LOPD, RGPD, LOPDGDD; estas siglas aparecen en casi todos los artículos que publicamos en el blog de Atico34 en referencia a la Ley de Protección de Datos y el Reglamento de Protección de Datos, pero ¿cuáles son las diferencias entre LOPD y RGPD? RGPD y LOPDGDD no son lo mismo y en las siguientes líneas, responderemos a diversas cuestiones que nos ayuden a aclarar ambos términos.
En este artículo hablamos de:
¿Qué diferencias hay entre LOPD y RGPD?
Cuando hablamos de la normativa de protección de datos, habitualmente hacemos referencia a la LOPD y el RGPD, puesto que ambos tienen como fin regular el tratamiento de datos personales que hacen las organizaciones y conferir a los titulares de dichos datos (es decir, las personas) un mayor control sobre los mismos, sin embargo, entre la LOPD y el RGPD hay diferencias que se deben conocer, es especial en lo relativo al consentimiento, los derechos de los titulares y el ámbito de aplicación y vigencia.
Empezamos por señalar que el RGPD (Reglamento General de Protección de Datos) entró en vigor en la UE en 2016, mientras que la LOPD (Ley Orgánica de Protección de Datos) fue aprobada en España en 1999 (actualmente no está en vigor, como veremos más adelante).
Aquí te mostramos las principales diferencias entre la LOPD y el RGPD:
Consentimiento
El consentimiento es una de las principales diferencias entre LOPD y RGPD. En la primera, el consentimiento podía ser tácito, de manera que podía entenderse como dado con el mero hecho de seguir una acción (seguir navegando, rellenar un formulario, hacerse una cuenta de usuario, etc.), con la LOPD solo era necesario informar a los titulares de que sus datos iban a ser tratados si seguían adelante.
El RGPD cambia esto completamente, ya que en él se establece que el consentimiento debe ser expreso e inequívoco, es decir, que los titulares deben darlo llevando a cabo una acción afirmativa, como es marcar una casilla de aceptación o firmar la cláusula de protección de datos. Y, aunque el RGPD no específica mediante qué mecanismos debe registrarse el consentimiento expreso, sí que nos dice que debemos poder demostrarlo, por lo que este debe quedar registrado o documentado.
Por lo tanto, el consentimiento LOPD es tácito. El consentimiento RGPD es expreso, siendo este último el único consentimiento válido actualmente (puesto que el consentimiento tácito ya no es válido).
Ámbito de aplicación
La otra diferencia entre LOPD y RGPD que debemos tener en cuenta es el ámbito de aplicación.
La LOPD es una ley española y, por lo tanto, su ámbito de aplicación queda limitado a las organizaciones o entidades que tengan su base u operen en territorio español.
Mientras que el RGPD es el marco regulatorio europeo, de aplicación a todos los Estados miembros de la UE y del EEE (Espacio Económico Europeo), así como a todas aquellas entidades de terceros países que traten datos personales de ciudadanos europeos, es decir, el RGPD es de aplicación mundial, si una empresa de fuera de la UE trata datos de ciudadanos europeos, debe cumplir también el RGPD.
La figura del DPO
El RGPD introdujo la figura del Delegado de Protección de Datos (DPO o DPD), cuya designación es obligatoria de acuerdo a los supuestos recogidos en el artículo 37.1 del RGPD, así como en el artículo 34.1 de la LOPDGDD.
En la LOPD la figura del DPO no estaba contemplada en ningún supuesto, de hecho, no se nombra en ningún momento.
Derechos ARCO
La LOPD, adaptando la Directiva 45/96/CE, establece y regula los denominados derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación y oposición).
El RGPD contempla estos derechos y los amplía añadiendo dos derechos más y cambiando uno:
- El derecho de supresión, que sustituye al derecho de cancelación, para añadir el derecho al olvido, que permite a las personas solicitar que su información personal no aparezca indexada en los buscadores de Internet.
- El derecho de limitación, que permite a los usuarios a pedir que el uso de sus datos sea limitado al interés público, el ejercicio o defensa de reclamaciones y para proteger los derechos de otras personas.
- El derecho de portabilidad, con el que los titulares de los datos pueden solicitar al responsable del tratamiento que transmita sus datos a otro responsable.
Esta ampliación ha dado lugar a los derechos ARSULIPO o ARCO-POL, como podemos encontrarlos nombrados en diferentes sitios.
Régimen sancionador
Otra de las diferencias significativas entre RGPD y LOPDGDD es el régimen sancionador, que el segundo volvió mucho más estricto.
Si en la LOPD las sanciones podían alcanzar los 601.012 euros, el RGPD establece unas sanciones que en su grado más grave pueden alcanzar los 20 millones de euros o el 4% del volumen de facturación anual de la organización.
LOPD y LOPDGDD, ¿son lo mismo?
Aunque muchas veces usamos ambos términos como sinónimos, realmente no son lo mismo, aunque ambas son leyes españolas sobre protección de datos.
Como ya indicamos más arriba, la LOPD está actualmente derogada, tanto por la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), en vigor desde diciembre de 2018, como por el RGPD.
Podríamos decir que la LOPDGDD es el paso de la LOPD a RGPD, ya que el contenido de la actual ley española y el Reglamento europeo es prácticamente el mismo (con la salvedad de la parte correspondiente a los derechos digitales recogidos en la norma española).
Y aunque la LOPDGDD conserva muchos de los artículos de la LOPD, también eliminó algunas de las obligaciones Lopd y Rgpd que esta segunda contemplaba, como la de registrar los ficheros de datos en la AEPD y la realización de una auditoría de protección de datos bienal. Además, la LOPDGDD recoge el mismo régimen sancionador que el RGPD, aunque lo detalla un poco más, estableciendo grados leves, graves y muy graves para las infracciones y sanciones.
Por lo tanto, cumplir con la LOPDGDD es cumplir con el RGPD. Y cuando nos referimos actualmente en nuestros artículos a LOPD, lo estamos haciendo a la LOPDGDD.