Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Ley de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) 2018

La entrada en vigor de la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos digitales) aumenta los derechos de los individuos y las obligaciones de las empresas en el tratamiento de protección de datos personales. En este artículo te contamos todas las novedades de esta normativa y te damos todas las claves para adaptarte a este reglamento.

En este artículo hablamos de:

¿Qué es la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales)?

La Ley Orgánica 3/2018, de 5 de diciembre, o Ley de Protección de Datos Personales y Garantía de los Derechos Digitales es una ley orgánica cuyo objetivo es adaptar la normativa española sobre protección de datos al RGPD europeo.

Esta ley entró en vigor el 6 de diciembre de 2018, sustituyendo a la antigua Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. El objetivo de la LOPDGDD es adaptar la legislación española a la normativa europea, definida por el Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018.

Por tanto, si hablamos de Ley de protección de datos en España, la norma de referencia es la LOPDGDD.

Este reglamento establece los requisitos y responsabilidades en materia de protección de datos en empresas sobre cómo proceder con la información personal, así como los derechos que asisten a usuarios y consumidores.

Texto íntegro de la Ley de Protección de Datos de 2018 en PDF (BOE)

Descarga un resumen en PDF de la ley orgánica 3/2018:

Nueva ley de protección de datos 2018 PDF

tarifas proteccion datos

Obligaciones de la LOPDGDD y su cumplimiento

La LOPDGDD establece una serie de nuevas obligaciones a la hora de realizar un tratamiento de datos. El objetivo es reforzar los derechos de los usuarios y garantizar la protección de su información personal.

Registro de las actividades de tratamiento

La ley orgánica 3/2018 elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente.

No obstante, obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.

registro de actividades tratamiento

Bloqueo de datos

Es un paso previo a la eliminación de los datos.

Significa que no se pueden utilizar datos bloqueados con ninguna finalidad, salvo la puesta a disposición de los datos de jueces y tribunales, Ministerio Fiscal o Administraciones Públicas competentes.

Delegado de Protección de Datos

Según la LOPDGDD existe la obligación de designar a un Delegado de Protección De Datos (DPD) en tres supuestos:

  • En caso de que el tratamiento de los datos se realice por una autoridad u organismo público.
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
  • Cuando las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

El Reglamento europeo ha creado mucha confusión. No queda claro cuándo es contar con un Delegado de protección de datos obligatorio, o no.

La normativa se ha curado en salud y establece hasta 16 casos concretos en los que, de manera taxativa, se exige su contratación.

Los Delegados deben ser conocidos por la AEPD y/ o, en su caso, las autoridades autonómicas de protección de datos. Estos organismos están obligados a mantener una lista actualizada de esos delegados.

Y los Delegados deben poseer una titulación universitaria que acredite los conocimientos especializados en el derecho y la práctica en materia de protección de datos.

  • *Necesitan un DPO los colegios profesionales, centros de enseñanza, establecimientos financieros de créditos, aseguradoras, empresas de servicios de inversión, etc.

en que consiste la nueva figura del delegado de proteccion de datos. rgpd

Modificación de la normativa electoral

Uno de los puntos más conflictivos de la LOPD GDD ha sido la inclusión de la Disposición Final Tercera que modifica la Ley Orgánica del Régimen Electoral General (LOREG).

En ella se establece que los partidos políticos podrán recabar datos personales, en el marco de sus actividades electorales, relativos a opiniones de carácter político.

Y podrán utilizar información y datos personales obtenidos de páginas webs (y otras fuentes accesibles al público) para la realización de actividades políticas durante el periodo electoral, entre las que se encuentran:

  • El envío de propaganda electoral a través de sistemas de mensajería o por medios electrónicos.
  • La contratación de propaganda electoral en redes sociales o medios equivalentes, que no tendrán la consideración de actividad o comunicación comercial.

Desconexión digital 

Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de: tiempo de descanso y vacaciones y su intimidad personal y familiar.

Con ello se pretende evitar en la medida de lo posible la fatiga informática de los trabajadores.

Las empresas tendrán que elaborar una política de uso responsable de los dispositivos. Con esta política, en caso de tener empleados que trabajen desde casa con dispositivos digitales, se garantizará el derecho a la desconexión laboral.

derechos digitales trabajadores LOPDGDD

¿Qué implica cumplir la ley orgánica 3/2018 de 5 de diciembre?

