LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y GARANTÍA DE DERECHOS

DIGITALES

La nueva Ley Orgánica 3/2018 de

Protección de Datos y Garantía de
Derechos Digitales (LOPDGDD) fue
aprobada el 6 de diciembre de 2018.
Esta norma adapta el ordenamiento
jurídico español al Reglamento General
de Protección de Datos (RGPD) y
desarrolla y completa sus disposiciones
→
Además, la Ley reconoce y
garantiza un nuevo conjunto de
derechos digitales de la ciudadanía
conforme al mandato establecido
en el artículo 18.4 de la
Constitución
 REGLAMENTO GENERAL PROTECCIÓN DE
DATOS
El Reglamento comunitario nº 2016/679 de 27
de abril de 2016 (RGPD) es la norma de mayor
relevancia que se ha adoptado en los últimos
años en el ámbito de la privacidad. No obstante,
las entidades disponen de un plazo de dos años
desde la publicación del Reglamento para
adaptarse a esta nueva norma. En concreto,
resultará aplicable a partir del 25 de mayo de
2018
 La protección de datos:
El derecho a la protección de datos personales
es un derecho fundamental de todas las
personas que se traduce en la potestad de
control sobre el uso que se hace de sus datos
personales. Este control permite evitar que, a
través del tratamiento de nuestros datos, se
pueda llegar a disponer de información sobre
nosotros que afecte a nuestra intimidad y demás
derechos fundamentales y libertades públicas
Artículo 18 de la Constitución Española:

“La Ley limitará el uso de la informática para

garantizar el honor y la intimidad personal y

familiar de los ciudadanos y el pleno ejercicio de

sus derechos”.
 Obligatoriedad de la Ley

Esta ley obliga a todas las personas, empresas y

organismos, tanto privados como públicos que
dispongan de datos de carácter personal a
cumplir una serie de requisitos y aplicar
determinadas medidas de seguridad en función
del tipo de datos que posean
 Ley Orgánica de Protección de datos (LOPD)

La Ley Orgánica de Protección de Datos o LOPD

forma parte de la legislación española desde
hace casi 20 años (es una Ley Orgánica de 1999),
pero se ha hecho más relevante con la
generalización del tratamiento digital de datos
por parte de las empresas y, sobre todo, con la
reciente entrada en vigor del Reglamento
General de Protección de Datos de la UE. Ambos
buscan proteger a los usuarios frente a
publicidad indiscriminada o intrusiva.
Con la digitalización de los procesos empresariales,
también es bastante común que las empresas los
almacenen en formato informático, exponiéndolos a
posibles ataques, facilitando su cesión a terceros y
posibilitando el envío de comunicaciones comerciales con
facilidad.
La LOPD (y también el RGPD) prohíbe la utilización de las
bases de datos para el envío de comunicaciones
comerciales cuando no hay un consentimiento expreso,
así como, por ejemplo, la venta de estos datos a terceros
si el titular no lo ha permitido. La empresa es responsable
del almacenamiento y gestión de los datos, pero siempre
debe garantizar la confidencialidad de los mismos en
beneficio del titular.
En definitiva, la LOPD protege el derecho
fundamental de los españoles a la intimidad y a
tener poder de decisión sobre sus propios datos
personales: qué uso quiere darles, a quién va a
confiárselos y para qué, durante cuánto tiempo,
etc.
Así que, además de una resolución ética y moral
que todas las empresas deberían tomar en
favor de sus clientes, cumplir con la LOPD es
una obligación legal.
Todas las empresas que traten datos de
carácter personal en el ejercicio de su
actividad deben cumplir la LOPD. Esto
significa, por ejemplo, que si tienes una lista
de suscriptores, manejas ficheros con emails
de clientes, u ofreces servicios que requieran
utilizar información de dichos clientes,
deberás cumplir con la LOPD. De lo contrario,
te enfrentas a brechas de seguridad y también
a importantes sanciones por parte de la
Agencia Española de Protección de Datos
(AEPD)
 El Reglamento General de Protección de
Datos (RGPD)
Desde el 25 de mayo de 2018, las exigencias legales de los
países de la Unión Europea convergen y se amplían con el
Reglamento General de Protección de Datos (RGPD), que
otorga un control sobre los datos personales incluso mayor
a los usuarios. Con este Reglamento General se incluye, por
ejemplo, la necesidad de consentimiento expreso, y no
tácito, lo que ha llevado a las empresas a actualizar sus
cláusulas y contratos para adaptarse a la nueva normativa,
ya que, ahora, la legislación específica el tipo de
consentimiento requerido.
Otras consideraciones si quieres que tu
empresa se adapte al RGPD: en caso de
filtración de datos, deberás comunicar el error
a la AEPD lo antes posible; habrás de mostrar
extrema responsabilidad y transparencia con el
tratamiento de los datos personales,
contemplando los riesgos y sus posibles
soluciones desde que se concibe un proyecto
empresarial; y deberás conocer los posibles
requerimientos y certificaciones que se te
puedan exigir según tu sector y tipo de
empresa
 Tu derecho a la protección de datos de
carácter personal

