Claves de la

Ley Orgánica
de Protección de Datos
y Garantía de los
Derechos Digitales

NUEVA
LOPDGDD
 Claves de la nueva Ley Orgánica
de Protección de Datos Personales
y garantía de los derechos digitales
(LOPDGDD)
LO 3/2018, de 5 de diciembre (BOE de 6 de diciembre)
Ricard Martínez Martínez
Director de la Cátedra de privacidad y
Transformación Digital Microsoft-Universitat de Valencia.
Profesor de Derecho Constitucional Universitat de Valencia
El Senado aprobó el 22 de noviembre la Ley Orgánica de Protección de Datos Personales y Garantía
de los Derechos Digitales (LOPDGDD) que completa el Reglamento General de Protección de Datos
(RGPD)1. El Reglamento contiene más de 50 remisiones a la ley nacional que exigían una acción del
legislador ordenada a proporcionar seguridad jurídica para un ámbito de una enorme complejidad.

La tramitación de la nueva Ley ha sufrido vicisitudes muy singulares. El retraso en su tramitación, la

enorme cantidad de observaciones presentadas por sectores, expertos e investigadores durante la
exposición pública del Anteproyecto, el volumen significativo de enmiendas, y el cambio de Gobierno no
auguraban al trámite parlamentario un futuro prometedor. Sin embargo, el Proyecto logró unanimidad
en el Parlamento y una mayoría significativa en el Senado que no introdujo enmienda alguna.

1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

1
Claves de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

La nueva Ley cierra, al menos por ahora, el marco regulador de la protección de datos en nuestro
país. Estas son sus claves:

OBJETIVOS DE LA LEY Y ENFOQUE INTEGRADOR

La norma trata de alinear el Ordenamiento con el RGPD abordando la materia con distintos objetivos:

a) Adaptar las previsiones generales del RGPD en el ámbito nacional con el límite del margen de apreciación
que se concede a los Estados.

1
b) Regular sectores de actividad que requieren de un marco específico, ya sea por razón de la naturaleza
de la actividad del tratamiento, ya sea por razón de los riesgos eventualmente asociados al tratamiento.

c) Integrar en nuestro Ordenamiento un marco de tutela de los derechos digitales, con fundamento en
el mandato de desarrollo legal de garantías respecto del uso de la informática del artículo 18.4 de la
Constitución Española.

La LOPDGDD debe ser leída e interpretada siempre en el marco del RGPD. Ello exige a sus intérpretes, y en
particular a los llamados delegados de protección de datos, aproximarse a esta materia con un enfoque global
e integrador.

REGULAR LOS DERECHOS DIGITALES

(Título X)

Se regulan por primera vez los derechos digitales de los españoles. La LOPDGDD recoge novedades significati-
vas en esta materia. El Título X posee un contenido complejo que aúna diversas estrategias. En primer lugar, se

2
ordena una relectura de nuestro sistema de derechos fundamentales que deberá ser interpretado de modo
funcional al mundo digital. Se apuesta por una internet segura e inclusiva, con garantía de acceso universal y
se fomentan las políticas públicas.

El legislador confiere particular importancia a los derechos de los menores y a su educación, a los derechos
de los trabajadores, considerando el derecho a la desconexión de la vida laboral. Asimismo, aborda aspectos
nucleares de la vida digital como el impacto de los medios de comunicación y los buscadores, modulando los
derechos de rectificación, olvido y portabilidad, y ordena los efectos del fallecimiento en el mundo digital.

PRINCIPIOS APLICABLES A LOS TRATAMIENTOS

Y SUS BASES LEGITIMADORAS

3
(Título I)

Se modula y acota el sentido de los principios aplicables a los tratamientos y de las bases que los legiti-
man. Precisa el significado del principio de veracidad o exactitud y el deber de confidencialidad. Incorpora
la granularidad en el consentimiento, precisa los conceptos de obligación legal y misión de interés público,
flexibiliza el tratamiento de datos personales en el ámbito de la salud, y define las condiciones de tratamiento
de los datos relativos a condenas penales.

2
Claves de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

NOVEDADES PARA RESPONSABLES, ENCARGADOS DE TRATAMIENTOS Y DPO

(Título V, Art. 76 y DT 5.ª)

El legislador en el Título V ha decidido reforzar el marco de obligaciones del responsable y del encargado del
tratamiento.

