La respuesta corta
La LOPD era la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, y ya no está en vigor: fue sustituida por el RGPD europeo (aplicable desde mayo de 2018) y por la LOPDGDD española (Ley Orgánica 3/2018). Si hoy alguien te habla de "cumplir la LOPD", en realidad se refiere a cumplir estas dos normas.
El nombre, sin embargo, se resiste a morir. Gestorías, consultoras y hasta pliegos de contratación pública siguen escribiendo "LOPD" casi una década después de su derogación. En este artículo te contamos de dónde viene la ley, qué la sustituyó, qué cambió de verdad con el relevo y, sobre todo, qué obligaciones concretas tiene una pyme española en 2026.
Un poco de historia: de la LORTAD al RGPD
La protección de datos en España ha pasado por tres generaciones normativas:
| Norma | Año | Estado |
|---|---|---|
| LORTAD (LO 5/1992) | 1992 | Derogada en 1999 |
| LOPD (LO 15/1999) | 1999 | Derogada en 2018 |
| RGPD (Reglamento UE 2016/679) | Aprobado en 2016, aplicable desde el 25 de mayo de 2018 | Vigente |
| LOPDGDD (LO 3/2018) | 2018 | Vigente |
La LOPD de 1999 fue la gran ley española de protección de datos durante casi dos décadas. Funcionaba con una lógica muy de su época: las empresas declaraban sus "ficheros" de datos ante la Agencia Española de Protección de Datos, aplicaban medidas de seguridad según el nivel del fichero (básico, medio, alto, reguladas en su reglamento de desarrollo) y el consentimiento podía ser tácito en muchos supuestos.
En 2016 la Unión Europea aprobó el RGPD (Reglamento General de Protección de Datos), aplicable en todos los Estados miembros desde el 25 de mayo de 2018. Al ser un reglamento europeo, se aplica directamente, sin necesidad de transposición: desde ese día, el RGPD desplazó a la LOPD. Meses después, en diciembre de 2018, España aprobó la LOPDGDD (Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales), que adapta el ordenamiento español al RGPD, deroga formalmente la LOPD y añade un catálogo propio de derechos digitales. Tenemos una guía completa de la LOPDGDD explicada paso a paso y otra sobre la Ley Orgánica 3/2018 sin jerga.
Por cierto: si te encuentras el término "GDPR", es simplemente el RGPD en inglés. Lo aclaramos en GDPR: qué es y en qué se diferencia del RGPD.
Qué cambió de verdad con el adiós a la LOPD
El relevo normativo no fue un cambio de siglas: cambió la filosofía entera del cumplimiento.
Del registro de ficheros a la responsabilidad proactiva
Con la LOPD, cumplir consistía en gran medida en inscribir tus ficheros en el registro de la AEPD y tener un "documento de seguridad". Ese registro desapareció. Ahora rige el principio de responsabilidad proactiva (accountability): cada empresa debe analizar qué datos trata, aplicar las medidas adecuadas y, sobre todo, poder demostrarlo. El papel central lo ocupa el registro de actividades de tratamiento, un documento interno que ya no se presenta ante nadie pero que la AEPD puede pedirte en cualquier momento.
Del consentimiento tácito al consentimiento inequívoco
La LOPD toleraba consentimientos tácitos ("si no dices nada, entendemos que aceptas"). El RGPD exige una manifestación libre, específica, informada e inequívoca: una acción afirmativa clara. Las casillas premarcadas y los silencios dejaron de valer.
De multas limitadas a multas millonarias
La LOPD topaba las sanciones en 600.000 euros. El RGPD las eleva hasta 20 millones de euros o el 4% de la facturación global anual, la cifra que sea mayor, para las infracciones más graves. Que esos máximos se apliquen a multinacionales no significa que las pymes estén a salvo: la AEPD sanciona pymes con regularidad, con importes proporcionados a su tamaño pero muy reales.
Obligaciones nuevas que la LOPD no tenía
El RGPD introdujo figuras que no existían en 1999: la notificación de brechas de seguridad a la AEPD en un máximo de 72 horas, las evaluaciones de impacto para tratamientos de alto riesgo, el delegado de protección de datos (DPO) obligatorio para ciertas entidades, y la privacidad desde el diseño y por defecto.
"Cumplir la LOPD" en 2026: qué tiene que hacer tu pyme
Aunque el nombre correcto sea cumplir el RGPD y la LOPDGDD, lo que te exige la normativa hoy se puede resumir en una lista manejable:
- Identificar qué datos personales tratas y con qué finalidad: clientes, empleados, proveedores, candidatos, usuarios web.
- Tener una base jurídica para cada tratamiento (artículo 6 RGPD): contrato, obligación legal, consentimiento, interés legítimo...
- Mantener el registro de actividades de tratamiento (artículo 30 RGPD).
- Cumplir el deber de información (artículos 13 y 14): cláusulas informativas en formularios, contratos, presupuestos y web (política de privacidad, aviso legal y, si procede, política de cookies).
- Firmar contratos de encargado de tratamiento (artículo 28) con quienes traten datos por tu cuenta: gestoría, hosting, plataforma de email marketing, programa de nóminas.
- Aplicar medidas de seguridad apropiadas (artículo 32): contraseñas, copias de seguridad, cifrado, control de accesos.
- Atender los derechos de las personas (acceso, rectificación, supresión, oposición, portabilidad, limitación) en el plazo de un mes.
- Tener un protocolo de brechas de seguridad para notificar a la AEPD en 72 horas cuando proceda.
- Designar un DPO si estás en los supuestos obligatorios (la LOPDGDD lista sectores concretos en su artículo 34: centros sanitarios, centros docentes, empresas de seguridad privada, entre otros).
Para la mayoría de pymes, los puntos críticos en la práctica son el deber de información (textos legales de la web desactualizados o copiados de plantillas con referencias a la LOPD derogada, una pista clarísima para cualquier inspector), los contratos de encargo que nadie firmó y la atención de derechos que nadie sabe gestionar cuando llega el primer correo.
Cómo detectar que tu documentación sigue anclada en la LOPD
Señales típicas de que tu empresa hizo la adaptación en 2010 y nadie la ha tocado desde entonces:
- Tu política de privacidad cita la "Ley Orgánica 15/1999" o el "Real Decreto 1720/2007".
- Hablas de "ficheros inscritos en la AEPD" o de "niveles de seguridad básico, medio y alto".
- Tus cláusulas piden consentimiento para cosas que ya no lo necesitan (ejecutar un contrato) y no lo piden para las que sí (enviar publicidad).
- No existe registro de actividades de tratamiento ni contratos de encargo firmados.
Si te has reconocido en dos o más, tu adecuación necesita una revisión completa, no un parche.
Preguntas frecuentes
¿La LOPD sigue existiendo?
No. La Ley Orgánica 15/1999 fue derogada por la LOPDGDD (Ley Orgánica 3/2018). Desde mayo de 2018 las normas aplicables en España son el RGPD europeo y la LOPDGDD. El término "LOPD" sobrevive solo como costumbre lingüística.
¿LOPD y LOPDGDD son lo mismo?
No. La LOPD es la ley derogada de 1999; la LOPDGDD es la ley vigente de 2018 que la sustituyó. Comparten las primeras siglas porque ambas son leyes orgánicas de protección de datos, pero su contenido es muy distinto: la LOPDGDD desarrolla el RGPD y añade derechos digitales que la LOPD nunca contempló.
Mi empresa "hizo la LOPD" hace años, ¿estoy cubierto?
Casi seguro que no. Una adaptación anterior a 2018 se basa en un marco derogado: registro de ficheros, documento de seguridad, consentimiento tácito. El RGPD exige documentos y prácticas distintas (registro de actividades, contratos de encargo, protocolo de brechas, nuevos textos informativos). Conviene rehacer la adecuación desde cero.
¿Quién vigila el cumplimiento y qué me puede pasar?
La Agencia Española de Protección de Datos (AEPD), que actúa de oficio o por denuncia y publica sus resoluciones en aepd.es. Las multas del RGPD llegan en su tramo más alto a 20 millones de euros o el 4% de la facturación global, aunque a una pyme se le aplican importes proporcionados. Tienes ejemplos de patrones sancionadores habituales en nuestro artículo sobre sanciones de la AEPD.
Actualiza tu "LOPD" al marco que de verdad está en vigor
Si tu documentación todavía cita leyes derogadas o directamente no existe, lo más eficiente es una adecuación completa hecha por especialistas. Nuestro servicio de cumplimiento legal cubre RGPD, LOPDGDD y LSSI desde 249 euros al año: análisis de tus tratamientos, documentación a medida, textos legales implantados en tu web y soporte continuo. Escríbenos y te decimos en qué punto está tu empresa.