Guía adaptación de la LOPD a LOPDGDD en 2021

La LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales regula el tratamiento de datos de carácter personal en España. ¿Qué derechos y obligaciones establece? ¿Cuáles son sus similitudes y diferencias con el RGPD? En esta guía te contamos todo lo que debes saber sobre esta ley.

¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)?

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales es la adaptación de la normativa española al reglamento europeo sobre protección de datos (RGPD).

El objetivo de esta ley es proporcionar una base legal sólida y actualizada para regular el tratamiento de los datos personales de las personas físicas, así como la libre circulación de los mismos.v

Además, pretende garantizar el respeto a los derechos digitales indicados en el artículo 18.4 de la Constitución Española.

Por tanto, la protección de datos se ejercerá en base a los establecido en esta ley orgánica y a lo dispuesto en el Reglamento UE 2016/679.v

La LOPDGDD 3/2018 llega para sustituir a la LOPD 15/1999, la anterior normativa sobre protección de datos, que ha quedado derogada.

Texto íntegro de la Ley de Protección de Datos en PDF (BOE)

Puedes consultar el texto íntegro de la LOPDGDD en PDF a través del siguiente enlace (publicación en el Boletín Oficial del Estado).

¿Cómo cumplir con la LOPDGDD 3/2018 (antigua LOPD 15/1999)?

La LOPDGDD establece nuevas obligaciones en materia de protección de datos. A continuación vemos las exigencias de esta ley y cómo deben adaptarse los responsables del tratamiento.

como cumplir la lopd-gdd ley de proteccion de datos y garantia de derechos digitales

Registrar los tratamientos realizados en la empresa

¿Qué tipo de datos es necesario registrar y de qué manera? La LOPDGDD obliga a los responsables del tratamiento o encargados a registrar la siguiente información:

  • Identidad y datos de contacto del responsable, de su representante y del Delegado de Protección de Datos, si lo hubiera.
  • Finalidad con la que se recogen los datos.
  • Descripción de las categorías de interesados y de las categorías de datos.
  • Si los datos van a ser cedidos a terceros, incluyendo si se trata de entidades internacionales.
  • Plazos para la eliminación de la información.
  • Descripción de las medidas técnicas y organizativas que se adoptarán para garantizar la seguridad de la información.

El registro de las actividades de tratamiento es obligatorio para todas las empresas con más de 250 trabajadores.

También lo será para aquellas que cuenten con menos de 250 empleados, pero que manejen datos que pueden suponer un riesgo para los derechos o libertades del individuo, o traten categorías especiales de datos.v

Si la empresa tiene designado un Delegado de Protección de Datos, se le ha de comunicar cualquier modificación que se realice en el registro.

Por otro lado, hay ciertas entidades que deben hacer públicas sus actividades de tratamiento por medios electrónicos. Los sujetos obligados son los siguientes:

  • Tribunal Supremo, Audiencia Nacional, Tribunal Superior de Justicia, Audiencias Provinciales y Juzgados.
  • Órganos constitucionales e instituciones de las Comunidades Autónomas.
  • Administración General del Estado, Diputaciones Provinciales y Administraciones locales.
  • Organismos públicos dependientes de la Administración pública.
  • Autoridades Administrativas Independientes o AAI.
  • Banco de España.
  • Corporaciones de derecho público como Cámaras oficiales, Cofradías o Colegios Profesionales.
  • Fundaciones pertenecientes al sector público.
  • Universidades públicas
  • Consorcios.
  • Grupos parlamentarios de Cortes Generales y Asambleas.

Deber de confidencialidad

El artículo 5 de la LOPDGDD hace referencia a la confidencialidad. Señala que los responsables del tratamiento deben poner en marcha las medidas técnicas y organizativas necesarias para garantizar la máxima seguridad de los datos.

Las medidas adoptadas deben incluir mecanismos para evitar el tratamiento ilícito o no autorizado de información personal, y la protección frente a la pérdida o destrucción de datos.