La nueva LOPD obliga a las empresas a llevar un registro de actividades del tratamiento, en el que se incluyan ficheros con el tipo de datos recogidos, su finalidad, etc. Por contra, ya no es necesario informar a la AEPD sobre dichas actividades de tratamiento.

También obliga a informar a los usuarios acerca de la identidad del responsable o encargados del tratamiento, el tipo de datos recogidos, su finalidad, el plazo de conservación, si los datos van a ser cedidos a terceros, o las vías por las que pueden ejercer sus derechos LOPD de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

La LOPD en página web implica cumplir con el deber de informar, si se tratan datos personales de los usuarios o clientes, para lo que se incluirán apartados de aviso legal, política de privacidad y política de cookies.

La nueva LOPD exige obtener consentimiento expreso para tratar los datos de los usuarios. No sirve con el consentimiento tácito, sino que debe haber sido obtenido de forma clara e inequívoca a través de una acción voluntaria del interesado.

Otra exigencia es que los responsables del tratamiento pongan en marcha las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.

La LOPDGDD también señala los casos en los que será necesario realizar una evaluación de impacto, y qué empresas deben contar con un DPO, esto es, cuando se traten categorías de datos especiales o cuando se realice un tratamiento de datos de forma masiva.

A su vez, la nueva ley incluye la responsabilidad proactiva y de aplicar la ley de protección de datos desde el diseño y por defecto.

Un software LOPD ayudará a cualquier entidad a cumplir con estas nuevas obligaciones LOPD, así como las que todavía se mantienen vigentes, puesto que permite llevar un control en tiempo real sobre el grado o nivel de cumplimiento de cada una de ellas, sabiendo en todo momento que documentos faltan por completar y firmar, que medidas de seguridad es necesario implementar o qué empleados tienen acceso a datos personales de clientes.

Régimen sancionador de la Ley Orgánica 3/2018 

Según la infracción, las sanciones LOPD administrativas pueden alcanzar de entre 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global. Las infracciones se dividen en muy graves, graves y leves.

Muy graves: prescriben a los tres años.

  • Uso de los datos para una finalidad diferente de la anunciada
  • Omisión del deber de informar al afectado
  • Exigencia de un pago para poder acceder a los datos propios almacenados
  • Transferencia internacional de información sin garantías…

Graves: prescriben a los dos años.

  • Datos de un menor recabados sin consentimiento
  • Falta de adopción de medidas técnicas y organizativas necesarias para la efectiva protección de datos
  • Incumplimiento del deber de nombrar responsable o encargado de tratamiento de datos

Leves: prescriben en un año

  • No transparencia de la información
  • Incumplimiento de no informar al afectado cuando lo haya solicitado
  • Incumplimiento por parte del encargado

Para evitar que nuestra empresa reciba alguna de estas sanciones y si no contamos con el personal adecuado o los conocimientos para ello, entonces podemos decir que prácticamente es obligatorio contratar una empresa de protección de datos, ya que no hacerlo puede salirnos mucho más caro, al cumplir de manera inadecuada o insuficiente con la Ley.

Resumen de la actual ley orgánica 3/2018 de 5 de diciembre de protección de datos personales

A continuación te dejamos en vídeo un resumen de la Ley 3/2018:

 

Resumen con los aspectos más importantes de la LOPDGDD

Concepto Explicación
Responsabilidad proactiva Los responsables del tratamiento han de aplicar las medidas técnicas y organizativas para cumplir la ley y para demostrar dicho cumplimiento ante las autoridades.
Registro de actividades de tratamiento Los responsables del tratamiento han de llevar un registro de los datos tratados. Ya no es necesario comunicar dicho fichero a la AEPD.
Consentimiento El consentimiento debe ser expreso, es decir, ha de ser inequívoco, explícito y voluntario y no debe haber sido obtenido mediante engaño, coacción o de manera tácita.
Nuevos derechos de los ciudadanos Los ciudadanos tiene derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. También se incluyen nuevos derechos como el derecho al olvido o a la desconexión digital.
Obligación de informar Los responsables del tratamiento han de informar sobre su identidad, el tipo de datos recabados, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de los datos, y las vías para ejercer los derechos ARSULIPO.
Notificación de brechas de seguridad Se debe notificar cualquier brecha de seguridad a la AEPD en un plazo máximo de 72 horas.
La figura del DPO El artículo 34 de la LOPDGDD establece qué empresas están obligadas a contar con la figura del Delegado de Protección de Datos.

Últimas novedades de la ley de protección de datos personales 2023

La esencia de la LOPD 2018 es adaptar el ordenamiento español al Reglamento general de Protección de Datos. Para ello, el modelo español ha tenido que incorporar algunas novedades importantes. Entre otras cuestiones, se recogen nuevas responsabilidades sobre tratamiento de datos personales en procedimientos transfronterizos, y establece garantías para la investigación biomédica más allá de la protección personal.

A continuación vemos los cambios que introduce esta normativa respecto a la antigua LOPD de 1999.

Datos de personas fallecidas

La ley 3/2018 indica que podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de personas fallecidas y, en su caso, su rectificación o supresión:

  • Personas vinculadas por razones familiares o de hecho.
  • Instituciones o personas a las que el fallecido hubiese designado expresamente para ello.
  • Representantes legales de los menores y el Ministerio Fiscal.
  • Representantes legales de las personas con discapacidad, el Ministerio Fiscal y el personal de apoyo.
Novedades de la ley organica de proteccion de datos y garantia de derechos digitales

Novedades de la LOPDGDD

Tratamiento de datos por responsabilidad legal, interés público o ejercicio de poderes públicos

El tratamiento debe fundamentarse en una norma que recoja ese compromiso legal, interés público o ejercicio de poder público.

A este respecto, la AEPD ha analizado la base jurídica de los tratamientos de datos por parte de Administraciones Públicas en un Informe. Y señala que la ley “no considera el consentimiento como un fundamento jurídico válido para el tratamiento de los datos por una Administración Pública”.

Datos de contacto y de empresarios individuales

La base jurídica para tratar la protección de datos en autónomos sería el interés legítimo cuando su finalidad sea profesional.

Por ejemplo, puedes tratar los datos de contacto de un fontanero que va a realizarte una instalación en tu empresa.

Archivo público

Será lícito el tratamiento de datos por las Administraciones Públicas con fines de archivo basado en el interés público. Este se indicará en la normativa sectorial de archivo y patrimonio.

Consentimiento de menores

La ley orgánica de protección de datos establece que la edad en la que pueden consentir el tratamiento de sus datos personales es de 14 años.

Es decir, es una posibilidad, no una obligación que consientan de 14 años en adelante. En caso de menores de 14 años, deberán dar ese consentimiento sus padres o tutores legales.

Nueva LOPD derechos digitales 2018

Derechos digitales en la nueva LOPD

Categorías especiales de datos

No vale sólo el consentimiento para tratar datos de ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.

Se establecen otros requisitos para tratar esos datos:

  • Sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado. Si lo autoriza el Derecho de la Unión de los Estados miembros o un convenio colectivo y se establecen garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado.
  • Sea imprescindible para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
  • Se realice, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical. Si se refiere exclusivamente a los miembros actuales o antiguos de tales organismos y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados.
  • Se refiera a datos personales que el interesado ha hecho manifiestamente públicos.
  • Sea imprescindible para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial.
  • Existan razones de un interés público esencial.

Videovigilancia

La ley de protección de datos personales contempla que la empresa pueda tratar las grabaciones obtenidas por cámaras fotográficas y de vídeo. Además de aquellos datos relacionados con la localización del trabajador siempre que sea para el ejercicio de las funciones de control de los empleados previstas en el Estatuto de los trabajadores y se ejerzan dentro de la ley.

  • *No podrá haber cámaras en zonas de descanso, baños, vestuarios, aseos, etc.

La finalidad de la videovigilancia será la de garantizar la seguridad de las personas y bienes, así como de sus instalaciones.

Los datos deberán ser suprimidos en el plazo de 1 mes y el derecho de información se puede cumplir con un cartel en el que se recoja:

  • El tratamiento
  • Responsable de tratamiento
  • Lugar donde ejercer los derechos
  • Lugar donde consultar más información

En general, se prohíben en las zonas de esparcimiento y descanso.

Además, obliga a la empresa a informar a sus empleados de la existencia y localización de estos dispositivos de grabación, y de lo que supondrá descubrir determinadas actuaciones a través de ellos.

Caso práctico:

Uno de los ejemplos más conocidos de los últimos tiempos sobre videovigilancia de trabajadores es el caso López Ribalta. Veamos cuáles fueron los hechos.En una cadena de alimentación, los gerentes observaron un desfase entre el stock y la facturación de las cajas. Para detectar de dónde provenía esta diferencia, el supermercado instaló dos tipos de cámaras de seguridad.

  • Cámaras visibles que enfocaban a los clientes.
  • Cámaras ocultas que grababan a los empleados en las cajas.

Las pruebas determinaron que cinco empleados estaban implicados en el robo de dinero en cajas, y éstos fueron despedidos.

Los empleados demandaron al supermercado, alegando que el despido vulneraba el artículo 8 de su convenio, que exigía respeto a la vida privada. Sin embargo, el Tribunal Superior de Justicia de Cataluña falló a favor del empresario, alegando que tenía sospechas fundadas para instalar las cámaras y las medidas de control eran proporcionadas.

Sin embargo, el Tribunal Europeo de Derechos Humanos ha terminado por darle la razón a los trabajadores, en una sentencia que ha creado precedente. El TEDH estimó que la empresa había vulnerado el artículo 5 de la Ley Orgánica de Protección de Datos de Carácter Personal.

Infracciones penales 

Sólo se podrán tratar estos datos cuando:

  • Los responsables de tratamiento sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones. Siempre y cuando, estos datos sean estrictamente necesarios para la finalidad perseguida por esos órganos.
  • Se prevea por una norma legal.
  • Se lleve a cabo por Abogados y Procuradores, con objeto de recoger la información facilitada por sus clientes en el ejercicio de sus funciones.
Novedades LOPDGDD

Novedades LOPD-GDD

Responsabilidad proactiva

También llamado Accountability. Esta obligación se refiere a la necesidad de prevención por parte de las empresas que manejan información personal.

Para cumplir la ley se han de adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que establece la normativa europea. Ésta entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, ya que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Para ello, todas las organizaciones que tratan archivos deben efectuar un análisis de riesgos de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser procedimientos sencillos en aquellas que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos. O trabajos más complejos con los que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Para la adopción de las medidas específicas, se tendrán en cuenta estos riesgos:

  • Perjuicio económico, moral o social significativo para los afectado en el tratamiento.
  • Privación de derechos o control de los datos.
  • Tratamiento masivo de datos o que revele una evaluación de aspectos personales de los afectados.
  • Tratamiento de datos de personas vulnerables como menores o personas discapacitadas.
  • Otros que considere el Responsable o Encargado de Tratamiento.

Un caso especial : Evaluación de impacto de protección de datos

Las Evaluaciones de Impacto son la principal medida de responsabilidad proactiva.

Consiste en una auditoría LOPD para el análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio con respecto a la protección de datos.

De la antigua LOPD 15/1999 a la nueva LOPD-GDD 3/2018: Principales modificaciones

La LOPDGDD establece bastantes cambios respecto a la anterior LOPD o Ley de Protección de datos (1999). Se modifican los requisitos para obtener la información, guardarla o compartirla, y se establecen cambios en relación al tratamiento de datos de usuarios en internet. Lo vemos mejor en el siguiente epígrafe.

El objetivo de esta ley es hacer que las empresas y organizaciones tengan un compromiso mayor con el tratamiento de datos y archivos personales y regular la protección de datos. Para ello, establece una serie de modificaciones respecto a la antigua ley de protección de datos que llevaba vigente en España desde el año 1999.

tarifas proteccion datos

La ley 15/1999 era la normativa de protección de datos que estaba vigente en España desde hacía ya casi 20 años. Se trata de una ley que se había quedado ya bastante obsoleta, sobre todo porque no ofrecía la protección necesaria a los ciudadanos y no se adaptaba a las exigencias de la la nueva era digital, marcada por la transmisión y tratamiento de datos a través de internet y medios electrónicos.

Por ello, y a la luz de la entrada en vigor del Reglamento General de Protección de Datos, el cual deja abierta la posibilidad de cada cada país desarrolle su propia ley (siempre y cuando no contravenga las indicaciones del reglamento europeo) en España se ha desarrollado la llamada LOPD-GDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la cual incorpora una serie de novedades que es necesario destacar.

La nueva LOPD 3/2018 establece una nuevo marco jurídico para la protección de datos en España, amparada por la normativa europea.

  • Se amplía la información que se les debe dar a los usuarios en relación con el tratamiento de sus datos, así como sus derechos en esta materia.
  • Se incorpora el concepto de privacidad desde el diseño. Esto se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la LOPDGDD desde un primer momento.
  • Las brechas en la seguridad que puedan afectar a los datos personales deben ser notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos). Si, además, en esa violación se pueden ver afectados datos de carácter sensible y con gran repercusión a los afectados, también se le deberá notificar a los mismos.
  • El consentimiento, con carácter general, debe ser libre, informado, específico e inequívoco. Las empresas deben revisar la forma en la que obtienen y guardan el consentimiento. Para poder considerar que el consentimiento es “incuestionable”, el Reglamento General de Protección de Datos requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado. La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos.
  • Define la figura del Delegado de Protección de Datos.

Canal de denuncias en la Ley Orgánica de Protección de Datos (LOPDGDD)

Si bien los tratamientos de datos personales realizados en los canales de denuncia internos de las empresas, así como en los canales externos de denuncia (aquellos que son gestionados por autoridades u organismos competentes) ya estaban contemplados en el artículo 24 LOPDGDD, con la entrada en vigor de la Ley 2/2023 de protección de los denunciantes, este artículo fue modificado por la disposición final 7 de la Ley 2/2023.

La nueva redacción nos dice que «serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas». Y que estos tratamientos realizados a través del canal de denuncias y durante la gestión de las denuncias, incluidos los procesos de investigación interna, deberán cumplir con las obligaciones establecidas en el RGPD, la LOPDGDD y la Ley 2/2023.

Es decir, que los tratamientos de datos personales necesarios para gestionar el canal de denuncias, así como para investigar, cuando proceda, las denuncias, son lícitos en virtud del artículo 6.1 letras «c» y «e» del RGPD, teniendo en cuenta las limitaciones para los derechos de acceso y oposición que requiere el cumplimiento de la Ley 2/2023.

El futuro de la Ley protección de datos en España

A la vista de los cambios que se están produciendo en este sector como esta nueva normativa europea, nos planteamos cómo va a evolucionar la LOPDGDD 3/2018 en nuestro país.

nuevos cambios en la normativa lopd rgpd

¿Necesitas cumplir con la ley de protección de datos en 2022? Escríbenos o llámanos al 914 896 419

En Grupo Atico34 llevamos más de 12 años ofreciendo nuestros servicios de consultoría de protección de datos LOPD a empresas de todos los tamaños y sectores de actividad. Ofrecemos adaptación LOPD en comunidades de propietarios, universidades, centros de salud, hoteles, agencias de viajes y organizaciones de todo tipo.

Al contratar la LOPD con nosotros, contratas los servicios LOPD de un equipo de abogados expertos en protección de datos, que te ayudarán a cumplir con la Ley y resolver cualquier duda relacionada con ella.

Nuestras oficinas

Si necesitas garantizar el cumplimiento de la ley de protección de datos vigente puedes contactar con la oficina de protección de datos del Grupo Ático34, que más se ajuste a tus necesidades.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

Para cumplir con la actual Ley LOPDGDD es necesario adaptar todos los procesos de la empresa de cara a adoptar todos los requisitos y exigencias que establece la nueva ley. En función de la envergadura o las actividades que desarrolle su empresa, esta adaptación puede llegar a ser compleja, por lo que en muchos casos se hace imprescindible la ayuda de una consultora de protección de datos externa o lo servicios de un abogado LOPD.

tarifas proteccion datos para autonomos

Nuestros expertos se encargarán de todo lo necesario para la adaptación LOPD de su empresa. Le ofrecemos un servicio totalmente personalizado, caracterizado por un soporte continuo y una máxima dedicación a nuestros clientes.

Si quieres saber cómo podemos ayudarte, ponte en contacto con nosotros y pídenos presupuesto sin compromiso.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.