La LOPDGDD es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, vigente en España desde el 7 de diciembre de 2018, que adapta el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) al ordenamiento jurídico español y añade un Título X específico sobre derechos digitales. Esta guía analiza la norma artículo por artículo, sus 10 títulos, las novedades frente al derogado régimen de la LO 15/1999 y las obligaciones reales que recaen sobre pymes y autónomos en 2026.
Tabla de contenidos
- Qué es la LOPDGDD y cuándo entró en vigor
- Estructura de la LOPDGDD: 10 títulos y 97 artículos
- Qué añade la LOPDGDD al RGPD
- Título X: garantía de los derechos digitales
- Derechos del titular en la LOPDGDD: Arts. 12-18
- Régimen sancionador LOPDGDD: Arts. 71-78
- Diferencia entre RGPD y LOPDGDD
- Obligaciones concretas para pymes y autónomos
- Preguntas frecuentes
- Próximos pasos
Qué es la LOPDGDD y cuándo entró en vigor
La LOPDGDD es la norma con rango de ley orgánica con la que España adapta el RGPD al derecho interno. Su denominación oficial completa es Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, publicada en el Boletín Oficial del Estado con la referencia BOE-A-2018-16673 el 6 de diciembre de 2018. Conforme a la Disposición Final Decimosexta, entró en vigor al día siguiente de su publicación, es decir, el 7 de diciembre de 2018.
La LOPDGDD cumple tres funciones simultáneas. En primer lugar, sustituye a la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que queda derogada por la Disposición Derogatoria Única salvo en lo que se mantuviera vigente y compatible. En segundo lugar, desarrolla las cláusulas abiertas que el RGPD reserva a los Estados miembros (edad del consentimiento del menor, especialidades sanitarias, fines estadísticos, sistemas de denuncias internas, régimen sancionador interno, etc.). En tercer lugar, introduce un catálogo propio de derechos digitales en el Título X, que carece de equivalente directo en el Reglamento europeo y eleva a categoría jurídica derechos como la desconexión digital o el testamento digital.
La norma se aplica desde el 7 de diciembre de 2018 a cualquier tratamiento de datos personales realizado en territorio español o sometido al ámbito de aplicación territorial del Art. 3 RGPD. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control competente con carácter general, junto a las autoridades autonómicas catalana (APDCAT), vasca (AVPD) y andaluza, dentro de sus respectivas competencias.
Estructura de la LOPDGDD: 10 títulos y 97 artículos
La LOPDGDD se articula en 97 artículos distribuidos en 10 títulos, más 22 disposiciones adicionales, 7 disposiciones transitorias, una disposición derogatoria y 16 disposiciones finales. La siguiente tabla resume el contenido de cada título.
| Título | Artículos | Contenido principal |
|---|---|---|
| Título I | Arts. 1-3 | Disposiciones generales: objeto, ámbito de aplicación y datos de personas fallecidas |
| Título II | Arts. 4-10 | Principios de protección de datos: exactitud, confidencialidad, consentimiento, categorías especiales, datos penales |
| Título III | Arts. 11-18 | Derechos de las personas: información, acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas |
| Título IV | Arts. 19-27 | Tratamientos concretos: morosidad, publicidad, videovigilancia, sistemas de información crediticia, denuncias internas |
| Título V | Arts. 28-43 | Responsable y encargado del tratamiento, DPO, códigos de conducta y certificación |
| Título VI | Arts. 41-43 | Transferencias internacionales de datos |
| Título VII | Arts. 44-53 | Autoridades de protección de datos: AEPD y autoridades autonómicas |
| Título VIII | Arts. 54-70 | Procedimientos en caso de posible vulneración |
| Título IX | Arts. 71-78 | Régimen sancionador: infracciones, sanciones y prescripción |
| Título X | Arts. 79-97 | Garantía de los derechos digitales |
El propio nombre extenso de la ley refleja esta dualidad estructural: «Protección de Datos Personales» abarca los Títulos I a IX (transposición y desarrollo del RGPD), mientras que «garantía de los derechos digitales» corresponde íntegramente al Título X, una innovación normativa que el legislador español incorpora más allá de lo exigido por la Unión Europea.
