Ir al contenido

Glosario empresarial

LOPD / RGPD (protección de datos)

Marco normativo que regula el tratamiento de datos personales en España y la Union Europea. El Reglamento General de Protección de Datos (RGPD) es la norma europea de referencia, complementada en España por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Digital

Qué es el RGPD y la LOPDGDD

El Reglamento General de Protección de Datos (RGPD) es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en vigor desde el 25 de mayo de 2018. Establece un marco uniforme de protección de datos para toda la Unión Europea, con el objetivo de garantizar el derecho fundamental de las personas a controlar su información personal.

La Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta y complementa el RGPD en el ordenamiento jurídico español, añadiendo disposiciones específicas para situaciones no cubiertas por el reglamento europeo (menores de edad, videovigilancia, tratamiento de datos con fines de publicidad…).

Principios fundamentales del tratamiento de datos

El RGPD establece varios principios que deben respetarse en todo tratamiento de datos personales:

  • Licitud, lealtad y transparencia: el tratamiento debe tener una base jurídica legítima y el interesado debe ser informado
  • Limitación de la finalidad: los datos solo pueden usarse para los fines concretos declarados al recogerse
  • Minimización: solo se recogen los datos estrictamente necesarios para el fin
  • Exactitud: los datos deben mantenerse actualizados y rectificarse cuando sean incorrectos
  • Limitación del plazo de conservación: no pueden conservarse indefinidamente
  • Integridad y confidencialidad: deben protegerse mediante medidas de seguridad adecuadas
  • Responsabilidad proactiva (accountability): el responsable del tratamiento debe poder demostrar el cumplimiento

Bases jurídicas del tratamiento

Para tratar datos personales es obligatorio contar con una base jurídica válida:

  1. Consentimiento del interesado (debe ser libre, específico, informado e inequívoco)
  2. Ejecución de un contrato con el interesado
  3. Obligación legal del responsable del tratamiento
  4. Intereses vitales del interesado o de otra persona
  5. Interés público o ejercicio de poderes públicos
  6. Intereses legítimos del responsable, siempre que no prevalezcan los derechos del interesado

Derechos de los interesados

Las personas cuyos datos son tratados tienen los siguientes derechos, que las empresas deben atender en plazos muy concretos (generalmente 1 mes):

  • Derecho de acceso: conocer qué datos se tienen y cómo se usan
  • Derecho de rectificación: corregir datos inexactos
  • Derecho de supresión (derecho al olvido): eliminar datos cuando ya no sean necesarios
  • Derecho de oposición: oponerse a determinados tratamientos
  • Derecho de portabilidad: recibir los datos en formato estructurado para trasladarlos a otro proveedor
  • Derecho de limitación del tratamiento: restringir el uso mientras se resuelve una disputa

Obligaciones prácticas para empresas

Las empresas deben implementar las siguientes medidas:

  • Registro de actividades de tratamiento: documento interno que detalla qué datos se tratan, para qué, quién los trata, dónde se almacenan y cuánto tiempo se conservan
  • Política de privacidad: texto transparente y accesible que informa a los usuarios de sus derechos y del uso de sus datos
  • Contratos con encargados de tratamiento: cuando se ceden datos a terceros (proveedores de software, gestoría, empresa de mensajería…) es obligatorio firmar un contrato de encargado de tratamiento
  • Medidas de seguridad: tanto técnicas (cifrado, control de accesos, copias de seguridad) como organizativas (formación, política interna de privacidad)
  • Evaluación de impacto (EIPD): obligatoria cuando el tratamiento entraña un alto riesgo para los interesados (videovigilancia masiva, perfilado, datos sanitarios…)

El Delegado de Protección de Datos (DPO)

El Delegado de Protección de Datos (DPO, Data Protection Officer) es obligatorio para organismos públicos, empresas que realicen seguimiento sistemático a gran escala y empresas que traten a gran escala categorías especiales de datos (salud, datos biométricos, ideología…). Actúa como punto de contacto con la Agencia Española de Protección de Datos (AEPD) y supervisa el cumplimiento interno.

