Regulación de la Protección de Datos: LOPD y RGPD en España
Respuesta rápida
La protección de datos en España se regula por dos normas simultáneas: la Ley Orgánica de Protección de Datos (LOPD), norma española que desarrolla el artículo 18.4 de la Constitución, y el Reglamento General de Protección de Datos (RGPD), norma de la Unión Europea con efecto directo que no necesita transposición. Ambas se aplican cuando hay tratamiento de datos y el responsable, encargado o interesado está en la UE.
Puntos clave
Doble regulación
La protección de datos se regula por dos normas simultáneas: LOPD (española) y RGPD (europea)
LOPD como ley orgánica
Desarrolla el derecho fundamental del artículo 18.4 de la Constitución Española
Efecto directo del RGPD
El RGPD no necesita transposición; se aplica automáticamente desde su publicación en el DOUE
Normas complementarias
RGPD y LOPD están perfectamente acompasadas y se aplican simultáneamente sin contradecirse
Responsable vs Encargado
El responsable decide sobre el tratamiento; el encargado lo ejecuta materialmente
Ámbito territorial amplio
El RGPD se aplica cuando cualquier parte (responsable, encargado o interesado) está en la UE
Peculiaridad de la LOPD
Siendo ley orgánica, contiene partes que se 'autodegradan' a carácter de ley ordinaria
Tratamiento amplio
Incluye cualquier operación sobre datos: recogida, uso, conservación, modificación, supresión
Paso a paso
Identificar si existe un tratamiento de datos personales
Determinar quién es el responsable y quién es el encargado del tratamiento
Verificar si el responsable o encargado está en la Unión Europea
Si el responsable/encargado está fuera de la UE, comprobar si el interesado está dentro
Aplicar simultáneamente RGPD y LOPD en territorio español
Ejemplos resueltos
Problema 1Un hospital español contrata a una empresa externa para gestionar los datos de sus pacientes. ¿Quién es el responsable y quién el encargado? ¿Qué normativa se aplica?
Un hospital español contrata a una empresa externa para gestionar los datos de sus pacientes. ¿Quién es el responsable y quién el encargado? ¿Qué normativa se aplica?
Solución:
- 1Identificamos que hay tratamiento de datos personales (datos de pacientes)
- 2El hospital es el RESPONSABLE porque decide sobre el tratamiento (qué datos recoger, para qué usarlos, cuándo eliminarlos)
- 3La empresa externa es el ENCARGADO porque materialmente ejecuta el tratamiento por cuenta del hospital
- 4Ambos están en España (dentro de la UE)
- 5Se aplican simultáneamente el RGPD (por ser norma UE con efecto directo) y la LOPD (por ser tratamiento en territorio español)
Responsable: Hospital. Encargado: Empresa externa. Se aplican RGPD y LOPD simultáneamente.
Verificación: Verificar que el hospital toma las decisiones sobre el tratamiento y la empresa solo ejecuta sus instrucciones
Problema 2Un ciudadano español compra en AliExpress y proporciona sus datos personales. ¿Se aplica el RGPD a AliExpress?
Un ciudadano español compra en AliExpress y proporciona sus datos personales. ¿Se aplica el RGPD a AliExpress?
Solución:
- 1AliExpress (responsable y encargado del tratamiento) NO está en la Unión Europea
- 2Sin embargo, el interesado (el ciudadano español) SÍ está en la Unión Europea
- 3El tratamiento es para ofrecerle servicios (bienes o servicios)
- 4Al estar el interesado en la UE, se aplica el RGPD aunque la empresa esté fuera
Sí, el RGPD se aplica a AliExpress porque el interesado (comprador español) está en la Unión Europea.
Verificación: El criterio clave es: cuando una de las partes está en la UE, se aplica el RGPD
Problema 3Mercadona recoge datos de clientes para su tarjeta de fidelización. ¿Qué figura jurídica tiene Mercadona?
Mercadona recoge datos de clientes para su tarjeta de fidelización. ¿Qué figura jurídica tiene Mercadona?
Solución:
- 1Mercadona recoge los datos directamente
- 2Mercadona almacena los datos en su propia base de datos
- 3Mercadona decide qué hacer con esos datos (enviar emails, ofertas, etc.)