Consentimiento inequívoco

El artículo 6 de la LOPDGDD 3/2018 se refiere a la obligación de obtener consentimiento para poder recabar, almacenar y utilizar con cualquier fin los datos del interesado.

Además, siguiendo las indicaciones del RGPD, ahora este consentimiento debe ser inequívoco.

Se considera consentimiento inequívoco aquella manifestación libre, voluntaria, informada y activa por parte del interesado, mediante la cual acepta de forma explícita el tratamiento de sus datos.

Para aceptar el tratamiento de forma expresa, debe realizar alguna acción afirmativa, ya sea una firma, rellenar un formulario, o marcar una casilla de aceptación.

En caso de que se quiera obtener datos para su tratamiento con varias finalidades, el afectado deberá otorgar consentimiento para todas ellas por separado.

No se podrá tratar los datos para otra finalidad distinta para la que el interesado prestó su consentimiento.

Consentimiento de menores

Una de las cuestiones más delicadas de la protección de datos es cómo tratar la información de los menores de edad.

En este caso, los menores solo podrán otorgar su consentimiento si tienen más de 14 años. Hay excepciones en las que, aun teniendo más de 14 años, deberán estar presentes padres o tutores.

El consentimiento de los menores de 14 años deberá ser otorgado por aquellas personas que posean la patria potestad o tutela del menor.

Si necesitas redactar algún contrato relacionado con consentimiento y otro aspecto relacionado con la protección de datos, te recomendamos visitar nuestra sección con modelos y plantillas gratis.

Obligación de dar más información

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) también establece la obligación de informar al interesado sobre las vías de las que dispone para ejercer sus derechos.

Nos referimos, por supuesto, a los derechos ARSULIPO, que en la normativa española sustituyen a los tradicionales derechos ARCO.

derechos arco ley proteccion de datos y reglamento europeo de proteccion de datos

En epígrafes posteriores profundizaremos más en ellos. De momento, baste con señalar que se trata de los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Además de informar sobre los medios que el interesado tiene a su disposición, el responsable del tratamiento también ha de garantizar que se trate de medios fácilmente accesibles. Además, no podrá denegar el acceso a la información aunque el interesado elija un medio distinto al propuesto.

Por otra parte, también existe la obligación de informar al interesado si se han comunicado a terceros datos personales suyos que han sometidos a rectificación, supresión o limitación del tratamiento.

Análisis de riesgos

Los responsables o encargados han de realizar un análisis del riesgo que puede provocar el tratamiento de determinados datos personales. Se considera que existen datos de alto riesgo en los siguientes supuestos:

  • Son susceptibles de provocar discriminación, usurpación de la identidad u otro tipo de fraudes.
  • Podrían suponer pérdidas económicas, violación de la confidencialidad y un perjuicio para la reputación de la persona.
  • El tratamiento puede privar al interesado del ejercicio de sus derechos y libertades o hacerle perder el control sobre su información personal.
  • Cuando se tratan las categorías especiales de datos altamente sensibles de otras formas a las prevista en la ley (debe hacerse de forma incidental, accesorio y con técnicas de anonimización).
  • Información en la que se realiza una evaluación de las personas con el objetivo de elaborar perfiles.
  • Tratamiento de datos de grupos de menores de edad o grupos especialmente vulnerables.
  • En caso de que se lleve a cabo un tratamiento masivo de datos que afecte a gran número de personas.
  • Aquellos datos que son cedidos a terceros países u organizaciones internacionales sobre las que no se puede garantizar el nivel de protección adecuado.
  • Otros supuesto que pudieran suponer un riesgo para los interesados a juicio del responsable, encargado o DPO.

Comunicar los incidentes de seguridad

La ley de protección de datos española adapta la normativa europea sobre la comunicación de brechas de seguridad. Por tanto, cualquier violación de la seguridad de los datos se debe comunicar a los afectados y a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas.

