Marco normativo de la protección de datos en España

La protección de datos personales se regula por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El derecho fundamental a la protección de datos tiene reconocimiento constitucional en el art. 18.4 CE.

Principios del tratamiento de datos (art. 5 RGPD)

Licitud, lealtad y transparencia: los datos deben tratarse de forma lícita, leal y transparente.

Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos.

Minimización de datos: solo los datos adecuados, pertinentes y limitados a lo necesario.

Exactitud: actualizados y corregidos sin dilación.

Limitación del plazo de conservación: mantenidos solo durante el tiempo necesario.

Integridad y confidencialidad: medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado.

Responsabilidad proactiva: el responsable debe ser capaz de demostrar el cumplimiento.

Bases de legitimación del tratamiento (art. 6 RGPD)

El tratamiento solo es lícito si se cumple al menos una de estas condiciones: consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, cumplimiento de una misión de interés público, o satisfacción de intereses legítimos del responsable (siempre que no prevalezcan los derechos del interesado).

Derechos de los interesados (arts. 15-22 RGPD)

Los conocidos como derechos ARCO-POL:

Acceso (art. 15): conocer si se tratan datos personales y obtener copia. Rectificación (art. 16): corregir datos inexactos. Supresión — derecho al olvido (art. 17): eliminar datos cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilícito. Portabilidad (art. 20): recibir los datos en formato estructurado y transmitirlos a otro responsable. Oposición (art. 21): oponerse al tratamiento, especialmente con fines de mercadotecnia directa. Limitación (art. 18): obtener la restricción del tratamiento en determinadas circunstancias.

El responsable debe responder en el plazo máximo de 1 mes (ampliable a 2 meses por la complejidad).

El Delegado de Protección de Datos (DPO)

Es obligatorio designar un DPO (art. 37 RGPD y art. 34 LOPDGDD) cuando el tratamiento lo realice una autoridad pública, la actividad principal requiera una observación habitual y sistemática de interesados a gran escala, o se traten categorías especiales de datos a gran escala. La LOPDGDD amplía los supuestos: centros docentes, entidades financieras, aseguradoras, empresas de seguridad privada, federaciones deportivas y operadores de telecomunicaciones, entre otros.

Obligaciones del responsable del tratamiento

Registro de actividades de tratamiento (art. 30 RGPD): obligatorio para empresas con más de 250 empleados o que realicen tratamientos de riesgo.

Evaluación de impacto (EIPD, art. 35 RGPD): obligatoria cuando el tratamiento entrañe un alto riesgo para los derechos y libertades.

Notificación de brechas de seguridad (art. 33 RGPD): comunicación a la AEPD en las 72 horas siguientes a tener constancia de la violación.

Régimen sancionador

El RGPD establece multas de hasta 20 millones de euros o el 4% del volumen de negocio anual global (la cifra mayor) para las infracciones más graves. La AEPD (Agencia Española de Protección de Datos) es la autoridad de control en España.

La LOPDGDD clasifica las infracciones en leves (multa de hasta 40.000 €), graves (hasta 300.000 €) y muy graves (hasta 20 millones o 4% de facturación). La prescripción es de 1, 2 y 3 años respectivamente.

Consulta nuestras guías sobre delitos informáticos y derechos fundamentales para más contexto.

Daniel Cantin Ortiz
Estudiante de Derecho en UNIR y fundador de EstudiaDerecho.es.
Ver perfil del autor