LOPD, LOPDGDD y RGPD: qué norma aplica a tu empresa

·

En los despachos de dirección se siguen escuchando frases como «ya tenemos la LOPD hecha» refiriéndose a adaptaciones realizadas hace diez años. El problema es que la LOPD original —la Ley Orgánica 15/1999— quedó derogada. Y que el cumplimiento de 2016 no es el de 2026. Este artículo explica, sin rodeos, qué norma es cuál, por qué importa distinguirlas y qué obligaciones concretas impone el marco vigente a una empresa española.

¿Qué es cada norma? Jerarquía y vigencia

La LOPD de 1999: historia, no obligación

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) fue la norma española de referencia durante casi veinte años. Fue aprobada para transponer la Directiva europea 95/46/CE y estableció el régimen de inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD), las medidas de seguridad del Real Decreto 1720/2007 y el sistema de niveles básico, medio y alto. Fue derogada el 7 de diciembre de 2018, cuando entró en vigor la LOPDGDD. Hoy no obliga a nadie. Citarla como referencia vigente es un error.

El RGPD: el reglamento europeo que lo cambia todo

El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD) es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018. No necesitó ser transpuesto: basta con leer el texto del BOE-A-2018-6461 para saber qué exige. Al ser un reglamento europeo —no una directiva—, su texto prevalece sobre cualquier norma nacional que lo contradiga. Es la norma madre en materia de protección de datos para toda organización que trate datos de residentes en la UE, con independencia de dónde esté establecida.

La LOPDGDD: la adaptación española del RGPD

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la norma española que adapta y complementa el RGPD en los márgenes que el propio reglamento deja a los Estados miembros. Entró en vigor el 7 de diciembre de 2018 y derogó expresamente la LOPD de 1999. No sustituye al RGPD: lo acompaña. Cuando el RGPD y la LOPDGDD regulan la misma materia, prevalece el RGPD; cuando la LOPDGDD regula materias que el RGPD deja a los Estados (tratamiento de datos de menores, datos de afiliación sindical, videovigilancia en el ámbito laboral, derechos digitales de los trabajadores), es la LOPDGDD la que fija la regla concreta.

¿Quién supervisa? La AEPD como autoridad de control

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en España para el cumplimiento tanto del RGPD como de la LOPDGDD, conforme al artículo 57 RGPD y al artículo 44 LOPDGDD. Sus funciones incluyen investigar reclamaciones, imponer medidas correctoras, emitir apercibimientos, aplicar sanciones y publicar guías orientadoras. La AEPD no garantiza el cumplimiento de ninguna empresa: acompaña con orientación, pero también sanciona cuando detecta infracciones.

Para consultas prácticas, la AEPD publica guías técnicas de referencia sobre cookies, videovigilancia, delegado de protección de datos y otras materias. Son documentos de soft law —no tienen rango de ley—, pero sus criterios son los que aplica la propia agencia al valorar el cumplimiento.

Obligaciones concretas del marco vigente RGPD + LOPDGDD

Registro de actividades de tratamiento

El artículo 30 del RGPD obliga al responsable y al encargado del tratamiento a mantener un registro de las actividades de tratamiento que realizan. Este registro debe incluir, entre otros: nombre y datos de contacto del responsable, finalidades del tratamiento, descripción de categorías de interesados y de datos personales, destinatarios, transferencias internacionales y, cuando sea posible, los plazos de supresión. Es el documento base de la accountability (responsabilidad proactiva) exigida por el RGPD.

Base jurídica para cada tratamiento

El artículo 6 RGPD exige que cada tratamiento de datos tenga una base jurídica legítima: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión de interés público o interés legítimo. Tratar datos sin base jurídica es una infracción grave. La LOPDGDD añade precisiones para algunas bases jurídicas en el contexto español (art. 19 LOPDGDD para el consentimiento de menores: 14 años como edad mínima en España, frente al margen de 13 a 16 que permite el RGPD).

Información y transparencia

Los artículos 13 y 14 RGPD regulan la información que debe facilitarse al interesado cuando se recogen sus datos (capa 1 y capa 2 de la política de privacidad). La información debe ser concisa, transparente, inteligible y de fácil acceso, en lenguaje claro y sencillo. Un aviso legal copiado de una plantilla genérica de 2016 no cumple estos requisitos.