- 4Mercadona ejecuta materialmente el tratamiento
- 5En este caso, Mercadona es RESPONSABLE (decide) y ENCARGADO (ejecuta) simultáneamente
Mercadona es tanto responsable como encargado del tratamiento cuando gestiona directamente los datos sin externalizar.
Verificación: Si no hay externalización, la misma entidad puede ser responsable y encargado
Regulación de la Protección de Datos: LOPD y RGPD en España
Introducción
La protección de datos personales es uno de los temas más relevantes del derecho actual, especialmente en el contexto de la digitalización y el tratamiento masivo de información personal. Para los opositores al cuerpo de Administrativo del Estado, comprender la regulación de esta materia es fundamental, no solo por su presencia en el temario, sino por su aplicación práctica en la Administración Pública.
En España, la protección de datos se regula mediante dos normas principales que operan en niveles territoriales distintos: la Ley Orgánica de Protección de Datos (LOPD), norma española, y el Reglamento General de Protección de Datos (RGPD), norma de la Unión Europea. Esta doble regulación genera una situación particular que es esencial comprender.
Las Dos Normas Principales
La Ley Orgánica de Protección de Datos (LOPD)
La LOPD es una norma española que desarrolla el derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución Española. La pregunta que surge inmediatamente es: ¿por qué es una ley orgánica?
La respuesta se encuentra en el artículo 81.1 de la Constitución, que establece que son leyes orgánicas las que desarrollan derechos fundamentales. Al ser la protección de datos un derecho fundamental (ubicado en el Título I de la Constitución), su desarrollo requiere necesariamente una ley orgánica, con las implicaciones procedimentales que ello conlleva: mayoría absoluta del Congreso para su aprobación, modificación o derogación.
El Reglamento General de Protección de Datos (RGPD)
El RGPD es una norma de la Unión Europea con características muy específicas que es imprescindible conocer:
-
Es un reglamento de la UE: Forma parte del derecho derivado de la Unión (junto con directivas, decisiones, recomendaciones y dictámenes), siendo la fuente de derecho de mayor rango dentro del derecho derivado.
-
Tiene efecto directo: Desde el momento de su publicación en el Diario Oficial de la Unión Europea, obliga a todos los ciudadanos, gobiernos e instituciones de la UE.
-
Tiene aplicabilidad directa: No necesita ser transpuesto al derecho nacional para tener validez. A diferencia de las directivas, que sí requieren transposición, el RGPD se aplica automáticamente.
Este último punto es crucial y frecuentemente genera confusiones. Si alguien menciona "la norma española que transpone el RGPD", está cometiendo un error conceptual: los reglamentos de la UE no se transponen.
Coexistencia de Ambas Normas
Una de las particularidades más llamativas de la protección de datos es que en España se aplican simultáneamente el RGPD y la LOPD. Esta situación es poco frecuente en el ordenamiento jurídico:
- El RGPD se aplica porque tiene efecto directo como reglamento de la UE
- La LOPD se aplica porque desarrolla un derecho fundamental español
Ambas normas regulan la misma materia de forma prácticamente idéntica. Están perfectamente acompasadas y no se contradicen entre sí. La LOPD puede desarrollar o matizar aspectos del RGPD, pero nunca puede contradecirlo.
En el hipotético caso de que existiera una contradicción (que no la hay), prevalecería el RGPD por aplicación del principio de primacía del derecho de la Unión Europea sobre el derecho nacional.
Conceptos Fundamentales
El Tratamiento de Datos
Tanto el RGPD como la LOPD se aplican al tratamiento de datos personales. Pero, ¿qué se considera tratamiento? El concepto es muy amplio e incluye cualquier operación realizada sobre datos personales:
- Recogida de datos
- Uso de datos
- Conservación de datos
- Modificación de datos
- Supresión de datos
- Exportación o transferencia de datos
- Consulta de datos
El tratamiento puede ser automatizado (mediante sistemas informáticos) o no automatizado, cuando los datos se integran en un fichero.
Responsable y Encargado del Tratamiento
Estas dos figuras son esenciales para entender la aplicación de la normativa de protección de datos:
El Responsable del tratamiento es la persona física o jurídica que decide sobre el tratamiento de datos:
- Qué datos se recogen
- Con qué finalidad
- Cuándo se eliminan
- Qué uso se les da
El Encargado del tratamiento es quien ejecuta materialmente el tratamiento por cuenta del responsable.
