LOPD

``

Normativa

• Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) 3/2018
  Regula la protección de datos personales en España, adaptando la legislación española al GDPR de la UE. Establece derechos de los ciudadanos, obligaciones para responsables y encargados del tratamiento, y régimen sancionador.
• Reglamento General de Protección de Datos (RGPD) – UE 2016/679
  Normativa europea que regula la protección de datos personales, aplicable desde mayo de 2018, estableciendo principios de transparencia, minimización de datos, responsabilidad proactiva y derechos reforzados de los interesados.
  • Reglamento General de Protección de Datos - Wikipedia, la enciclopedia libre

Derechos de los interesados

• Derecho de acceso: permite al ciudadano conocer qué datos se están tratando y con qué finalidad.
• Derecho de rectificación: corregir datos inexactos o incompletos.
• Derecho de supresión (“derecho al olvido”): solicitar la eliminación de datos personales cuando no sean necesarios o se haya retirado el consentimiento.
• Derecho a la limitación del tratamiento: restringir el uso de datos bajo ciertas circunstancias.
• Derecho a la portabilidad: recibir los datos en un formato estructurado y reutilizable.
• Derecho de oposición: impedir que los datos sean tratados para ciertos fines, como marketing directo.
• Derecho a no ser objeto de decisiones automatizadas: protección frente a decisiones únicamente basadas en procesamiento automatizado, incluyendo perfilado.

Obligaciones de responsables y encargados

• Garantizar la licitud, lealtad y transparencia en el tratamiento de datos.
• Aplicar medidas técnicas y organizativas que aseguren la protección de datos desde el diseño y por defecto.
• Mantener registro de actividades de tratamiento según el tamaño y actividad de la organización.
• Notificar violaciones de seguridad de datos a la autoridad y a los afectados en plazos definidos.
• Designar un Delegado de Protección de Datos (DPD/DPO) si es obligatorio según la actividad o volumen de tratamiento.

Principios de tratamiento de datos

• Licitud, lealtad y transparencia.
• Limitación de la finalidad: solo usar los datos para los fines declarados.
• Minimización de datos: recolectar únicamente los necesarios.
• Exactitud: mantener los datos actualizados.
• Limitación del plazo de conservación: no conservar más tiempo del necesario.
• Integridad y confidencialidad: proteger frente a accesos no autorizados, pérdidas o daños.
• Responsabilidad proactiva: demostrar cumplimiento de la normativa.

Seguridad y medidas técnicas

• Cifrado de datos personales.
• Control de accesos y autenticación fuerte.
• Copias de seguridad periódicas y planes de recuperación ante incidentes.
• Evaluaciones de impacto en la protección de datos (EIPD) para tratamientos de alto riesgo.
• Políticas de privacidad claras y procedimientos internos de gestión de datos.

Recursos y referencias

• Agencia Española de Protección de Datos (AEPD)
• Reglamento General de Protección de Datos (UE 2016/679) – Texto consolidado
• LOPDGDD 3/2018 – Texto consolidado

Consentimiento y bases legales del tratamiento

• Bases legales del tratamiento: el RGPD establece que todo tratamiento de datos personales debe apoyarse en al menos una base legal válida:
  • Consentimiento explícito del interesado.
  • Ejecución de un contrato en el que el interesado es parte.
  • Cumplimiento de una obligación legal del responsable.
  • Protección de intereses vitales del interesado o de otra persona.
  • Tareas realizadas en interés público o ejercicio de poderes públicos.
  • Intereses legítimos del responsable o de terceros, siempre que no prevalezcan los derechos y libertades del interesado.
• Requisitos del consentimiento: debe ser libre, informado, específico e inequívoco. Debe poder retirarse con la misma facilidad con la que se otorga.

Transferencias internacionales de datos

• La transferencia de datos personales fuera de la UE/EEE requiere salvaguardas adecuadas para garantizar un nivel de protección equivalente al RGPD.
• Instrumentos legales habituales:
  • Cláusulas contractuales tipo aprobadas por la Comisión Europea.
  • Decisiones de adecuación que reconocen que un país ofrece un nivel adecuado de protección.
  • Reglas corporativas vinculantes para grupos de empresas.

Evaluaciones de impacto en la protección de datos (EIPD)

• Obligatorias cuando un tratamiento pueda implicar un alto riesgo para los derechos y libertades de los interesados, por ejemplo: tratamiento masivo de datos sensibles, perfilado, o seguimiento sistemático de espacios públicos.
• Deben incluir: descripción del tratamiento, evaluación de la necesidad y proporcionalidad, riesgos para los derechos de los interesados, medidas adoptadas para mitigarlos.

Registro de actividades de tratamiento (RAT)

• Documento obligatorio que permite al responsable y al encargado del tratamiento demostrar cumplimiento normativo.
• Debe incluir:
  • Identidad del responsable y encargados.
  • Finalidad del tratamiento.
  • Categorías de datos y de interesados.
  • Destinatarios de los datos.
  • Plazos de conservación.
  • Medidas de seguridad implementadas.

Sanciones y régimen sancionador

• Infracciones clasificadas en: leves, graves y muy graves.
• Multas pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocio global anual, dependiendo de la gravedad de la infracción.
• La autoridad de control (en España, la AEPD) tiene facultad para imponer sanciones, requerimientos de cese de actividad y medidas correctivas.