Sanciones

El RGPD establece multas de hasta 20 millones de euros o el 4% del volumen de negocio mundial anual (la cifra mayor) para las infracciones más graves. La AEPD ha sancionado a empresas de todos los tamaños, desde grandes multinacionales hasta pymes, siendo los incumplimientos más frecuentes: falta de base jurídica para el tratamiento, videovigilancia ilegal y vulneraciones del deber de información.

Preguntas frecuentes

¿En qué se diferencia la LOPDGDD del RGPD en España?
El RGPD (Reglamento 2016/679) se aplica directamente en España como norma de la UE. La LOPDGDD (Ley Orgánica 3/2018) es la ley española de adaptación que complementa el RGPD conforme al marco constitucional español —donde la privacidad es un derecho fundamental reconocido en el artículo 18— y añade normas específicas para España. Las principales aportaciones de la LOPDGDD incluyen derechos digitales en el ámbito laboral (derecho a la desconexión digital, derecho a no ser objeto de decisiones automatizadas en RRHH) y normas detalladas sobre vigilancia de empleados.
¿Qué multas puede imponer la AEPD por infracciones del RGPD en España?
La AEPD puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual (la cifra mayor) por las infracciones más graves del RGPD, como tratamientos ilícitos, seguridad deficiente que derive en una brecha de datos o la negativa a atender derechos de los interesados. Para infracciones menos graves se aplican multas de hasta 10 millones de euros o el 2% de la facturación. En la práctica, la AEPD impone regularmente sanciones de entre 50.000 y 300.000 euros a empresas medianas.
¿Cuándo es obligatorio el DPO (Delegado de Protección de Datos) en España?
El DPO es obligatorio conforme al RGPD para las autoridades públicas, las empresas cuya actividad principal requiera el seguimiento sistemático a gran escala de personas y las que traten categorías especiales de datos a gran escala como actividad principal. La LOPDGDD amplía esta obligación a entidades educativas, entidades de crédito, aseguradoras y otras categorías. El DPO debe inscribirse ante la AEPD y puede ser un empleado interno o un prestador de servicios externo.
¿Qué requisitos de cumplimiento en materia de cookies exige la AEPD en España?
La guía de cookies de la AEPD es una de las más detalladas de la UE. Las cookies analíticas y publicitarias no son «estrictamente necesarias» y requieren consentimiento específico, informado y libre: las casillas premarcadas no son válidas. Las cookie walls (que bloquean el acceso a un sitio web salvo que se acepten las cookies) solo son admisibles en circunstancias muy concretas y únicamente si se ofrece una alternativa real. La AEPD aplica activamente su criterio frente a sitios web que no cumplen.
¿Qué obligaciones del RGPD se aplican a los datos de empleados en España?
Los empleadores que tratan datos de empleados bajo el RGPD deben contar con una base jurídica válida (habitualmente la ejecución del contrato o el cumplimiento de obligaciones legales). La LOPDGDD añade normas específicas: los datos biométricos para el control de presencia requieren consentimiento explícito o base legal específica; la vigilancia de las comunicaciones en el trabajo exige comunicación previa a los empleados y a sus representantes; y los empleados tienen derecho a la desconexión digital fuera del horario laboral.

Servicio relacionado

Legal

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Telecomunicaciones y Operadores de Red

Términos relacionados

Registro Mercantil escritura pública Sociedad Limitada (SL) protección datos Cloud computing para empresas Phishing e ingeniería social Compliance Integrado Privacidad desde el Diseño (Privacy by Design)

Artículos relacionados

mar 2025

Sector salud: privacidad e IA en 2025

ago 2023

Protección de datos e IA: nuevos retos legales

ene 2021

Informe Anual Legal 2020: legislación de emergencia, ERTEs y protección de datos en pandemia

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto