Protección de Datos Personales
Fuentes oficiales: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), web de la Agencia Española de Protección de Datos (AEPD).
Normativa básica
| Norma | Tipo | Fecha clave | Ámbito |
|---|
| Reglamento (UE) 2016/679 (RGPD) | Reglamento europeo — aplicación directa | Aprobado 27 abril 2016; aplicable desde 25 mayo 2018 | Toda la UE/EEE |
| LO 3/2018 (LOPDGDD) | Ley Orgánica nacional | Publicada en BOE 6 diciembre 2018 | España — adapta y complementa el RGPD |
| Directiva 2002/58/CE (ePrivacy) | Directiva europea | 2002 (modificada en 2009) | Comunicaciones electrónicas (cookies, spam) |
Clave examen: El RGPD deroga la Directiva 95/46/CE. La LOPDGDD deroga la antigua LOPD 15/1999. La LOPDGDD NO sustituye al RGPD, lo complementa: desarrolla las opciones que el Reglamento deja a los Estados miembros.
El RGPD se estructura en 11 capítulos y 99 artículos, más 173 considerandos. Se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos contenidos o destinados a ser incluidos en un fichero.
7 Principios del tratamiento (Art. 5 RGPD)
| Principio | Artículo | Significado |
|---|
| Licitud, lealtad y transparencia | Art. 5.1.a | El tratamiento debe ser lícito, leal y transparente para el interesado |
| Limitación de la finalidad | Art. 5.1.b | Datos recogidos con fines determinados, explícitos y legítimos; no tratados de forma incompatible con dichos fines |
| Minimización de datos | Art. 5.1.c | Datos adecuados, pertinentes y limitados a lo necesario en relación con los fines |
| Exactitud | Art. 5.1.d | Datos exactos y actualizados; adoptar medidas para suprimir o rectificar sin dilación datos inexactos |
| Limitación del plazo de conservación | Art. 5.1.e | Conservados solo mientras sea necesario para la finalidad; después, anonimización o supresión |
| Integridad y confidencialidad | Art. 5.1.f | Protección mediante medidas técnicas y organizativas contra tratamiento no autorizado, pérdida o destrucción |
| Responsabilidad proactiva (accountability) | Art. 5.2 | El responsable debe poder demostrar el cumplimiento de todos los principios anteriores |
Truco examen: Mnemotécnica — L-L-M-E-L-I-R (Licitud, Limitación finalidad, Minimización, Exactitud, Limitación plazo, Integridad, Responsabilidad). Pregunta clásica: "¿Cuál NO es un principio del Art. 5?"
6 Bases de licitud (Art. 6 RGPD)
El tratamiento solo es lícito si se cumple al menos una de las siguientes condiciones:
| # | Base de licitud | Detalle |
|---|
| 1 | Consentimiento | El interesado dio su consentimiento para uno o varios fines específicos |
| 2 | Relación contractual | Necesario para la ejecución de un contrato o medidas precontractuales |
| 3 | Obligación legal | Necesario para cumplir una obligación legal del responsable |
| 4 | Intereses vitales | Protección de intereses vitales del interesado o de otra persona física |
| 5 | Misión en interés público / ejercicio de poder público | Necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos |
| 6 | Interés legítimo | Necesario para satisfacer intereses legítimos del responsable o de un tercero, salvo que prevalezcan los intereses del interesado (NO aplicable a AAPP) |
Clave examen: Las AAPP no pueden invocar el interés legítimo como base de licitud para sus tratamientos (Art. 6.1 RGPD in fine). Esta es una pregunta recurrente en los exámenes TAI.
Consentimiento — Requisitos (Arts. 6-7 RGPD, Art. 6 LOPDGDD)
| Requisito | Detalle |
|---|
| Libre | Sin coacción, desequilibrio de poder o condicionamiento |
| Específico | Para cada finalidad concreta del tratamiento |
| Informado | El interesado conoce la identidad del responsable y los fines del tratamiento |
| Inequívoco | Declaración o acción afirmativa clara (NO puede ser silencio, casillas premarcadas o inacción) |
| Revocable | Puede retirarse en cualquier momento; debe ser tan fácil de retirar como de dar |
Consentimiento de menores (Art. 8 RGPD + Art. 7 LOPDGDD): El RGPD permite a cada Estado fijar una edad mínima entre 13 y 16 años. España fija el límite en 14 años (LOPDGDD Art. 7). Menores de 14 años necesitan el consentimiento del titular de la patria potestad o tutela.
Clave examen: Edad mínima del consentimiento en España = 14 años. El RGPD establece un marco de 13 a 16 años; España eligió 14.
Categorías especiales de datos (Art. 9 RGPD)
Se prohíbe con carácter general el tratamiento de las siguientes categorías de datos, salvo que concurra alguna de las excepciones del Art. 9.2:
| Categoría | Ejemplo |
|---|
| Origen étnico o racial | Raza, etnia |
| Opiniones políticas | Afiliación política |
| Convicciones religiosas o filosóficas | Creencias, ideología |
| Afiliación sindical | Pertenencia a sindicatos |
| Datos genéticos | ADN, información genética hereditaria |
| Datos biométricos | Huellas dactilares, reconocimiento facial (si identifican unívocamente) |
| Datos de salud | Historial médico, discapacidad |
| Vida sexual y orientación sexual | Orientación, conducta sexual |
Clave examen: Los datos biométricos solo son "categoría especial" cuando se tratan para identificar de forma unívoca a una persona. Los datos de condenas e infracciones penales se regulan aparte (Art. 10 RGPD).
Derechos del interesado: ARCO-POL (Arts. 15-22 RGPD)
Los derechos clásicos ARCO (Acceso, Rectificación, Cancelación, Oposición) se amplían con el RGPD a ARCO-POL:
| Derecho | Artículo RGPD | Contenido | Plazo de respuesta |
|---|
| Acceso | Art. 15 | Conocer si se tratan sus datos, con qué fines, categorías, destinatarios y plazo de conservación; obtener copia | 1 mes desde la solicitud; prorrogable 2 meses más en casos complejos (informando al interesado) |
| Rectificación | Art. 16 | Corregir datos inexactos o completar datos incompletos |
| Supresión (Olvido) | Art. 17 | Supresión cuando los datos ya no son necesarios, se retira el consentimiento, se opone al tratamiento, fueron tratados ilícitamente, etc. |
| Portabilidad | Art. 20 | Recibir datos en formato estructurado, de uso común y lectura mecánica; transmitirlos a otro responsable |
| Oposición | Art. 21 | Oponerse al tratamiento basado en interés público/legítimo o con fines de marketing directo |
| Limitación | Art. 18 | Marcado de datos para limitar su tratamiento futuro (impugnación exactitud, tratamiento ilícito, etc.) |
Además, el Art. 22 RGPD regula el derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente.
Clave examen: Portabilidad solo aplica cuando el tratamiento se basa en consentimiento o contrato Y se efectúa por medios automatizados. El formato debe ser "estructurado, de uso común y lectura mecánica" — esta frase literal se pregunta mucho.
Transparencia e información (Arts. 13-14 RGPD)
| Información obligatoria | Datos del interesado (Art. 13) | Datos de terceros (Art. 14) |
|---|
| Identidad del responsable / DPD | Sí | Sí |
| Fines del tratamiento y base jurídica | Sí | Sí |
| Destinatarios o categorías de destinatarios | Sí | Sí |
| Transferencias internacionales | Sí (si procede) | Sí (si procede) |
| Plazo de conservación | Sí | Sí |
| Existencia de derechos ARCO-POL | Sí | Sí |
| Derecho a reclamar ante autoridad de control | Sí | Sí |
| Fuente de obtención de los datos | No aplica | Sí |
| Momento de informar | Cuando se obtengan | Dentro de 1 mes (o en la primera comunicación) |
Responsable y Encargado del tratamiento
| Figura | Definición (RGPD) | Obligaciones principales |
|---|
| Responsable del tratamiento (Controller) | Persona física o jurídica que determina los fines y medios del tratamiento (Art. 4.7) | Cumplir principios, atender derechos, designar DPD si procede, notificar brechas, realizar EIPD, llevar registro de actividades |
| Encargado del tratamiento (Processor) | Persona física o jurídica que trata datos personales por cuenta del responsable (Art. 4.8) | Tratar datos solo según instrucciones del responsable, garantizar confidencialidad, asistir al responsable, eliminar datos al finalizar |
| Corresponsables | Dos o más responsables que determinan conjuntamente fines y medios (Art. 26) | Acuerdo de corresponsabilidad que defina obligaciones respectivas y punto de contacto |
La relación responsable-encargado debe formalizarse mediante un contrato o acto jurídico que vincule al encargado (Art. 28 RGPD). Este contrato debe incluir: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos, categorías de interesados, obligaciones y derechos del responsable.
Delegado de Protección de Datos (DPD / DPO)
| Aspecto | Detalle |
|---|
| Designación obligatoria (Art. 37 RGPD) | Autoridades u organismos públicos; tratamiento a gran escala de categorías especiales; observación habitual y sistemática a gran escala |
| Designación obligatoria adicional (Art. 34 LOPDGDD) | Centros docentes, entidades financieras, aseguradoras, empresas de seguridad privada, federaciones deportivas, centros sanitarios, colegios profesionales, distribuidoras y comercializadoras de energía, etc. |
| Comunicación a la AEPD | Designaciones y ceses deben comunicarse a la AEPD en un plazo de 10 días (Art. 34.3 LOPDGDD) |
| Posición | Independiente, sin instrucciones, reporta al más alto nivel jerárquico; no puede ser destituido ni sancionado por el desempeño de sus funciones |
| Funciones (Art. 39 RGPD) | Informar y asesorar, supervisar el cumplimiento, asesorar sobre EIPD, cooperar con la autoridad de control, actuar como punto de contacto |
| Perfil | Cualidades profesionales, conocimientos especializados en Derecho y práctica de protección de datos; puede ser interno o externo, persona física o jurídica |
Clave examen: Plazo de comunicación del DPD a la AEPD = 10 días. Esta cifra se pregunta mucho. El DPD puede ser externo (contrato de servicios) y puede ser una persona jurídica.
Evaluación de Impacto (EIPD) — Art. 35 RGPD
El responsable debe realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD / DPIA) cuando un tratamiento, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas.
| Cuándo es obligatoria | Contenido mínimo |
|---|
| Evaluación sistemática y exhaustiva de aspectos personales (perfilado) | Descripción sistemática de las operaciones de tratamiento y sus fines |
| Tratamiento a gran escala de categorías especiales o datos penales | Evaluación de la necesidad y proporcionalidad |
| Observación sistemática a gran escala de una zona de acceso público | Evaluación de riesgos para los derechos y libertades |
| Cuando figure en la lista publicada por la autoridad de control (Art. 35.4) | Medidas previstas para afrontar los riesgos |
Si la EIPD muestra que el tratamiento entrañaría un alto riesgo que el responsable no puede mitigar, debe realizarse una consulta previa a la autoridad de control (Art. 36 RGPD).
Registro de actividades de tratamiento (Art. 30 RGPD)
Todo responsable y encargado debe llevar un registro de actividades de tratamiento por escrito (puede ser electrónico). Obligatorio para:
| Criterio | Detalle |
|---|
| Organizaciones con más de 250 empleados | Siempre obligatorio |
| Organizaciones con menos de 250 empleados | Solo obligatorio si el tratamiento puede entrañar riesgo, no es ocasional, o incluye categorías especiales o datos penales |
| Contenido mínimo (responsable) | Nombre y datos de contacto del responsable y DPD, fines del tratamiento, categorías de interesados y datos, destinatarios, transferencias internacionales, plazos de supresión, medidas de seguridad |
Clave examen: El RGPD eliminó la obligación de inscribir ficheros ante la AEPD. En su lugar, impone el registro interno de actividades de tratamiento. Este cambio respecto a la antigua LOPD 15/1999 es pregunta habitual.
Brechas de seguridad (Arts. 33-34 RGPD)
| Aspecto | Detalle |
|---|
| Definición | Violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, comunicación o acceso no autorizado a datos personales |
| Notificación a la autoridad de control | Sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a tener constancia (Art. 33). Si se notifica después de 72 h, debe indicar los motivos del retraso |
| Comunicación al interesado | Sin dilación indebida cuando la brecha sea probable que entrañe un alto riesgo para sus derechos y libertades (Art. 34) |
| Excepción comunicación al interesado | Si se han aplicado medidas de protección (ej. cifrado), si el responsable ha adoptado medidas que garanticen que el alto riesgo ya no existe, o si supone un esfuerzo desproporcionado (en cuyo caso se hará comunicación pública) |
| Documentación | Hay que documentar TODAS las brechas (incluidas las que no se notifican), con sus efectos y medidas correctivas |
Clave examen: Brecha → autoridad de control = 72 horas. Brecha → interesado = "sin dilación" (solo si alto riesgo). DPD → AEPD = 10 días. No confundir estos plazos.
Sanciones — Régimen RGPD + LOPDGDD
El RGPD establece dos niveles de multas administrativas (Art. 83). La LOPDGDD clasifica las infracciones en tres niveles (Arts. 72-74):
| Nivel | RGPD — Cuantía máxima | LOPDGDD — Rango orientativo | Prescripción | Ejemplos |
|---|
| Muy graves (Art. 72 LOPDGDD) | Hasta 20 millones € o 4% facturación global anual (la mayor) | A partir de 300.001 € | 3 años | Tratar datos vulnerando principios Art. 5; tratar sin base de licitud; vulnerar consentimiento; tratar categorías especiales sin excepción; transferencias internacionales sin garantías |
| Graves (Art. 73 LOPDGDD) | Hasta 10 millones € o 2% facturación global anual (la mayor) | 40.001 € — 300.000 € | 2 años | No atender derechos ARCO-POL; no designar DPD obligatorio; no realizar EIPD; no llevar registro de actividades; no notificar brechas |
| Leves (Art. 74 LOPDGDD) | Incluidas en el tramo anterior del RGPD | Hasta 40.000 € | 1 año | Incumplir transparencia; no informar al interesado según Arts. 13-14; no facilitar ejercicio de derechos |
Clave examen: Las AAPP no reciben multas económicas. Se les impone apercibimiento. El RGPD prevé dos niveles de multas (10M/2% y 20M/4%); la LOPDGDD añade la clasificación tripartita con cuantías orientativas.
Transferencias internacionales de datos (Caps. V, Arts. 44-49 RGPD)
| Mecanismo | Artículo | Detalle |
|---|
| Decisión de adecuación | Art. 45 | La Comisión Europea determina que un tercer país ofrece nivel de protección adecuado. Países con decisión vigente: Andorra, Argentina, Canadá (sector comercial), Israel, Japón, Nueva Zelanda, República de Corea, Suiza, Reino Unido, Uruguay, EE.UU. (Data Privacy Framework desde julio 2023), entre otros |
| Garantías adecuadas | Art. 46 | Cláusulas contractuales tipo (SCCs) aprobadas por la Comisión; normas corporativas vinculantes (BCR); códigos de conducta; mecanismos de certificación |
| Normas Corporativas Vinculantes (BCR) | Arts. 47 | Políticas internas de protección de datos para transferencias dentro de un grupo empresarial; deben ser aprobadas por la autoridad de control |
| Excepciones (derogaciones) | Art. 49 | Consentimiento explícito, ejecución de contrato, razones de interés público, defensa de reclamaciones, intereses vitales, registro público |
Clave examen: La sentencia Schrems II (2020, C-311/18 TJUE) invalidó el Privacy Shield UE-EE.UU. Fue sustituido por el EU-US Data Privacy Framework (decisión de adecuación de julio 2023). Las SCCs fueron actualizadas en junio 2021 con un formato modular (4 escenarios).
Protección de datos desde el diseño y por defecto (Art. 25 RGPD)
| Concepto | Significado |
|---|
| Privacidad desde el diseño (Privacy by Design) | El responsable debe aplicar medidas técnicas y organizativas apropiadas desde el momento de la determinación de los medios de tratamiento (ej. seudonimización, minimización) |
| Privacidad por defecto (Privacy by Default) | Las medidas deben garantizar que, por defecto, solo se traten los datos necesarios para cada fin específico (cantidad, alcance, plazo de conservación y accesibilidad) |
LOPDGDD — Aspectos propios españoles
| Aspecto | Artículo LOPDGDD | Detalle |
|---|
| Consentimiento de menores | Art. 7 | Edad mínima: 14 años. Menores de 14 necesitan consentimiento del titular de patria potestad |
| Datos de personas fallecidas | Art. 3 | Personas vinculadas al fallecido (familiares, herederos) pueden solicitar acceso, rectificación o supresión, salvo que el fallecido lo hubiera prohibido expresamente |
| Sistemas de exclusión publicitaria | Art. 23 | Sistemas tipo Lista Robinson: los interesados pueden inscribirse para evitar comunicaciones comerciales |
| Sistemas de información crediticia | Art. 20 | Regulación de ficheros de morosos. Datos deben referirse a deudas ciertas, vencidas y exigibles. Notificación previa al deudor. Plazo máximo de conservación: 5 años |
| Tratamientos por AAPP | Arts. 25-28 | Base legal: competencia atribuida por ley. Publicación en el BOE/diario oficial del registro de actividades |
| Videovigilancia | Art. 22 | Supresión en plazo máximo de 1 mes. Deber de informar con cartel visible. Imágenes para seguridad ciudadana se rigen por LO 4/1997 |
Título X LOPDGDD: Garantía de los derechos digitales
Una de las grandes novedades de la LOPDGDD es el Título X, que regula los derechos digitales de los ciudadanos (Arts. 79-97):
| Derecho digital | Artículo | Contenido |
|---|
| Neutralidad de Internet | Art. 80 | Los proveedores de acceso deben proporcionar una oferta transparente y no discriminatoria |
| Acceso universal a Internet | Art. 81 | Garantía de acceso universal, asequible, de calidad y no discriminatorio |
| Seguridad digital | Art. 82 | Derecho a la seguridad de las comunicaciones |
| Educación digital | Art. 83 | Inclusión en el sistema educativo de competencias digitales y uso seguro de Internet |
| Derecho al olvido en buscadores | Art. 93 | Solicitar supresión de resultados de búsqueda vinculados a su nombre que sean inadecuados, inexactos o no pertinentes |
| Derecho al olvido en redes sociales | Art. 94 | Supresión de datos facilitados a redes sociales o servicios equivalentes |
| Derecho de portabilidad en redes sociales | Art. 95 | Recibir los contenidos facilitados y recuperarlos |
| Desconexión digital en el ámbito laboral | Art. 88 | Derecho de los trabajadores a no ser contactados fuera de su horario laboral por dispositivos digitales |
| Testamento digital | Art. 96 | Las personas vinculadas al fallecido o el ejecutor testamentario pueden solicitar acceso, rectificación o supresión de sus datos y perfiles digitales |
Clave examen: El Título X (derechos digitales) es exclusivo de la LOPDGDD, no está en el RGPD. Los derechos digitales se preguntan como "novedad de la LOPDGDD".
Autoridades de control
| Autoridad | Ámbito | Detalle |
|---|
| Agencia Española de Protección de Datos (AEPD) | Nacional | Ente de Derecho público con personalidad jurídica propia. Directora/Director con mandato de 5 años no renovable. Potestad sancionadora. Sede en Madrid |
| Autoridad Catalana de Protección de Datos (APDCAT) | Cataluña | Competencia sobre ficheros de AAPP catalanas y entidades de derecho público de Cataluña |
| Agencia Vasca de Protección de Datos (AVPD) | País Vasco | Competencia sobre ficheros de AAPP vascas |
| Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) | Andalucía | Competencia sobre ficheros de AAPP andaluzas |
| Comité Europeo de Protección de Datos (CEPD/EDPB) | UE | Órgano de la UE que garantiza la aplicación coherente del RGPD. Sustituye al antiguo Grupo de Trabajo del Art. 29 |
Clave examen: El mandato de la Dirección de la AEPD = 5 años no renovable. Las autoridades autonómicas solo tienen competencia sobre ficheros de AAPP de su comunidad; el sector privado siempre corresponde a la AEPD.
FUENTES PÚBLICAS
Este resumen ha sido elaborado íntegramente a partir de fuentes de dominio público. No se ha utilizado material con copyright de terceros ni material de preparadores.
| Fuente | Tipo | Referencia |
|---|
| Reglamento (UE) 2016/679 (RGPD) | Legislación UE | DOUE L 119, 04/05/2016 |
| LO 3/2018 (LOPDGDD) | Legislación | BOE núm. 294, 06/12/2018 |
| Guías de la AEPD | Institucional | aepd.es |
| Directrices del EDPB | Institucional | edpb.europa.eu |