En nuestra vida cotidiana, en las relaciones que

entablamos tanto en el mundo real como en el
virtual, utilizamos nuestros datos de carácter
personal, que deben ser tratados de forma
respetuosa cumpliendo una serie de principios y
requisitos
 ¿Qué es un dato de carácter personal?
Los identificadas o identificables, pudiendo ser
identificable toda persona cuya identidad pueda
determinarse mediante un identificador (por
ejemplo, un nombre, un número de identificación,
datos de localización o un identificador en línea) o
mediante el uso de uno o datos de carácter personal
son cualquier información referente a personas
físicas varios elementos propios de la identidad
física, fisiológica, genética, psíquica, económica,
cultural o social de las personas.
Dependiendo del tipo de datos que se traten, éstos
pueden ser, por ejemplo, identificativos (nombre,
apellidos, número del documento nacional de
identidad), referidos a tu situación laboral, financiera
o de salud.
También existen las categorías especiales de datos,
en los que además de los datos de salud, se
encuentran los que puedan revelar tu origen étnico
o racial, opiniones políticas, convicciones religiosas o
fisiológicas, o afiliación sindical, así como el
tratamiento de tus datos genéticos, biométricos, así
como los relativos a tu vida sexual u orientación
sexual
 Obligaciones en el tratamiento de tus datos
personales

Los responsables de tratamientos (empresas,

Administraciones Públicas u otras entidades) a
los que has facilitado tus datos de carácter
personal deben cumplir con unos principios y
obligaciones que se regulan en el Reglamento
General de Protección de Datos (RGPD)
 Datos de carácter personal:
-Deben ser tratados de manera lícita, leal y transparente.
-Serán recogidos para unos fines determinados, explícitos
y legítimos, y no serán tratados de manera incompatible
con otros fines.
-Serán adecuados, pertinentes y limitados a lo necesario
en relación con los fines para los que son tratados.
-Serán exactos y si fuera necesario actualizados,
adoptándose medidas razonables para que se supriman o
rectifiquen sin dilación los datos personales que sean
inexactos respecto a los fines para los que se tratan.
-Serán mantenidos de forma que se permita la
identificación de los interesados por un plazo de
tiempo no superior al necesario para cumplir con los
fines del tratamiento. La conservación de datos debe
limitarse a las finalidades para las cuales se han
recabado dichos datos.
-Serán tratados de manera que se garantice su
adecuada seguridad, incluyendo la protección contra
el tratamiento no autorizado o ilícito y contra su
pérdida, destrucción o daño accidental, aplicando las
medidas técnicas y de organización apropiadas.
Cualquier responsable que recabe y trate tus
datos de carácter personal debe adoptar una
serie de medidas de seguridad, de carácter
técnico y organizativo para proteger tus datos.

Asimismo, todo aquel que intervenga en la

gestión o tratamiento de tus datos personales
debe cumplir con el deber de secreto.
El RGPD establece como regla general la
prohibición de tratar los datos de categoría
especial, salvo que concurra alguna de las
excepciones que recoge dicha norma.
Junto a este tipo de datos personales,
también conviene destacar el tratamiento de
datos personales relativos a condenas e
infracciones penales, así como
procedimientos y medidas cautelares y de
seguridad. Además, infracciones y sanciones
administrativas.
El responsable del tratamiento debe facilitar
determinada información al respecto en aras
de la transparencia en el tratamiento de tus
datos personales. El contenido de esta
información dependerá de si los datos se
han obtenido directamente de ti o no.

El RGPD regula este derecho distinguiendo

entre la información que se te debe facilitar
dependiendo de si los datos personales se
han obtenido directamente de ti o no.
La normativa de protección de datos permite que
puedas ejercitar ante el responsable tu derecho
de:
• Acceso
• Rectificación
• Oposición
• Supresión (“derecho al olvido”)
• Limitación del tratamiento
• Portabilidad
• No ser objeto de decisiones
individualizadas.
La AEPD pone a disposición de los ciudadanos
numerosos recursos para facilitar el ejercicio
de sus derechos, en el cumplimiento de la
normativa de protección de datos, así como la
posibilidad de interponer una denuncia.
De acuerdo con el nuevo Reglamento,
incumplir la normativa de protección de datos
de carácter personal se sanciona con multas
económicas que pueden ser muy elevadas. En
este sentido, el RGPD clasifica las infracciones
en dos categorías:
•Las menos graves se sancionan con hasta
10 millones de euros o el 2% del volumen
de facturación anual de la empresa (la más
alta de las dos).

•Y las más graves se sancionan con multas

que pueden alcanzar hasta 20 millones de
euros o el 4% del volumen de facturación
anual de la empresa (la más alta de las
dos).
Normativa:
• REGLAMENTO (UE) 2016/679 DEL
PARLAMENTO EUROPEO Y DEL CONSEJO de 27
de abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento
general de protección de datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de
los derechos digitales.