Qué es la Ley Orgánica 3/2018, en dos frases
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) es la ley española que adapta nuestro ordenamiento al RGPD europeo y regula, además, un catálogo propio de derechos digitales. Está en vigor desde diciembre de 2018 y sustituyó a la antigua LOPD de 1999.
Su nombre completo ya avisa de que son dos leyes en una: la primera mitad desarrolla y concreta el reglamento europeo de protección de datos; la segunda introduce derechos que el RGPD no menciona, como la desconexión digital en el trabajo o el testamento digital. En esta guía te contamos qué regula exactamente, qué derechos digitales creó, cómo encaja con el RGPD y qué régimen de multas arrastra. Sin jerga, o con la mínima imprescindible.
Por qué existe, si ya teníamos el RGPD
El RGPD es un reglamento europeo: se aplica directamente en España sin necesidad de ley nacional. Pero el propio reglamento deja a los Estados miembros margen para concretar ciertos aspectos (la edad de consentimiento de los menores, el régimen sancionador interno, las autoridades de control...). La LOPDGDD ocupa ese espacio: no sustituye al RGPD ni lo repite, sino que lo complementa donde el reglamento permite elegir y añade materias puramente nacionales.
Si vienes buscando la historia completa del relevo normativo (LOPD de 1999 incluida), la tienes en LOPD: qué es y por qué ya no se llama así. Y para el marco europeo general, nuestra guía sobre qué es el RGPD.
Qué regula la parte de protección de datos
Las especialidades españolas más relevantes para una empresa son estas:
- Menores: consentimiento desde los 14 años (artículo 7). Por debajo de esa edad, hace falta el consentimiento de los titulares de la patria potestad o tutela.
- Datos de personas fallecidas (artículo 3): los herederos y allegados pueden solicitar el acceso, rectificación o supresión de los datos del fallecido, salvo prohibición expresa de este.
- Datos de contacto de profesionales y empresarios individuales (artículo 19): se presume amparado en interés legítimo el tratamiento de los datos de contacto de quien trabaja en una empresa, cuando se refieran solo a su función profesional y la finalidad sea relacionarse con la empresa. Es la cobertura habitual de la prospección B2B bien hecha.
- Sistemas de exclusión publicitaria (artículo 23): antes de hacer marketing directo hay que consultar las listas de exclusión, como la conocida Lista Robinson.
- Sistemas de información de denuncias internas (artículo 24), hoy conectados con la normativa de protección del informante.
- Tratamientos de solvencia y morosidad (artículo 20): condiciones estrictas para incluir a alguien en un fichero de morosos, fuente clásica de sanciones.
- Delegado de protección de datos obligatorio (artículo 34): lista cerrada de entidades que deben designarlo en España, entre ellas centros sanitarios, centros docentes, colegios profesionales o empresas de seguridad privada.
- Bloqueo de datos (artículo 32): cuando rectificas o suprimes datos, debes mantenerlos bloqueados (a disposición solo de jueces y administraciones) durante los plazos de prescripción de posibles responsabilidades. Importa mucho al atender el derecho de supresión.
Los derechos digitales: lo que la LOPDGDD añadió por su cuenta
El Título X (artículos 79 a 97) es la parte más original de la ley: derechos pensados para la vida digital, varios de ellos de enorme impacto laboral.
| Derecho digital | Artículo | Qué garantiza |
|---|---|---|
| Desconexión digital | 88 | No atender comunicaciones de la empresa fuera de la jornada; la empresa debe tener una política interna al respecto |
| Intimidad ante dispositivos digitales | 87 | Reglas de uso de ordenadores y móviles de empresa; el acceso del empleador a su contenido tiene límites |
| Videovigilancia y geolocalización laboral | 89 y 90 | Información previa, expresa y clara a la plantilla; zonas prohibidas; límites al audio |
| Derecho al olvido en buscadores | 93 | Desindexación de resultados inadecuados u obsoletos en búsquedas por nombre |
| Derecho al olvido en redes sociales | 94 | Supresión de datos publicados en redes y servicios equivalentes |
| Testamento digital | 96 | Gestión del contenido digital de personas fallecidas |
| Educación y seguridad digital | 81 y 83 | Acceso a internet y competencias digitales en el sistema educativo |
Para una pyme con trabajadores, los artículos 87 a 91 son los que mandan en el día a día: si tienes cámaras, lee nuestra guía específica sobre videovigilancia en el trabajo; si tu equipo usa email y móvil de empresa, necesitas una política de uso de dispositivos; y la política de desconexión digital es obligatoria como tal política interna, previa audiencia de los representantes de los trabajadores.