Las Disposiciones Adicionales completan el régimen con cuestiones como el cómputo de plazos, el régimen aplicable a las administraciones públicas, los tratamientos en el ámbito laboral, los códigos deontológicos o el bloqueo de datos. Las Disposiciones Transitorias regulan el régimen de los tratamientos sometidos a la LO 15/1999 hasta su plena adaptación.
Qué añade la LOPDGDD al RGPD
El RGPD es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018, pero deja un margen amplio de desarrollo nacional. La LOPDGDD aprovecha ese margen para fijar especialidades que conviven con el Reglamento.
Las principales novedades sustantivas que la LOPDGDD añade al RGPD son:
- Edad del consentimiento del menor (Art. 7 LOPDGDD): España fija en 14 años la edad a partir de la cual un menor puede prestar válidamente consentimiento al tratamiento de sus datos en servicios de la sociedad de la información. El Art. 8 RGPD permite a los Estados miembros fijar esa edad entre 13 y 16 años.
- Tratamiento de datos de personas fallecidas (Art. 3 LOPDGDD): aunque el RGPD no protege los datos de fallecidos (Considerando 27), la LOPDGDD reconoce a herederos, personas designadas o vinculadas la legitimación para ejercer el derecho de acceso, rectificación o supresión.
- Bloqueo de datos (Art. 32 LOPDGDD): obligación de conservar bloqueados los datos suprimidos durante el plazo de prescripción de acciones derivadas del tratamiento, una figura específica del derecho español que matiza la supresión del Art. 17 RGPD.
- Sistemas internos de denuncias (Art. 24 LOPDGDD): regula los canales de denuncia interna, ahora completados por la Ley 2/2023 de protección del informante.
- Tratamientos con fines estadísticos, de investigación y archivo (Arts. 25-27): especialidades nacionales que complementan el Art. 89 RGPD.
- Régimen sancionador propio (Arts. 71-78 LOPDGDD): tipifica infracciones leves, graves y muy graves con plazos de prescripción propios, sin perjuicio del régimen del Art. 83 RGPD.
- DPO obligatorio en supuestos tasados (Art. 34 LOPDGDD): amplía el listado de supuestos del Art. 37 RGPD a colegios profesionales, entidades de crédito, prestadores de servicios sanitarios, centros docentes o federaciones deportivas con datos de menores.
- Título X sobre derechos digitales: el bloque más diferenciador, sin equivalente en el Reglamento europeo.
Título X: garantía de los derechos digitales
El Título X (Arts. 79-97 LOPDGDD) es la aportación más singular del legislador español y la que justifica el doble apellido de la ley. Estos derechos no derivan del RGPD: nacen de la Constitución y de la jurisprudencia constitucional, y la LOPDGDD los positiviza como derecho subjetivo exigible.
Los principales derechos digitales reconocidos son:
- Derecho a la neutralidad de internet (Art. 80): los proveedores de servicios deben suministrar una oferta transparente, sin discriminación por motivos técnicos o económicos.
- Derecho de acceso universal a internet (Art. 81): acceso a internet universal, asequible, de calidad y no discriminatorio.
- Derecho a la seguridad digital (Art. 82): los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de internet.
- Derecho a la educación digital (Art. 83): el sistema educativo debe garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje del uso de los medios digitales de forma segura y respetuosa.
- Protección de los menores en internet (Art. 84): padres, tutores, curadores y centros educativos velarán por el uso equilibrado y responsable de los dispositivos digitales y de internet.
- Derecho de rectificación en internet (Art. 85): derecho a solicitar la rectificación de la información difundida en medios de comunicación digitales.
- Derecho a la actualización de informaciones en medios digitales (Art. 86): similar al anterior, aplicado a hemerotecas digitales.
- Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (Art. 87): los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador.
- Derecho a la desconexión digital en el ámbito laboral (Art. 88): derecho a no atender comunicaciones profesionales fuera del horario de trabajo; las empresas deben elaborar una política interna, previa audiencia de los representantes de los trabajadores.
- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el lugar de trabajo (Art. 89).
- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (Art. 90).
- Derechos digitales en la negociación colectiva (Art. 91).
- Protección de datos de los menores en internet (Art. 92).
- Derecho al olvido en búsquedas de internet (Art. 93): traslación legal del derecho jurisprudencial del caso Google Spain (STJUE C-131/12).
- Derecho al olvido en servicios de redes sociales y servicios equivalentes (Art. 94).
- Derecho de portabilidad en servicios de redes sociales y servicios equivalentes (Art. 95).
- Derecho al testamento digital (Art. 96): regula el acceso a contenidos sobre personas fallecidas en servicios de la sociedad de la información.
- Políticas de impulso de los derechos digitales (Art. 97).
Para una pyme, el derecho con mayor impacto operativo inmediato es el de desconexión digital del Art. 88 LOPDGDD: obliga a contar con una política interna escrita, oída la representación legal de los trabajadores, que defina horarios, canales y excepciones. La AEPD ha publicado pronunciamientos y la Audiencia Nacional ha valorado positivamente la existencia de estas políticas en procedimientos sancionadores e inspecciones.
Derechos del titular en la LOPDGDD: Arts. 12-18
El Título III (Arts. 11-18 LOPDGDD) regula el ejercicio de los derechos reconocidos en los Arts. 15 a 22 RGPD, con especialidades procedimentales propias del derecho español.
Los derechos del titular regulados son:
- Derecho de acceso (Art. 13 LOPDGDD): el responsable debe facilitar, en el plazo máximo de un mes ampliable a dos en supuestos complejos, una copia de los datos personales objeto de tratamiento, las finalidades, las categorías de datos, los destinatarios y el plazo de conservación.
- Derecho de rectificación (Art. 14): el interesado debe indicar a qué datos se refiere y la corrección que solicita, acompañando cuando sea preciso la documentación que justifique la inexactitud.
- Derecho de supresión (Art. 15): incluye los supuestos del Art. 17 RGPD y se complementa con el deber de bloqueo del Art. 32 LOPDGDD.
- Derecho a la limitación del tratamiento (Art. 16).
- Derecho a la portabilidad (Art. 17): traslación del Art. 20 RGPD.
- Derecho de oposición (Art. 18): incluye el derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles (Art. 22 RGPD).
El Art. 11 LOPDGDD añade un régimen de transparencia e información que complementa los Arts. 13 y 14 RGPD, permitiendo facilitar la información por capas siempre que se ponga a disposición del interesado la información básica de forma concisa y comprensible.
Cuando el responsable no atiende un derecho en plazo o lo deniega indebidamente, el interesado puede presentar una reclamación de tutela ante la AEPD (Art. 65 LOPDGDD). La AEPD tramita un procedimiento administrativo en el que puede acordar medidas correctoras, sin perjuicio de la vía judicial civil. La Memoria anual de la AEPD recoge un volumen elevado y creciente de reclamaciones cada ejercicio, siendo el acceso y la supresión los derechos más reclamados con diferencia.
Régimen sancionador LOPDGDD: Arts. 71-78
El Título IX (Arts. 71-78 LOPDGDD) desarrolla el régimen sancionador, complementando el Art. 83 RGPD. La clasificación se estructura en tres categorías cuyas cuantías máximas vienen fijadas por el propio RGPD.
| Categoría | Artículo LOPDGDD | Ejemplos | Cuantía máxima Art. 83 RGPD |
|---|---|---|---|
| Muy graves | Art. 72 | Tratamiento sin base jurídica, vulneración categorías especiales, transferencia internacional sin garantías | 20 M€ o 4% facturación global |
| Graves | Art. 73 | Falta de DPO obligatorio, ROPA incompleto, no atender derechos en plazo | Marco Art. 83.4 RGPD (hasta 10 M€ o 2 %), modulado por criterios del Art. 83.2 RGPD y Art. 76 LOPDGDD |
| Leves | Art. 74 | Defectos formales en la información, errores menores en el ROPA | Mismo marco que graves, con modulación a la baja por gravedad y reincidencia (Art. 83.2 RGPD) |
La prescripción de las infracciones se regula en el Art. 78 LOPDGDD con los siguientes plazos:
- Infracciones muy graves: 3 años.
- Infracciones graves: 2 años.
- Infracciones leves: 1 año.
Las las sanciones, por su parte, prescriben conforme a los plazos previstos en el propio Art. 78 LOPDGDD en función de su cuantía, con un horizonte máximo de 3 años para las de mayor importe.
El Art. 76 LOPDGDD recoge los criterios de graduación que complementan los del Art. 83.2 RGPD: la vinculación de la actividad del infractor con el tratamiento de datos personales, el volumen de tratamientos efectuados, la afectación a derechos de menores, o la condición de encargado o responsable. La AEPD aplica además, conforme al Art. 58.2.b RGPD, la posibilidad de dirigir una advertencia previa cuando los tratamientos puedan infringir el Reglamento.
En materia de procedimiento, los Arts. 63 a 70 LOPDGDD regulan las actuaciones previas, el inicio del procedimiento sancionador, las medidas provisionales y la resolución, con un plazo máximo de tramitación de 9 meses (Art. 64.6) prorrogable hasta 12 meses.
Sanciones recientes relevantes incluyen las impuestas a entidades del IBEX 35 por importes en el rango de varios millones de euros por brechas de seguridad o falta de base jurídica, así como sanciones a pymes en el rango de 5.000 € a 60.000 € por incumplimientos en información, brechas no notificadas o videovigilancia indebida, conforme a las resoluciones publicadas en la sede electrónica de la AEPD.
Diferencia entre RGPD y LOPDGDD
El RGPD y la LOPDGDD son normas complementarias, no alternativas: ambas se aplican simultáneamente a cualquier tratamiento realizado en España. La siguiente tabla resume las diferencias estructurales clave.
| Aspecto | RGPD (UE 2016/679) | LOPDGDD (LO 3/2018) |
|---|---|---|
| Naturaleza | Reglamento UE, aplicación directa | Ley orgánica española |
| Vigencia | 25/05/2018 | 07/12/2018 |
| Ámbito territorial | UE/EEE y Art. 3 RGPD | España |
| Edad consentimiento menor | 13-16 años (margen Estado) | 14 años (Art. 7) |
| Datos de fallecidos | No regulado (Considerando 27) | Sí regulado (Art. 3) |
| Derechos digitales laborales | No regulado | Título X (Arts. 87-91) |
| Bloqueo de datos | No previsto | Art. 32 LOPDGDD |
| Autoridad de control | Cada Estado miembro | AEPD + autoridades autonómicas |
| Régimen sancionador | Art. 83 (cuantías máximas) | Arts. 71-78 (tipificación y procedimiento) |
| Sistemas de denuncia interna | No regulados específicamente | Art. 24 LOPDGDD |
Conviene insistir en que la LOPDGDD no deroga ni desplaza al RGPD: lo complementa donde el Reglamento europeo deja margen y añade el bloque innovador del Título X. La derogada LO 15/1999, la antigua «LOPD», pertenece a un modelo previo basado en directiva (Directiva 95/46/CE) y no en reglamento. Por eso, hablar de «LOPD» en 2026 es impreciso: la norma vigente es la LOPDGDD, junto con el Reglamento de desarrollo de la LOPD de 2007 (Real Decreto 1720/2007) en aquellos extremos que no resulten contrarios al RGPD ni a la LOPDGDD.
Obligaciones concretas para pymes y autónomos
Para una pyme o autónomo en España, cumplir la LOPDGDD implica cumplir simultáneamente el RGPD. El núcleo de obligaciones operativas en 2026 es el siguiente.
- Identificar bases jurídicas (Art. 6 RGPD): documentar para cada tratamiento si la base es consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés vital o misión de interés público. El consentimiento (Art. 7 RGPD) debe ser libre, específico, informado, inequívoco y demostrable.