Evaluaciones de impacto sobre la protección de datos

Los responsables o, en su caso, encargados o delegado, deberán valorar si procede realizar una evaluación del impacto que su tratamiento produce en la protección de datos de los interesados.

En base a esta evaluación de impacto se decidirán las medidas técnicas y organizativas apropiadas, tanto a la hora de elegir los medios de tratamiento como para la ejecución del tratamiento en sí mismo.

Para ello, se tendrán en cuenta factores como el estado de la técnica, el coste de aplicación de dichas técnicas, o la naturaleza, contexto y finalidad del tratamiento.

criterios que indican cuando se debe realizar una evaluacion de impacto segun el reglamento general de proteccion de datos

Contratos de Encargado del Tratamiento

El encargado del tratamiento es la persona que maneja los datos e información personal de clientes, proveedores o prestadores de servicios de una empresa, a través de un contrato firmado con los responsables del tratamiento.

Es decir, los responsables otorgan al encargado la potestad de realizar el tratamiento de datos en su nombre.

Por tanto, el encargado del tratamiento puede acceder a todos aquellos datos personales que sean necesarios para la prestación del servicio al responsable.

Los encargados del tratamiento no podrán utilizar los datos a los que acceden para sus propias finalidades. En caso de hacerlo tendrían la consideración de responsables del tratamiento en cualquier litigio.

Se recomienda que el encargado del tratamiento conserve aquellos datos de los cuales se pudieran derivar responsabilidades en su relación con el responsable. Los datos guardados han de estar debidamente bloqueados para que nadie más tenga acceso a ellos.

Garantizar los derechos digitales

Ya te hicimos un pequeño avance sobre los derechos ARSULIPO en un epígrafe anterior. Ahora vamos a profundizar un poco más en estos derechos:

  • Acceso: el interesado tiene derecho a obtener la confirmación del responsable sobre si se están tratando sus datos y, en caso afirmativo, podrá acceder a dicha información.
  • Rectificación: consiste en el derecho a solicitar que se modifiquen los datos personales inexactos o a que se complete la información incompleta.
  • Supresión: se puede solicitar la eliminación de aquellos datos que no hayan sido recabados por métodos lícitos o que no se estén usando de acuerdo a la ley.
  • Limitación del tratamiento: el responsable no debe eliminar los datos, pero no puede usarlos de la forma habitual. La limitación se impone en caso de inexactitud de datos, tratamiento ilícito, o cuando los datos se necesitan para reclamaciones.
  • Portabilidad: se trata de la obligación del responsable de facilitar al interesado, por el medio que este solicite, de cualesquiera datos que le hayan sido facilitados.
  • Oposición: la persona objeto del tratamiento puede oponerse al mismo en caso de factores referentes a su propia situación y elección personal. Por ejemplo, solicitar que sus datos no se utilicen para mercadotecnia directa o la elaboración de perfiles.

Designar Delegado de Protección de Datos

El Delegado de Protección de Datos es una figura obligatoria solo en determinados casos. La LOPDGDD es mucho más precisa en este sentido que el RGPD, y cita todas aquellas entidades que han de contar con un DPO o DPD.

  • Colegios Profesionales
  • Centros docentes, incluyendo Universidades Públicas y privadas.
  • Empresas de explotación de redes y destinadas a la prestación de servicios de comunicación electrónica.
  • Prestadores de SSI (Servicios de la Sociedad de la Información) que elaboren perfiles de usuarios.
  • Entidades financieras.
  • Entidades de ordenación y supervisión de entidades de crédito.
  • Compañías aseguradoras.
  • Entidades reguladas por la normativa del Mercado de Valores.
  • Empresas dedicadas a la comercialización y distribución de energía eléctrica o gas natural.
  • Entidades dedicadas a la tutela de ficheros sobre solvencia patrimonial, o datos destinados a la prevención del fraude, el blanqueo de capitales o la financiación del terrorismo.
  • Empresas dedicadas a la realización de actividades comerciales o publicitarias que impliquen la elaboración de perfiles de usuarios.
  • Centros sanitarios, exceptuando a aquellos profesionales del sector que ejerzan su actividad a título individual.
  • Compañías dedicadas a la realización y emisión de informes con datos relativos a personas físicas.
  • Operadores del sector del juego.
  • Empresas de seguridad privada.
  • Federaciones deportivas, siempre y cuando traten información relativa a menores de edad.