En lo que se refiere al encargado la LOPDGDD recupera principios del Real Decreto 1720/2007 y los hibrida con
el RGPD. Y, aunque se concede una generosa moratoria para la actualización de los contratos (25/05/2022)
no debe olvidarse la importancia central que adquiere el papel de ciertos encargados en la notificación de
violaciones de seguridad.

Una de las cuestiones a las que debe prestarse una atención significativa será sin duda a la extensión de
los criterios que obligan a desarrollar una evaluación de impacto relativa a la protección de datos, en casos

4
como tratamientos a gran escala, cuando se produzca un tratamiento masivo que implique a un gran número
de afectados o conlleve la recogida de una gran cantidad de datos personales, o en supuestos interpretables
como el de los grupos de afectados en situación de especial vulnerabilidad.

Llama poderosamente la atención la atribución de una responsabilidad solidaria a los representantes de los
responsables o encargados del tratamiento no establecidos en la Unión Europea.

Particularmente extensa resulta la referencia al delegado de protección de datos cuya figura se implanta en
un número significativo de sectores y cuya contratación puede modular las sanciones en el caso de que no
sea obligatorio. Resulta muy relevante el juego que puede dar esta figura en el periodo de tramitación previa
de reclamaciones antes de que sean sometidas a la consideración de las autoridades de protección de datos.

Por otra parte, cabe subrayar la importancia que se concede a la autorregulación de las organizaciones me-
diante certificaciones y códigos de conducta y que incorporan sistemas de mediación.

Por último, debe destacarse la necesaria lectura integrada de RGPD y LOPDGDD en materia de transferencias
internacionales de datos.

TRIPLE ESCALA DE INFRACCIONES SANCIONES SOLO A EFECTOS DE PRESCRIPCIÓN

(Arts. 59 y ss., Título VIII, Título IX)

La LOPDGDD describe un catálogo de conductas típicas con la triple diferenciación propia de las infracciones

5
y sanciones administrativas en nuestro Ordenamiento jurídico, que las distingue entre muy graves, graves
y leves, pero tomando en consideración la diferenciación que el RGPD establece al fijar la cuantía de las
sanciones en su artículo 83 apartados 4, 5 y 6. La categorización de las infracciones y de las sanciones se in-
troduce, por lo tanto, a los solos efectos de determinar los plazos de prescripción de unas y otras, teniendo la
descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos
de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la
norma europea.

3
Claves de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

PROTECCIÓN DE LOS MENORES

(Arts. 7, 28, 34, 76, 82, 83, 84, 97, DA 19.ª y DF 8.ª)

La LOPDGDD concede una importancia fundamental a la protección de los menores. No sólo al mantener
la edad y los requisitos básicos del antiguo Reglamento2, sino en la medida en la que en sede de derechos
digitales se incorporan a nuestro derecho garantías adicionales. Asimismo, se sujeta el tratamiento de este
tipo de datos al desarrollo de una evaluación de impacto en la protección de datos y se requiere disponer

6
de un delegado de protección de datos a los centros docentes, y a las federaciones deportivas. Por último, la
afectación a los derechos de los menores será un elemento a considerar en la determinación y graduación de
las sanciones.

En sede de derechos digitales, amén de la seguridad digital, se recoge el derecho a la educación digital, que
implicará una revolución en los planes de estudio y en la formación del profesorado, y se contempla por
primera vez la responsabilidad de padres, madres y centros escolares por el tratamiento de información
de menores en internet, estableciendo el deber de la Administración de diseñar políticas públicas de con-
cienciación digital. Estas medidas se conciben como una aproximación provisional emplazando al Gobierno
a impulsar en el plazo de un año desde la entrada en vigor de la ley orgánica, un proyecto de ley dirigido
específicamente a garantizar los derechos de los menores ante el impacto de Internet.

EMPRESAS: NUEVAS OBLIGACIONES DIGITALES

(Título III, Arts. 32, 85, 86, 93 y 94)

En materia de derechos la LOPDGDD impactará de modo significativo en el mundo digital. De una parte, se
consolida el deber de implementar estrategias de información o transparencia por capas garantizando un
mínimo indispensable de información visible. Por otra parte, se modula el ejercicio de los derechos debiendo

7
garantizar accesibilidad y gratuidad, fijando criterio para identificar el ejercicio abusivo, y favoreciendo el
acceso digital a los datos mediante fórmulas de «acceso remoto, directo y seguro a los datos personales».
Entre las sombras, de la regulación cabe citar el mantenimiento del deber de bloqueo que de algún modo
se superpone al derecho a la limitación del tratamiento. Lo que obligará con toda probabilidad a programar
marcados adicionales que permitan diferenciar en términos lógicos uno y otro.

Por otra parte, los operadores deberán discernir cuándo se ejercen derechos propiamente digitales como la
rectificación en internet, la actualización de informaciones en medios de comunicación digitales o el derecho
al olvido en búsquedas de Internet, incluidas redes sociales, y servicios equivalentes.

ALTÍSIMO IMPACTO EN LAS RELACIONES LABORALES

(Arts. 22, 88, 89, 90 y 91 y DF 13.ª y 14.ª)

El Título IV incorpora disposiciones que regulan tratamientos sectoriales. Particularmente destacable resulta
su alto impacto en las relaciones laborales. Aquí, además de la definitiva consolidación legislativa de la po-
sición histórica de la Agencia Española de Protección de Datos (AEPD) sobre sistemas de denuncias internas,

8
debe prestarse particular atención a los controles laborales.

Es necesario integrar los principios generales sobre protección de datos personales con los nuevos derechos
digitales de los trabajadores en relación con la videovigilancia. Esta materia posee una especial complejidad y
exige una interpretación abierta al conjunto del Ordenamiento que tenga en cuenta la jurisprudencia sectorial
[SSTC 98/2000 (Caso La Toja), 39/2016 (Caso Bershka)], el Estatuto de los Trabajadores o la Legislación sobre
prevención de riesgos laborales. Del mismo modo, la limitación de la geolocalización o el derecho a la desco-
nexión digital en el ámbito laboral además de su propia significación material, modularán significativamente
situaciones como el uso dual personal-profesional de distintos terminales. Además, la LOPDGDD ofrece un
significativo margen a la negociación colectiva para el establecimiento de garantías adicionales.

4
Claves de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

NOVEDADES CONSUMIDORES: INFORMACIÓN CREDITICIA Y EXCLUSIÓN

PUBLICITARIA

(Arts. 20, 21, 23 y DA 6.ª)

9
Resulta significativo como la LOPDGDD plantea garantías adicionales al RGPD en la tutela de los derechos
del ciudadano-consumidor. En primer lugar, se consolida el marco heredado del Real Decreto 1720/2007 en
materia de información crediticia y sistemas de exclusión publicitaria. Aunque la regulación no se encuentra
exenta de dificultades, ya la anotación de una limitación del tratamiento será síntoma de la existencia de
algún problema de solvencia. No obstante, el sistema garantiza trazabilidad en el uso y acceso a los datos, se
limita la confiabilidad de los sistemas de profiling que acudan a fuentes adicionales, y se eliminan del sistema
las pequeñas deudas inferiores a 50 Euros.

NOVEDADES SECTOR PÚBLICO

(Arts. 24, 25, 26, 27, 28, 31, 77, DA 1.ª, 7.ª y 9.ª y DF 12.ª)

El sector público debe prestar una particular atención a la nueva LOPDGDD. El ámbito de materias que, bien
habilitan para la acción pública legitimando un tratamiento, bien imponen deberes adicionales, es particu-
larmente voluminoso.

Las administraciones podrán habilitar sistemas de información de denuncias internas, se modulan la función
estadística pública y el uso archivístico de los datos y se mantiene y refuerza las condiciones de contratación
de los encargados del tratamiento. Asimismo, se ofrece un régimen para el tratamiento de datos relativos a
infracciones y sanciones administrativas que abandona el ámbito de las categorías especiales de datos, pero,
manteniendo un régimen específico de protección equivalente y de creciente intensidad al requerirse bajo

10
ciertas condiciones realizar una evaluación de impacto relativa a la protección de datos.