Ejemplo práctico: El hospital
Un hospital tiene contratada una empresa externa para gestionar los datos de sus pacientes. Cuando un paciente firma el consentimiento de protección de datos, esa documentación se envía a la empresa externa que procesa la información, gestiona la base de datos de pacientes, etc.
En este caso:
- Responsable: El hospital (decide qué datos recoger, para qué usarlos, cuándo eliminarlos)
- Encargado: La empresa externa (ejecuta materialmente el tratamiento siguiendo instrucciones del hospital)
Ejemplo práctico: Mercadona
Si Mercadona recoge datos de clientes para su tarjeta de fidelización y gestiona directamente esos datos sin externalizar el servicio, entonces Mercadona es simultáneamente responsable y encargado del tratamiento.
Sin embargo, si Mercadona contrata a "Tornillo Tratamiento de Datos S.L." para gestionar esos datos, entonces:
- Responsable: Mercadona (decide sobre los datos)
- Encargado: Tornillo Tratamiento de Datos S.L. (ejecuta el tratamiento)
El Interesado
El interesado es la persona física cuyos datos personales son objeto de tratamiento. Es el sujeto protegido por la normativa de protección de datos.
Ámbito de Aplicación del RGPD
Una de las cuestiones más importantes es determinar cuándo se aplica el RGPD. La respuesta se estructura en dos supuestos principales:
Supuesto 1: Responsable o encargado en la UE
El RGPD se aplica cuando el responsable o el encargado del tratamiento está establecido en la Unión Europea, independientemente de dónde esté el interesado.
Ejemplo: Mercadona (empresa española) recoge datos de un cliente chino que visita España. Aunque el interesado no sea europeo, se aplica el RGPD porque el responsable (Mercadona) está en la UE.
Supuesto 2: Interesado en la UE
El RGPD también se aplica cuando el interesado está en la Unión Europea, aunque el responsable o encargado estén fuera, siempre que el tratamiento esté relacionado con:
- Ofrecer bienes o servicios a personas en la UE
- Controlar el comportamiento de personas en la UE
Ejemplo: Un ciudadano español compra en AliExpress y proporciona sus datos personales. Aunque AliExpress no está en la UE, el RGPD se aplica porque el interesado (el comprador español) sí está en la Unión Europea.
Conclusión práctica
La regla general es: cuando alguna de las partes está en la Unión Europea, se aplica el RGPD. Esto garantiza la protección de los ciudadanos europeos incluso cuando contratan con empresas de terceros países.
Peculiaridades de la LOPD
La LOPD presenta una característica muy inusual en el ordenamiento jurídico español: es una ley orgánica que se autodegrada.
¿Qué significa esto? Que siendo formalmente una ley orgánica, su disposición final primera establece que determinados títulos y artículos tienen carácter de ley ordinaria.
Esta situación es excepcional. La consecuencia práctica es que esas partes "degradadas" pueden ser modificadas mediante ley ordinaria, sin necesidad de la mayoría absoluta del Congreso que exigen las leyes orgánicas.
Para efectos del examen de oposiciones, no es necesario memorizar qué partes específicas son orgánicas y cuáles ordinarias, pero sí es fundamental conocer esta peculiaridad de la LOPD.
En cuanto a su ámbito de aplicación, la LOPD se aplica a los tratamientos de datos que tengan lugar en territorio español.
Resumen de Ideas Clave
-
Dos normas, dos niveles: LOPD (España) y RGPD (Unión Europea) regulan simultáneamente la protección de datos en España.
-
La LOPD es ley orgánica porque desarrolla el derecho fundamental del art. 18.4 CE.
-
El RGPD tiene efecto directo: No necesita transposición, se aplica automáticamente desde su publicación.
-
Ambas normas coexisten sin contradecirse; están perfectamente acompasadas.
-
Responsable vs Encargado: El responsable decide; el encargado ejecuta.
-
Ámbito del RGPD: Se aplica cuando responsable, encargado o interesado están en la UE.
-
Peculiaridad de la LOPD: Siendo ley orgánica, parte de su contenido tiene carácter de ley ordinaria.
Conclusión
Comprender la regulación de la protección de datos requiere entender la interacción entre el ordenamiento jurídico español y el derecho de la Unión Europea. La coexistencia de LOPD y RGPD es un ejemplo paradigmático de cómo las normas europeas con efecto directo se aplican junto con las normas nacionales en materias de derechos fundamentales.