Novedades de la LOPDGDD que afectan a particulares y empresas

Novedades de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales

La LOPDGDD supone una evolución respecto a la antigua LOPD. Sobre todo en lo que se refiere a sus siglas «GDD», o «Garantía de Derechos Digitales». Es decir, pone especial énfasis en actualizar una legislación que se quedaba obsoleta en el actual mundo digital. Pero, ¿cuáles son las principales novedades de esta Ley respecto a la anterior?

Derecho a la desconexión digital en el ámbito laboral

Uno de los derechos que introduce la LOPDGDD es la desconexión digital. Ahora los trabajadores tienen derechos a que no se requiera su presencia o actividad online por motivos de trabajo fuera de su horario laboral. El objetivo de este derechos es garantizar que los trabajadores puedan disfrutar de la intimidad personal y familiar, así como sus períodos de descanso, vacaciones o permisos.

Derecho a la supresión

Este derecho permite al interesado solicitar que se eliminen aquellos datos personales que le conciernen. El responsable del tratamiento estará obligado a atender esta petición en los siguientes casos:

  • La información ya no resulta relevante para la finalidad con la que fue obtenida.
  • El interesado ejerce su derecho a retirar el consentimiento.
  • El interesado ejerce su derecho a oponerse al tratamiento, sin que existan otros motivos legítimos para el tratamiento de dichos datos.
  • Los datos hayan sido recabados o utilizados de forma ilícita.
  • Se trata de datos de servicios de la sociedad de información relativos a niños menores de 16 años que han sido obtenidos de forma ilícita (consentimiento de padres o tutores)

Hay ciertos supuestos en los que no se puede aplicar el derecho de supresión:

  • Cuando los datos se recaban para ejercer el derecho a la libertad de expresión e información.
  • Para el cumplimiento de obligaciones legales relativas al Derechos de la Unión Europea y sus Estados miembros.
  • Si el responsable utiliza los datos para razones de interés público o para el ejercicio de sus poderes públicos.
  • Por motivos de salud pública.
  • En caso de que sean datos de interés para archivo público, investigación científica o histórica.
  • Si la información se va a utilizar únicamente con fines estadísticos.
  • Se trata de información clave para efectuar reclamaciones o defenderse de las mismas.

Derecho al olvido en Internet

Una de las grandes novedades de la LOPDGDD es la plasmación por escrito del derecho al olvido.

Este nuevo derecho permite al interesado solicitar que se eliminen de los criterios de búsqueda de internet (en buscadores como Google) aquellos datos relativos a su persona que estén desfasados, no se amolden a la realidad actual de la persona o perjudiquen su reputación.

Ojo, no hace falta que los datos sean falsos o inexactos. Pueden ser datos verídicos, pero desfasados.

Por ejemplo, una persona que estuvo en la cárcel hace 5 años y quiere que ese dato desaparezca de los motores de búsqueda porque está reformado y esa información le perjudica a la hora de encontrar trabajo.

Sin embargo, hay que matizar que este derecho solo evita que se muestre información relativa a determinados criterios de búsqueda. Sin embargo, no elimina la información, y es posible que los datos sigan apareciendo si se utilizan otros criterios de búsqueda.

En definitiva, elimina la relación que existe en los buscadores entre el nombre de una persona y los resultados de búsqueda que aparecen.

