deben cancelarse cuando se acredite el pago o transcurran 5 años desde el vencimiento de la obligación.
  • Art. 22 LOPDGDD: Tratamientos con fines de videovigilancia: las imágenes se conservarán por un plazo máximo de 1 mes, salvo que deban conservarse para acreditar la comisión de actos contra la integridad de personas, bienes o instalaciones.
  • Art. 23 LOPDGDD: Sistemas de exclusión publicitaria (listas Robinson): los afectados podrán inscribirse en sistemas de exclusión para evitar comunicaciones comerciales. El responsable deberá consultar estos sistemas antes de realizar envíos comerciales.
  • Título X — Derechos digitales: derecho a la neutralidad de internet (art. 80), derecho de acceso universal a internet (art. 81), derecho a la seguridad digital (art. 82), derecho a la educación digital (art. 83), derecho a la rectificación en internet (art. 85), derecho a la actualización de informaciones en medios digitales (art. 86), derecho al testamento digital (art. 96).
  • Art. 87 LOPDGDD: Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando la intimidad.
  • Art. 88 LOPDGDD: Derecho a la desconexión digital en el ámbito laboral. Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar el respeto de su tiempo de descanso, permisos y vacaciones.
  • Art. 89 LOPDGDD: Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. Los empleadores deberán informar previamente a los trabajadores y a sus representantes.
Hacer test de Protección de DatosVer todos los esquemas