Para el opositor, es esencial no solo conocer el contenido sustantivo de estas normas (principios, derechos, obligaciones), sino también comprender su naturaleza jurídica y ámbito de aplicación, ya que estas cuestiones formales son frecuentemente objeto de examen.
Errores comunes
Creer que el RGPD necesita ser transpuesto al derecho español mediante una ley
Cuando alguien dice 'la norma española que transpone el RGPD'
El RGPD es un REGLAMENTO de la UE, tiene efecto directo y aplicabilidad directa. No necesita transposición, a diferencia de las directivas.
Pensar que solo se aplica una normativa (LOPD o RGPD) y hay que elegir
Cuando se plantea si aplicar la norma española o la europea
En España se aplican SIMULTÁNEAMENTE ambas normas. Están perfectamente acompasadas y no se contradicen.
Confundir responsable y encargado del tratamiento
Cuando se identifica al que ejecuta el tratamiento como responsable
El RESPONSABLE decide sobre el tratamiento; el ENCARGADO lo ejecuta materialmente. Una empresa puede externalizar la ejecución pero sigue siendo responsable.
Creer que la LOPD es 100% ley orgánica
Cuando se asume que toda la LOPD tiene rango de ley orgánica
La LOPD se 'autodegrada': siendo ley orgánica, la disposición final primera establece que determinados artículos tienen carácter de ley ordinaria.
Pensar que el RGPD no se aplica a empresas extranjeras
Cuando se descarta la aplicación del RGPD porque la empresa no está en la UE
El RGPD se aplica cuando el interesado está en la UE, aunque el responsable o encargado estén fuera.
Glosario
- Dato personal
- Información que puede identificar a una persona física, ya sea directa o indirectamente.
- Tratamiento de datos
- Cualquier operación realizada sobre datos personales: recogida, uso, conservación, modificación, supresión, exportación, etc.
- Responsable del tratamiento
- Persona física o jurídica que decide sobre el tratamiento de datos: qué datos recoger, para qué finalidad, cuándo eliminarlos.
- Encargado del tratamiento
- Persona física o jurídica que ejecuta materialmente el tratamiento de datos por cuenta del responsable.
- Interesado
- Persona física cuyos datos personales están siendo objeto de tratamiento.
- RGPD (Reglamento General de Protección de Datos)
- Norma de la Unión Europea sobre protección de datos con efecto directo y aplicabilidad inmediata en todos los Estados miembros.
- LOPD (Ley Orgánica de Protección de Datos)
- Norma española que desarrolla el derecho fundamental a la protección de datos del artículo 18.4 de la Constitución.
- Efecto directo
- Característica de los reglamentos de la UE que implica que obligan desde su publicación sin necesidad de transposición nacional.
- Derecho derivado de la UE
- Normas emanadas de las instituciones de la UE: reglamentos, directivas, decisiones, recomendaciones y dictámenes.
- Ley Orgánica
- Tipo de ley española que requiere mayoría absoluta del Congreso, reservada para materias como el desarrollo de derechos fundamentales (art. 81.1 CE).
Preguntas frecuentes
¿Por qué hay dos normas diferentes (LOPD y RGPD) regulando lo mismo en España?
Porque el RGPD es norma europea con efecto directo y la LOPD es norma española que desarrolla el derecho fundamental del art. 18.4 CE. Ambas coexisten sin contradecirse.
La LOPD desarrolla el derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución Española, por eso es una ley orgánica. El RGPD es un reglamento de la Unión Europea que, por su naturaleza, tiene efecto directo y aplicabilidad inmediata en todos los Estados miembros. Ambas normas se aplican simultáneamente en España, están perfectamente acompasadas y la LOPD puede matizar aspectos del RGPD pero nunca contradecirlo.
¿Necesita el RGPD ser transpuesto al derecho español mediante una ley?
No. El RGPD es un reglamento de la UE con efecto directo, se aplica automáticamente desde su publicación en el Diario Oficial de la UE.
A diferencia de las directivas, que sí necesitan transposición al derecho nacional, los reglamentos de la UE tienen efecto directo y aplicabilidad directa. Desde el momento de su publicación en el Diario Oficial de la Unión Europea, el RGPD obliga a todos los ciudadanos, gobiernos e instituciones de la UE sin necesidad de ninguna norma nacional que lo 'traduzca' o incorpore.