Derecho a la cancelación

En realidad solo citamos el derecho a la cancelación porque es una especie de antecesor del derecho de supresión. Este derecho, como decimos ya sustituido por el derecho a la supresión, simplemente obligaba a cancelar o bloquear los datos, pero no a eliminarlos.

Derecho al olvido en redes sociales

El artículo 94 de la LOPDGDD se refiere al derecho al olvido en las redes sociales. En él se define el derecho de cualquier persona a solicitar que se supriman los datos que hubiera facilitado para ser publicados por servicios de las redes sociales o medios equivalentes.

El usuario también tiene derecho a solicitar la supresión de todos aquellos datos facilitados por terceros que sean inadecuados, inexactos, o estén desactualizados respecto a la finalidad para la que fueron recabados.

Otra razón por la que el interesado puede solicitar la eliminación de los datos es en caso de circunstancias personales cuya importancia prevalece sobre el mantenimiento de datos del servicio. En este sentido, los prestadores de servicios deben hacer especial hincapié en la eliminación de datos de menores de edad.

Derecho a la educación digital y protección de menores>

La LOPDGDD también establece requisitos para que el sistema educativo garantice el acceso seguro de los menores a la educación digital.

En este sentido, el sistema educativo y, por extensión, los centros docentes, deben garantizar la inserción de los alumnos en la sociedad digital.

El aprendizaje relativo al uso de medios digitales y electrónicos debe realizarse en base al respeto a los valores constitucionales, los derechos y libertades del individuo, la intimidad personal y familiar y la protección de su privacidad e información personal.

Los padres, madres, tutores y representantes legales deben procurar que el menor haga un uso responsable de los medios digitales.

El Ministerio Fiscal podría intervenir de oficial en caso de que los menores sean víctima del uso o difusión de imágenes sin su consentimiento en redes sociales o medios equivalentes.

Derecho de acceso a Internet

El derecho de acceso universal a internet se define en el artículo 81 de la LOPDGDD.

El acceso a internet debe ser:

  • Universal
  • Asequible
  • De calidad
  • No discriminatorio

La normativa establece que este acceso a internet se debe encaminar hacia la superaciones de las brechas de género (hombres/mujeres) o generacionales (jóvenes/mayores). También se han de tener en cuenta a las personas con necesidades especiales

Ya que el acceso a la red de redes es universal, se ha de procurar atender a las necesidades especiales de los entornos rurales con más dificultades para establecer infraestructuras digitales.

Derecho a la neutralidad de Internet

El artículo 80 de la LOPDGDD se refiere al derecho a la neutralidad de internet. Esto significa que los proveedores de servicios de internet deben proporcionar información transparente sobre las ofertas y contribuir a garantizar un acceso en las misma condiciones para todos.

Derecho al testamento digital

El derecho al testamento digital se recoge en el artículo 96 de la LOPDGDD.

Los familiares o herederos del fallecido tienen derecho a acceder a la información sobre su persona almacenada en prestadores de servicios de la sociedad de la información (por ejemplo, en redes sociales). Además, pueden ejercer los derechos de rectificación, supresión, oposición o limitación del tratamiento sobre los datos del familiar fallecido.

Hay una excepción a lo dicho en el párrafo anterior. Familiares o herederos no podrían acceder a los datos del fallecido si éste así lo hubiera decidido expresamente en vida, o exista alguna ley que lo prohíba.

Si el fallecido es un menor de edad, también podrán acceder a dichos datos los representantes legales o el Ministerio Fiscal, para el ejercicio de sus funciones.

Derecho a la portabilidad de los datos

Cualquier persona tiene derecho a solicitar en todo momento que el responsable del tratamiento le facilite los datos de carácter personal que le incumban. Así lo refleja el artículo 17 de la Leo Orgánica de Protección de Datos y Garantía de Derechos Digitales, referente a la portabilidad de los datos.