- Registro de Actividades de Tratamiento (Art. 30 RGPD y Art. 31 LOPDGDD): documento interno que enumera responsable, finalidades, categorías de datos, destinatarios, transferencias internacionales, plazos de supresión y medidas de seguridad. Obligatorio salvo las exenciones del Art. 30.5 RGPD, que en la práctica casi ninguna pyme cumple por su carácter acumulativo.
- Información al interesado (Arts. 13-14 RGPD y Art. 11 LOPDGDD): política de privacidad accesible, redactada por capas, con la identidad del responsable, las finalidades, la base jurídica, los destinatarios, los plazos de conservación y los derechos del interesado.
- Contratos con encargados (Art. 28 RGPD): cualquier proveedor que trate datos en nombre de la empresa (hosting, gestoría, CRM, email marketing, IA generativa) requiere contrato de encargado con el contenido mínimo del Art. 28.3 RGPD.
- Análisis de riesgos y, en su caso, Evaluación de Impacto (Art. 35 RGPD): obligatoria para tratamientos a gran escala, perfiles, datos sensibles o videovigilancia masiva. La AEPD publica una lista de tratamientos que requieren EIPD.
- Medidas de seguridad (Art. 32 RGPD): cifrado, control de accesos, copias de seguridad, registro de actividades, gestión de incidentes. El Esquema Nacional de Seguridad (RD 311/2022) es referencia técnica útil incluso fuera del sector público.
- Notificación de brechas (Arts. 33 y 34 RGPD): notificación a la AEPD en 72 horas y, si hay alto riesgo, comunicación a los afectados. La AEPD ofrece el formulario electrónico de notificación de brechas.
- Designación de DPO (Art. 37 RGPD y Art. 34 LOPDGDD): obligatoria para autoridades públicas, tratamientos a gran escala de categorías especiales o seguimiento sistemático, y para los supuestos tasados del Art. 34 LOPDGDD. Si se designa, debe notificarse a la AEPD.
- Política de desconexión digital (Art. 88 LOPDGDD): obligatoria si se tienen empleados, con audiencia de la representación legal.
- Videovigilancia (Art. 22 LOPDGDD): cartel informativo, conservación máxima de 1 mes salvo evidencia de hechos delictivos, y prohibición de zonas de descanso, vestuarios o aseos.
El incumplimiento de cualquiera de estas obligaciones puede tipificarse como infracción grave o muy grave por la AEPD. La práctica recomendable es estructurar un sistema de cumplimiento documentado, actualizado periódicamente y supervisado por DPO interno o externo.
Preguntas frecuentes
Qué significa LOPDGDD y en qué se diferencia de la LOPD
LOPDGDD es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. La antigua LOPD era la LO 15/1999, ya derogada y de un modelo previo basado en la Directiva 95/46/CE. La LOPDGDD adapta el RGPD al ordenamiento español y añade un Título X sobre derechos digitales (desconexión laboral, testamento digital, derecho al olvido) que la LOPD no contemplaba. Hablar de «LOPD» en 2026 es impreciso: la norma vigente es la LOPDGDD.
Cuándo entró en vigor la LOPDGDD y a quién se aplica
La LOPDGDD se publicó en el BOE el 6 de diciembre de 2018 (BOE-A-2018-16673) y entró en vigor el 7 de diciembre de 2018, conforme a su Disposición Final Decimosexta. Se aplica a cualquier tratamiento de datos personales realizado en España o sometido al ámbito de aplicación territorial del Art. 3 RGPD, incluyendo a empresas extranjeras que ofrezcan bienes o servicios a personas en territorio español o controlen su comportamiento.