¿Cuál es la diferencia entre responsable y encargado del tratamiento?
El responsable decide sobre el tratamiento (qué datos, para qué, cuándo eliminarlos). El encargado ejecuta materialmente el tratamiento por cuenta del responsable.
Ejemplo: Un hospital (responsable) contrata a una empresa (encargado) para gestionar los datos de pacientes. El hospital decide qué datos recoger y para qué usarlos; la empresa los procesa siguiendo las instrucciones del hospital. Si una empresa gestiona sus propios datos sin externalizar, es simultáneamente responsable y encargado.
¿Se aplica el RGPD a empresas como AliExpress que están fuera de la UE?
Sí, cuando el interesado (la persona cuyos datos se tratan) está en la Unión Europea.
El RGPD se aplica en dos supuestos: 1) Cuando el responsable o encargado está en la UE, independientemente de dónde esté el interesado; 2) Cuando el interesado está en la UE, aunque el responsable/encargado esté fuera, siempre que el tratamiento sea para ofrecerle bienes o servicios. Por eso AliExpress debe cumplir el RGPD cuando trata datos de ciudadanos europeos.
¿Por qué la LOPD es una ley orgánica?
Porque desarrolla un derecho fundamental: la protección de datos del artículo 18.4 de la Constitución. El artículo 81.1 CE reserva a ley orgánica el desarrollo de derechos fundamentales.
La Constitución establece en su artículo 81.1 que son leyes orgánicas las que desarrollan derechos fundamentales. El derecho a la protección de datos está reconocido en el artículo 18.4 CE dentro del Título I, por lo que su desarrollo requiere ley orgánica, con las consecuencias procedimentales que ello implica (mayoría absoluta del Congreso).
¿Es cierto que la LOPD tiene partes que no son ley orgánica?
Sí. La LOPD se 'autodegrada': la disposición final primera establece que determinados títulos y artículos tienen carácter de ley ordinaria.
Es una peculiaridad muy inusual. La LOPD, siendo formalmente una ley orgánica, contiene en su disposición final primera una declaración de que ciertos títulos y artículos tienen 'carácter de ley ordinaria'. Esto significa que esas partes pueden ser modificadas por ley ordinaria sin necesidad de mayoría absoluta. No es necesario memorizar qué partes son orgánicas y cuáles ordinarias, pero sí conocer esta característica singular.
¿Qué se considera 'tratamiento de datos' según la normativa?
Cualquier operación sobre datos personales: recogida, uso, conservación, modificación, supresión, exportación, consulta, etc.
El concepto de tratamiento es muy amplio e incluye cualquier operación realizada sobre datos personales, ya sea automatizada o no. Ejemplos: recoger datos en un formulario, almacenarlos en una base de datos, consultarlos, modificarlos, enviar emails usando esos datos, eliminarlos, transferirlos a terceros, etc.
¿Qué pasa si el RGPD y la LOPD se contradicen?
En principio no se contradicen porque están perfectamente acompasadas. Si hubiera contradicción, prevalecería el RGPD por primacía del derecho de la UE.
Ambas normas regulan la protección de datos de forma prácticamente idéntica y complementaria. La LOPD puede desarrollar o matizar aspectos del RGPD, pero nunca contradecirlo. En el hipotético caso de contradicción, aplicaría el principio de primacía del derecho de la Unión Europea, prevaleciendo el RGPD.
Artículos relacionados
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Cómo estudiar la Unión Europea para oposiciones: estrategia y conceptos clave
Guía estratégica para abordar el tema de la Unión Europea en oposiciones, con enfoque en derecho de la UE e instituciones europeas.
Organización y Gestión del Área de Trabajo en Gabinetes de Dietética
Competencias esenciales para organizar, planificar y gestionar un gabinete de dietética de forma eficiente, segura y conforme a la normativa vigente.
Delitos contra la Constitución: Derechos fundamentales y discursos de odio
Estudio de los artículos 510 a 514 del Código Penal sobre delitos que afectan el ejercicio de derechos fundamentales y libertades públicas.
Tipos de Información Administrativa: General y Particular
Guía completa sobre los dos tipos de información administrativa: general (sin identificación) y particular (requiere identificación del interesado).
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.