Esta información se ha de proporcionar en un formato estructurado, de uso común y accesible para el interesado.

Asimismo, la persona objeto del tratamiento de datos puede transmitir los datos a otro responsable siempre que otorgue su consentimiento o el tratamiento se realice por medios automatizados.

Además, el interesado puede solicitar que los datos pasen de responsable a responsable (sin pasar por él mismo) siempre y cuando otorgue consentimiento y existan medios técnicos para ello.

Régimen sancionador: infracciones y multas del LOPDGDD

Las sanciones que establece la LOPDGDD pueden llegar a los 20 millones de euros o al 4% de la facturación total de la empresa. La cuantía de la multa dependerá de si se trata de infracciones leves, graves o muy graves. A continuación vemos en qué consisten.

Infracciones leves

Son infracciones leves en materia de protección de datos las siguientes actuaciones:

  • Incumplir las exigencias sobre transparencia o acceso a la información del interesado recogidas en la LOPDGDD y el RGPD.
  • Exigir a los interesados un pago por acceder a la información, cuya cuantía supere los costes afrontados para facilitar dicha información.
  • No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad o supresión, salvo en las excepciones previstas por la ley.
  • No cumplir con la obligación de notificar la rectificación, supresión o limitación del tratamiento de datos.
  • Incumplir la exigencia de notificar al afectado la comunicación de sus datos a otros destinatarios.
  • Incumplir la obligación de eliminar los datos de una persona fallecida cuando así los hayan solicitado familiares o herederos.
  • No formalizar las obligaciones y responsabilidades relativas al tratamiento de datos personales por parte de los responsables.
  • No poner a disposición de los afectados las obligaciones y responsabilidades a las que se refiere el punto anterior.
  • Incumplir el encargado del tratamiento la obligación de informar al responsable sobre alguna infracción resultante de las instrucciones recibidas.
  • Incumplir el encargado la obligación de respetar las condiciones del contrato firmado con el responsable, salvo que esté obligado a ello por ley.
  • Disponer de un registro de tratamiento que no contiene toda la información requerida por la normativa.
  • No comunicar a los afectados las brechas de seguridad que pudieran poner en riesgo sus datos.
  • Facilitar información inexacta a las autoridades de protección de datos.
  • Incumplir la obligación de publicar los datos de contacto del Delegado de Protección de Datos.

Infracciones graves

Por su parte, estos son los supuesto que la LOPDGDD considera infracciones graves relativas a protección de datos:

  • Tratar datos de menores sin su consentimiento o el de sus padres/tutores.
  • No verificar la validez del consentimiento prestado por menores.
  • Impedir u obstaculizar el ejercicio de los derechos ARSULIPO.
  • No adoptar las medidas técnicas y organizativas necesarias para garantizar la protección de datos desde el diseño y por defecto.
  • No adoptar las medidas técnicas y organizativas necesarias para garantizar la máxima seguridad de los datos en función del riesgo de su tratamiento.
  • Incumplir la obligación de designar un representante del responsable o encargado del tratamiento cuando estos se encuentran fuera de la Unión Europea.
  • No atender la solicitudes efectuadas por los afectados o las autoridades competentes en protección de datos.
  • Contratar a un encargado del tratamiento que no reúna las garantías necesarias para aplicar las debidas medidas de protección.
  • Encargar a un tercero el tratamiento de datos sin la formalización del debido contrato.
  • Contratar un encargado a otro encargado, sin el conocimiento del responsable del tratamiento.
  • No contar con un registro de actividades de tratamiento, estando obligado a ello.
  • No atender las solicitudes de la autoridad pertinente de protección de datos para poner a su disposición el registro de actividades.
  • Entorpecer o dificultar las labores de las autoridades de control.
  • Tratar datos personales sin tener en cuenta los riesgos a los que se refiere el artículo 28 de la LOPDGDD.
  • Incumplir el encargado del tratamiento la obligación de informar al responsable sobre brechas de seguridad.
  • Incumplir la obligación de notificar a la autoridad de protección de datos o al afectado la existencia de alguna violación de seguridad.
  • No realizar la pertinente evaluación de impacto en los casos en que sea exigible.
  • Incumplir la exigencia de nombrar un Delegado de Protección de Datos cuando sea obligatorio por ley.
  • Impedir o interferir en el correcto desempeño de las funciones del DPO.
  • Utilizar sellos de certificación en protección de datos que no hayan sido expedidos por alguna autoridad competente.
  • Obtener acreditación para ejercer como organismo de certificación en base a datos falsos o inexactos.
  • Desempeñar funciones reservadas a organismos de certificación sin tener autoridad para ello.