Gestión de derechos de los interesados

El RGPD reconoce los derechos de acceso (art. 15), rectificación (art. 16), supresión o «derecho al olvido» (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20) y oposición (art. 21). La empresa debe habilitar un canal efectivo para recibirlos y responder en el plazo de un mes (prorrogable dos meses más en casos complejos). La LOPDGDD añade los derechos digitales laborales (arts. 87-91), entre los que destacan el derecho a la desconexión digital, el derecho a la intimidad frente a la videovigilancia y el derecho a la intimidad ante el uso de dispositivos digitales en el trabajo.

Brechas de seguridad: notificación en 72 horas

El artículo 33 RGPD obliga al responsable del tratamiento a notificar a la AEPD cualquier brecha de seguridad que suponga un riesgo para los derechos y libertades de las personas físicas, en un plazo máximo de 72 horas desde que tiene conocimiento de ella. Si la notificación no puede completarse en ese plazo, debe realizarse por fases, explicando los motivos del retraso. Adicionalmente, el artículo 34 RGPD exige comunicar la brecha a los propios interesados afectados cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. Esta comunicación debe hacerse «sin dilación indebida» y en términos claros y sencillos.

Videovigilancia: artículos 22 y 89 LOPDGDD

La videovigilancia tiene una regulación específica en la LOPDGDD. El artículo 22 LOPDGDD regula la captación de imágenes en lugares públicos o accesibles al público por parte de personas físicas o jurídicas privadas: exige base jurídica adecuada, cartel informativo normalizado («zona videovigilada» con datos del responsable) visible antes de entrar en la zona grabada, y un plazo máximo de conservación de las imágenes de un mes (salvo que deban conservarse más tiempo por requerimiento judicial o administrativo). El artículo 89 LOPDGDD regula el uso de cámaras de vigilancia y grabación en el ámbito de la relación laboral: el empresario puede establecer sistemas de videovigilancia para el control de la actividad laboral, pero debe informar con carácter previo, de forma expresa, clara y concisa, a los trabajadores y a sus representantes. No existe aquí la excepción de la «cámara oculta» para la detección de comportamientos ilícitos salvo supuestos muy tasados por la jurisprudencia del Tribunal Supremo y del Tribunal Constitucional.

Cookies y comunicaciones electrónicas: art. 22.2 LSSI-CE y Guía AEPD

Las cookies no están reguladas por el RGPD directamente, sino por el artículo 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), que exige consentimiento informado del usuario para el almacenamiento de cookies no estrictamente necesarias. La Guía sobre el uso de las cookies de la AEPD (actualizada en 2023) concreta las exigencias: banner de primera capa visible al acceder al sitio, sin casillas premarcadas, con la opción de rechazar tan accesible y sencilla como la de aceptar, e información en segunda capa sobre cada categoría de cookie. El «scroll como consentimiento» y el «acceso = aceptación» no son válidos.

Delegado de Protección de Datos (DPO): arts. 37-39 RGPD

Los artículos 37 a 39 del RGPD regulan la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés). Su designación es obligatoria en los supuestos del artículo 37.1: organismos públicos, responsables cuya actividad principal consista en operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala de los interesados, y responsables que traten a gran escala categorías especiales de datos (salud, ideología, origen racial, etc.) o datos relativos a condenas e infracciones penales. La LOPDGDD amplía estos supuestos en el artículo 34, incluyendo centros educativos, entidades de crédito, aseguradoras, farmacéuticos y otras categorías. El DPO puede ser interno o externo, debe tener conocimientos especializados en derecho y práctica de protección de datos, actúa con independencia funcional y reporta al máximo nivel directivo.

Marco sancionador: el artículo 83 RGPD

El RGPD no fija importes de sanción para cada infracción concreta: establece un marco de dos tramos en el artículo 83. Las infracciones más graves —como tratar datos sin base jurídica, vulnerar los principios fundamentales del tratamiento o transferir datos a terceros países sin garantías— pueden sancionarse con multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual total en el ejercicio anterior, aplicándose la cuantía mayor. Las infracciones de nivel inferior pueden alcanzar hasta 10.000.000 EUR o el 2 % del volumen de negocio. La LOPDGDD clasifica las infracciones en leves, graves y muy graves (arts. 72-74) y establece el plazo de prescripción, pero las multas máximas son las del RGPD. La AEPD toma en consideración múltiples factores atenuantes y agravantes al calcular la sanción efectiva: intencionalidad, medidas adoptadas para mitigar los daños, grado de cooperación, categorías de datos afectados y número de interesados.