Cómo encaja con el RGPD: quién manda en qué
La regla práctica es sencilla:
- El RGPD manda siempre en lo esencial: principios, bases jurídicas, derechos de las personas, obligaciones del responsable y del encargado, brechas, sanciones.
- La LOPDGDD concreta donde el RGPD lo permite (menores, DPO, morosidad, presunciones de interés legítimo) y añade los derechos digitales.
- Si lees solo una de las dos normas, te falta la mitad de la película. La documentación de una empresa española debe citar y cumplir ambas, además de la LSSI para la parte de web y comunicaciones comerciales.
Multas: qué arriesga quien incumple
La LOPDGDD no inventa importes propios: las cuantías son las del artículo 83 del RGPD, que llegan hasta 10 millones de euros o el 2% de la facturación global para un primer grupo de infracciones y hasta 20 millones o el 4% para las más graves (principios, bases jurídicas, derechos de los interesados).
Lo que sí hace la ley española (artículos 72 a 74) es clasificar las infracciones en muy graves, graves y leves, sobre todo a efectos de plazos de prescripción, y regular el procedimiento sancionador de la AEPD. En la práctica, la Agencia gradúa las multas según los criterios del RGPD (intencionalidad, duración, volumen de datos, diligencia, cooperación...) y las resoluciones contra pymes se mueven en importes muy inferiores a los máximos, pero perfectamente capaces de hacer daño. Analizamos los patrones más repetidos en sanciones de la AEPD: ejemplos y rangos, y el funcionamiento de la autoridad de control en nuestra guía completa de la AEPD.
Lo que la LOPDGDD exige a una pyme, resumido
- Textos legales y cláusulas informativas actualizados (nada de citar la LOPD de 1999).
- Registro de actividades de tratamiento y contratos de encargo firmados.
- Si hay menores de 14 años entre tus usuarios: consentimiento de padres o tutores.
- Si haces marketing directo: consulta previa de listas de exclusión y respeto del régimen del email comercial.
- Si tienes trabajadores: políticas de desconexión digital y de uso de dispositivos; información previa si hay cámaras o geolocalización.
- Si estás en la lista del artículo 34: delegado de protección de datos designado y comunicado a la AEPD.
Preguntas frecuentes
¿La LOPDGDD sustituye al RGPD en España?
No. El RGPD se aplica directamente en España como en toda la UE. La LOPDGDD lo complementa: concreta los puntos que el reglamento deja a la decisión de cada Estado y añade los derechos digitales. Una empresa española debe cumplir las dos normas a la vez.
¿Qué es el derecho a la desconexión digital y a quién obliga?
Es el derecho de los trabajadores a no atender comunicaciones profesionales fuera de su jornada (artículo 88 LOPDGDD). Obliga a todas las empresas a elaborar, previa audiencia de la representación de los trabajadores, una política interna que defina cómo se garantiza, incluyendo el trabajo a distancia.
¿Desde qué edad puede un menor consentir el tratamiento de sus datos?
En España, desde los 14 años (artículo 7 LOPDGDD). Por debajo de esa edad, el consentimiento debe prestarlo quien ejerza la patria potestad o tutela. El RGPD fija la referencia en 16 años pero permite a cada país rebajarla hasta 13; España eligió 14.
¿Qué multas prevé la Ley Orgánica 3/2018?
Las de los artículos 83.4 y 83.5 del RGPD: hasta 10 millones de euros o el 2% de la facturación global anual en el primer nivel, y hasta 20 millones o el 4% en el segundo, aplicándose en cada caso la cifra mayor. La LOPDGDD clasifica las infracciones en muy graves, graves y leves a efectos de prescripción. Los importes reales se gradúan según la gravedad y el tamaño del infractor.
Adapta tu empresa a la LOPDGDD sin perderte en los 97 artículos
Saber qué exige la ley es la mitad del trabajo; la otra mitad es tener los documentos, las políticas internas y la web en regla, y mantenerlos al día. Eso es exactamente lo que hace nuestro servicio de cumplimiento legal: adecuación completa a RGPD, LOPDGDD y LSSI desde 249 euros al año, con soporte de nuestro equipo jurídico. Cuéntanos tu situación y te decimos qué te falta.