Tres medidas destacan por su significativo impacto:

a) Dotar de publicidad a un registro de actividades del tratamiento.

b) La controvertida ausencia de un régimen sancionador con multas que, sin embargo, es compensada por
la casi obligación de abrir expedientes informativos ya que la AEPD «propondrá también la iniciación
de actuaciones disciplinarias cuando existan indicios suficientes para ello», así como la publicación en
boletines oficiales de una la amonestación con denominación del cargo responsable que incumpla la Ley
desoyendo informes técnicos.

c) Y la aplicación del Esquema Nacional de Seguridad como estándar obligatorio que planteará retos enor-
mes. En cualquier caso, la nueva norma resuelve una de las grandes dudas asegurando la interoperabilidad.

Por último, debe destacarse la especial sensibilidad del legislador al fijar criterios de publicación de informa-
ción que garanticen la protección de personas especialmente vulnerables, como las víctimas de violencia de
género-, y aseguren un tratamiento equilibrado que, por ejemplo, deje de exponer al mundo el NIF.

5
Claves de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales

NOVEDADES AEPD
(Títulos VI, VII Y VIII)

La autoridad de protección de datos experimenta un cambio radical. Aunque mantiene un cierto grado
de relación con el Ministerio de Justicia se acerca al modelo de comisionado parlamentario incorporando
en el camino una nueva denominación para su dirección, la Presidencia, y la figura de un Adjunto. Para el
nombramiento de ambos, allí donde antes no hubo requisitos ahora se exigirá una reconocida competencia
profesional, en particular en materia de protección de datos, que implicará una convocatoria pública y la
previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos antes de ser propuestos
al Parlamento acompañada de un informe justificativo. Las candidaturas serán ratificadas en la Comisión

11
de Justicia en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no
alcanzarse ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la
primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al
menos, a dos grupos parlamentarios diferentes. Por otra parte, se integran en el Consejo profesionales de la
privacidad, la seguridad o la transparencia.

Otro elemento destacable, resulta de la necesidad de abordar un modelo de relación con las autoridades de
protección de datos autonómicas que asegure un cumplimiento normativo homogéneo, proporcione meca-
nismo de cooperación, y garantice que la delimitación competencial y la exigencia de coherencia y cohesión
sé de también en el plano nacional.

En materia sancionadora finalmente la LOPDGDD, refuerza el marco procedimental y aterriza en nuestro

Derecho el régimen del RGPD confiriendo particular importancia a la intervención del delegado de protección
de datos y de los sistemas de resolución extrajudicial de conflictos.

INVESTIGACIÓN BIOMÉDICA

12
(DA 17.ª, DT 6.ª, DF 5.ª y 9.ª)

Debe ser destacado un último elemento sectorial. La LOPDGDD ha definido un marco esencial para la investi-
gación biomédica con datos. La norma servirá sin duda de base para potenciar un ámbito de interés vital para
la salud de los pacientes en los que la digitalización de nuestro sistema sanitario puede situar a España a la
cabeza de la investigación en la Unión Europea.

6
©  Wolters Kluwer España, S.A.

Wolters Kluwer
C/ Collado Mediano, 9
28231 Las Rozas (Madrid)

Tel: 902 250 500 – Fax: 902 250 502

e-mail: clientes@wolterskluwer.com

http://www.wolterskluwer.es

© Wolters Kluwer España, S.A. Todos los derechos reservados. A los efectos del art. 32 del Real Decreto Legislativo 1/1996, de 12 de abril, por el
que se aprueba la Ley de Propiedad Intelectual, Wolters Kluwer España, S.A., se opone expresamente a cualquier utilización del contenido de
esta publicación sin su expresa autorización, lo cual incluye especialmente cualquier reproducción, modificación, registro, copia, explotación,
distribución, comunicación, transmisión, envío, reutilización, publicación, tratamiento o cualquier otra utilización total o parcial en cualquier
modo, medio o formato de esta publicación.

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización
de sus titulares, salvo excepción prevista por la Ley. Diríjase a Cedro (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita
fotocopiar o escanear algún fragmento de esta obra.

El editor y los autores no aceptarán responsabilidades por las posibles consecuencias ocasionadas a las personas naturales o jurídicas que
actúen o dejen de actuar como resultado de alguna información contenida en esta publicación.