Cuadro comparativo: LOPD 1999, RGPD y LOPDGDD de un vistazo

Aspecto LOPD (LO 15/1999) RGPD (UE 2016/679) LOPDGDD (LO 3/2018)
Estado actual Derogada desde dic. 2018 Vigente desde mayo 2018 Vigente desde dic. 2018
Origen Ley española (Directiva 95/46/CE) Reglamento europeo (aplicación directa) Ley orgánica española
Inscripción de ficheros en AEPD Obligatoria Sustituida por registro de actividades (art. 30) Confirma la eliminación
Brechas de seguridad Sin regulación específica Notif. AEPD ≤72 h (art. 33); comunicar afectados si alto riesgo (art. 34) Complementa el RGPD
DPO obligatorio No existía Arts. 37-39 (supuestos específicos) Art. 34 amplía supuestos en España
Videovigilancia laboral Sin regulación específica Marco general Arts. 22 y 89 LOPDGDD
Cookies No regulaba No regula directamente Remite a art. 22.2 LSSI-CE y Guía AEPD
Sanción máxima 600.000 € (muy grave) 20 M EUR o 4 % volumen negocio (art. 83) Remite al RGPD; clasifica infracciones

¿Qué significa esto para tu empresa?

El cumplimiento no es un trámite puntual. El RGPD exige un enfoque de responsabilidad proactiva y continua: documentar por qué tratas cada dato, con qué base jurídica, durante cuánto tiempo y con qué medidas de seguridad. Las empresas que actualizaron su documentación en 2018 deben revisar si sus registros, contratos con encargados y políticas de privacidad siguen siendo exactos en 2026, teniendo en cuenta los cambios de proveedor, de proceso o de finalidad que hayan producido en estos años.

En Summum Consultoria acompañamos a empresas de Castilla y León y Canarias en su adecuación al RGPD y la LOPDGDD: desde el diagnóstico inicial hasta la implantación del registro de actividades, la revisión de cláusulas informativas, la gestión de derechos y la respuesta ante brechas de seguridad. Si tienes dudas sobre qué norma aplica a tu empresa o si tu documentación actual sigue siendo válida, podemos ayudarte a clarificarlo.

Preguntas frecuentes

¿Sigue siendo necesario inscribir los ficheros en la AEPD?

No. La obligación de inscripción de ficheros quedó eliminada con la entrada en vigor del RGPD en 2018. Lo que sí es obligatorio desde entonces es mantener el registro interno de actividades de tratamiento previsto en el artículo 30 RGPD. Se trata de un documento interno, no un trámite ante la AEPD, que acredita qué datos trata la organización, con qué finalidad y bajo qué base jurídica.

¿Cuándo hay que notificar una brecha de datos a la AEPD?

Cuando la brecha suponga un riesgo para los derechos y libertades de las personas físicas, la notificación debe hacerse a la AEPD en un plazo máximo de 72 horas desde que el responsable tenga conocimiento de ella (art. 33 RGPD). Si no es posible completar la notificación en ese plazo, puede hacerse por fases. Adicionalmente, si la brecha entraña un alto riesgo para los afectados, estos deben ser informados directamente (art. 34 RGPD) sin demora indebida. La clave es disponer de un protocolo interno de detección y respuesta antes de que ocurra el incidente, no improvisar cuando ya ha sucedido.

¿Mi empresa necesita un Delegado de Protección de Datos?

Depende del tipo de tratamiento que realice. La designación de DPO es obligatoria, entre otros casos, cuando la actividad principal consiste en tratar a gran escala datos de salud, datos biométricos, datos de menores o datos relativos a infracciones penales, o cuando se realiza observación habitual y sistemática a gran escala de interesados. La LOPDGDD amplía los supuestos en España. Si no encaja en ninguno de estos supuestos, la designación no es obligatoria, aunque sí recomendable en organizaciones con volúmenes significativos de tratamiento. Puede ampliar este análisis en nuestro artículo sobre cuándo es obligatorio el DPO externo.

¿Qué ocurre si mi web utiliza Google Analytics sin banner de cookies?

Google Analytics instala cookies de análisis que no son estrictamente necesarias para la prestación del servicio solicitado. El artículo 22.2 LSSI-CE exige consentimiento previo e informado del usuario para su instalación. Operar Google Analytics sin un banner de cookies válido —o con un banner que no ofrezca la opción de rechazar con la misma facilidad que aceptar— es una infracción de la LSSI-CE susceptible de ser sancionada por la AEPD. La Guía sobre el uso de las cookies de la AEPD (2023) es el documento de referencia para valorar si el banner cumple los requisitos.