Infracciones muy graves

Por último, la LOPDGDD impone las sanciones más altas en caso de infracciones muy graves en cuestión de protección de datos:

  • Tratar datos personales vulnerando los principios y garantías básicas establecidas en el artículo 5 del RGPD.
  • Tratar datos personales sin que exista licitud o sin haber obtenido consentimiento.
  • Utilizar los datos con una finalidad distinta para la que fueron obtenidos.
  • Manejar categorías especiales de datos sin que exista causa justificada para ello.
  • Tratar datos personales relativos a condenas o infracciones penales sin que concurran las circunstancias previstas por la normativa.
  • Tratar datos personales relativos a infracciones administrativas sin que concurran las circunstancias previstas por la normativa.
  • Incumplir la obligación de informar al interesado sobre el tratamiento de información relativa a su persona.
  • Vulnerar al deber de confidencialidad.
  • Exigir el pago de un canon para ejercer el derecho de acceso, sin que exista una causa justificada para ello (repetidas solicitudes o adopción de medidas técnicas que supongan un gasto para el responsable).
  • No atender las solicitudes para ejercer los derechos ARSULIPO.
  • Transferir datos personales a una organización internacional o un destinatario de otro país sin las garantías necesarias.
  • Incumplir las resoluciones de las autoridades competentes en materia de protección de datos.
  • Incumplir la obligación de bloquear datos cuando haya sido exigido por la autoridad competente o una resolución judicial.
  • Impedir, obstruir o dificultad al la autoridad de protección de datos competente el ejercicio de sus funciones.
  • Modificar intencionadamente los procesos de anonimización para permitir de forma deliberada la identificación de los afectados.

LOPDGDD y RGPD: ¿Qué tienen en común y en qué se diferencian?

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales tiene muchos puntos en común con el Reglamento Europeo de Protección de Datos. Y no es de extrañar, ya que la LOPDGDD no es más que la adaptación al territorio español del RGPD.

Por tanto, coinciden en la gran mayoría de puntos, De hecho, la LOPDGDD hace referencia a la normativa europea en multitud de artículos, por lo que para consultar el grueso de la información a veces es necesario pasar de una ley a otra, ya que se complementan.

En cualquier caso, hay una serie de temas que la LOPDGDD aborda de forma específica, como por ejemplo:

  • Datos relativos a sistemas de información sobre créditos.
  • Protección de datos en operaciones mercantiles.
  • Videovigilancia.
  • Información sobre empresarios y profesionales.
  • Establecimiento de un canal de denuncias internas.
  • Sistemas para la ecxlusión de publicidad no deseada.

Otra de las diferencias entre LOPDGDD y RGPD es la definición que la normativa española hace del Delegado de Protección de Datos.

Por un lado, afirma que la certificación del DPO es obligatoria, algo que no señala el reglamento europeo.

Pero sobre todo, enumera los 16 casos concretos en los que es necesario contar con esta figura en la empresa.

Más de un 25% de las pymes y autónomos españoles desconocen sus obligaciones en materia de Protección de datos

Modelos

A continuación te dejo todos los modelos de documentos que necesitas para adaptar tu negocio al RGPD:

Preguntas frecuentes