Delegado de Protección de Datos (DPD/DPO)

• Función: supervisar el cumplimiento de la normativa de protección de datos, asesorar a la organización, actuar como punto de contacto con la autoridad de control y los interesados.
• Requisitos: conocimientos especializados en protección de datos y autonomía funcional dentro de la organización.
• Debe ser independiente, no recibir instrucciones sobre su actuación y contar con recursos suficientes para cumplir su función.

Privacidad por diseño y por defecto (Privacy by Design & by Default)

• Estrategia que integra la protección de datos desde la fase de diseño de sistemas, servicios y procesos, y establece la configuración más privada por defecto.
• Incluye minimización de datos, anonimización cuando sea posible, y medidas de seguridad integradas desde el inicio.

Registros de brechas de seguridad y notificaciones a autoridades

• Las violaciones de seguridad que afecten datos personales deben registrarse y evaluarse.
• Notificación a la autoridad de control (AEPD en España) en un máximo de 72 horas desde que se tiene conocimiento de la brecha.
• La notificación debe incluir: naturaleza de la brecha, datos afectados, consecuencias probables y medidas adoptadas para mitigar el impacto.

Auditorías y cumplimiento

• Procedimientos internos de revisión periódica para asegurar que los tratamientos de datos cumplen con LOPDGDD y RGPD.
• Incluyen revisión de registros de actividades, análisis de riesgos, verificación de consentimiento, controles de seguridad, formación de personal y seguimiento de medidas correctivas.

Recursos actualizados (2025‑2026) sobre LOPD/RGPD

Autoridades y guías oficiales

• Agencia Española de Protección de Datos (AEPD) – portal principal con criterios, guías, preguntas frecuentes, herramientas de notificación de brechas, recurso de reclamaciones, registro de DPD y recursos para cumplimiento práctico.
  Disponible en la web oficial de la AEPD: aepd.es
• Plan Estratégico AEPD 2025‑2030 – marco de actuación de la AEPD para los próximos cinco años con énfasis en innovación responsable, cooperación internacional y cultura de protección de datos.
  Plan Estratégico AEPD 2025‑2030
• Revisión de guías, directrices y documentos técnicos (AEPD) – actualización de casi 100 documentos para alinearlos con cambios normativos y técnicos recientes.
  Documentos técnicos AEPD
• Plan de actuación AEPD 2025 – documento operativo que detalla acciones de cumplimiento, comunicación y supervisión para el año.
  Plan de actuación AEPD 2025

Recursos de cumplimiento y guías prácticas

• Guía RGPD para PYMEs (2025) – materiales orientados a pequeñas y medianas empresas para adaptar prácticas de protección de datos en entornos digitales y tecnológicos, considerando nuevos retos como la IA o la biometría.
  Guía RGPD para PYMEs
• Acción europea sobre aplicación de derechos (supresión) – iniciativa coordinada en 2025 con 32 autoridades de protección de datos de la UE para analizar y mejorar la práctica de cómo se aplican derechos de supresión de datos.
  Acción europea sobre derechos

Actualidad normativa y premios de la AEPD

• Convocatorias de premios de la AEPD 2025 – bases reguladoras y convocatorias dirigidas a fomentar la formación, concienciación social, protección de colectivos vulnerables, buenas prácticas de cumplimiento y difusión de la protección de datos como derecho fundamental.
  Convocatorias premios AEPD 2025

Estadísticas, sanciones y contexto 2024‑2025

• La AEPD gestionó cerca de 19.000 reclamaciones en 2024, principalmente vinculadas a videovigilancia, servicios de internet y sectores económicos variados.
  Estadísticas AEPD 2024
• Las sanciones impuestas generaron más de 35 millones de euros en multas en 2024, con aumento de casos transfronterizos supervisados por la AEPD.
  Sanciones AEPD 2024
• En 2025, se observa una multa relevante de 1 millón de euros a LaLiga por uso indebido de datos biométricos, destacando la vigilancia de tratamientos sensibles.
  Multa LaLiga 2025

Tendencias normativas y retos próximos

• Propuesta de simplificación del RGPD (2025): la Comisión Europea presentó una iniciativa para reducir la carga documental de ciertas obligaciones del RGPD para PYMEs, con recomendaciones del Comité Europeo de Protección de Datos (EDPB).
  Simplificación RGPD 2025
• Debate sobre reformulación del RGPD: informes y propuestas para modernizar o flexibilizar ciertos aspectos del RGPD, generando debate sobre riesgos para derechos fundamentales.
  Debate RGPD 2025

Recursos europeos y recomendaciones complementarias

• Comité Europeo de Protección de Datos (EDPB) – directrices y opiniones complementarias al RGPD a nivel comunitario (incluyendo plantillas como cláusulas tipo para transferencias internacionales).
  Portal EDPB
• Red Iberoamericana de Protección de Datos – plataforma de cooperación internacional que intercambia criterios y buenas prácticas entre autoridades iberoamericanas.
  Red Iberoamericana

Herramientas prácticas y asistencia

• La AEPD proporciona herramientas digitales para:
  • Notificación de brechas de seguridad de datos personales.
  • Gestión de reclamaciones y consultas previas.
  • Canal de atención para Delegados de Protección de Datos (DPD).
    Herramientas AEPD