Qué obligaciones impone la LOPDGDD a una pyme con menos de 10 empleados
Una pyme pequeña debe cumplir el RGPD íntegro: base jurídica documentada, ROPA, política de privacidad, contratos de encargado, medidas de seguridad y notificación de brechas en 72 horas. La exención del Art. 30.5 RGPD prácticamente no se aplica por su carácter acumulativo. Si tiene empleados, debe implantar política de desconexión digital del Art. 88 LOPDGDD. La videovigilancia se rige por el Art. 22 LOPDGDD. La cuantía de las sanciones es la misma que para grandes empresas, modulada por el Art. 83.2 RGPD y el Art. 76 LOPDGDD.
Cuáles son las sanciones de la LOPDGDD por incumplir el RGPD
Las sanciones se rigen por el Art. 83 RGPD: hasta 20 millones de euros o el 4% de la facturación global anual para infracciones muy graves (tratamiento sin base, vulneración de categorías especiales, transferencias indebidas), y hasta 10 millones o el 2% para infracciones graves (falta de DPO obligatorio, ROPA incompleto, no atender derechos). El Art. 78 LOPDGDD fija plazos de prescripción de 3 años (muy graves), 2 años (graves) y 1 año (leves).
Qué es el Título X de la LOPDGDD y por qué importa
El Título X (Arts. 79-97 LOPDGDD) regula los derechos digitales, una innovación del legislador español sin equivalente en el RGPD. Incluye la neutralidad de internet, el acceso universal, la educación digital, la protección de menores en internet, los derechos al olvido en buscadores y redes sociales, la portabilidad en redes sociales, el testamento digital y los derechos digitales laborales: intimidad ante dispositivos digitales, videovigilancia, geolocalización y, especialmente, el derecho a la desconexión digital del Art. 88.
A qué edad puede un menor consentir el tratamiento de sus datos en España
El Art. 7 LOPDGDD fija en 14 años la edad a partir de la cual un menor puede prestar consentimiento válido al tratamiento de sus datos en servicios de la sociedad de la información. Por debajo de esa edad, se requiere el consentimiento del titular de la patria potestad o tutela. España ha optado por la edad intermedia dentro del margen 13-16 años que ofrece el Art. 8 RGPD a los Estados miembros.
Es obligatorio designar Delegado de Protección de Datos según la LOPDGDD
El DPO es obligatorio en los supuestos del Art. 37 RGPD (autoridad pública, tratamientos a gran escala de categorías especiales o seguimiento sistemático) y en los supuestos tasados del Art. 34 LOPDGDD: colegios profesionales, centros docentes, entidades de crédito, prestadores de servicios sanitarios públicos y privados, federaciones deportivas con datos de menores, entre otros. La designación debe notificarse a la AEPD mediante el formulario habilitado en su sede electrónica.
Qué relación tiene la LOPDGDD con el RGPD: cuál prevalece
Son normas complementarias y de aplicación simultánea. El RGPD es de aplicación directa en toda la UE; la LOPDGDD desarrolla las cláusulas abiertas que el Reglamento reserva a los Estados miembros y añade el Título X de derechos digitales. En caso de conflicto interpretativo, prevalece el Derecho de la Unión por el principio de primacía. En la práctica, cumplir la LOPDGDD implica cumplir el RGPD y viceversa: los responsables deben aplicar ambos textos de forma conjunta.
Próximos pasos
Si tu empresa trata datos personales en España, necesitas un cumplimiento documentado de la LOPDGDD y el RGPD que sea defendible ante una inspección de la AEPD. En Cardeseo acompañamos a pymes y autónomos en todo el ciclo: auditoría inicial, documentación obligatoria, implantación de medidas y mantenimiento continuo.
Para empezar, puedes revisar nuestro onboarding RGPD con el checklist completo de obligaciones, descargar el modelo de consentimiento RGPD listo para personalizar, consultar el pillar sobre qué es el RGPD para entender la norma europea de base, repasar las obligaciones de información del Art. 13 RGPD o estudiar el pillar de la AEPD con la casuística reciente del régimen sancionador.
Si prefieres delegar el cumplimiento en un equipo jurídico especializado con responsabilidad civil profesional de 1.500.000 €, contacta con nosotros en departamentojuridico@cardeseo.com o en el +34 604 56 05 48.