Regulación de la Protección de Datos: LOPD y RGPD en España
Respuesta rápida
La protección de datos en España se regula por dos normas complementarias: la Ley Orgánica de Protección de Datos (LOPD), que desarrolla el derecho fundamental del artículo 18.4 de la Constitución, y el Reglamento General de Protección de Datos (RGPD), norma europea de aplicación directa. Ambas se aplican simultáneamente sin contradecirse, cubriendo cualquier tratamiento de datos cuando el responsable/encargado está en la UE o cuando el interesado es ciudadano europeo.
Puntos clave
Dos normas, un mismo objetivo
La protección de datos se regula por la LOPD (española) y el RGPD (europeo), ambas aplicándose simultáneamente sin contradecirse.
LOPD es ley orgánica
Desarrolla el derecho fundamental del artículo 18.4 de la Constitución, cumpliendo con el artículo 81.1 sobre reserva de ley orgánica.
RGPD: aplicación directa
Como reglamento europeo, no necesita transposición y obliga desde su publicación en el DOUE a ciudadanos, gobiernos e instituciones.
Responsable vs Encargado
El responsable decide sobre el tratamiento; el encargado lo ejecuta materialmente. El interesado es la persona cuyos datos se tratan.
Ámbito del RGPD
Se aplica cuando el responsable/encargado está en la UE O cuando el interesado es ciudadano europeo y se le ofrecen bienes/servicios.
La autodegradación de la LOPD
Característica única: siendo ley orgánica, ella misma establece que ciertas partes tienen carácter de ley ordinaria.
Paso a paso
Identificar qué norma se aplica al caso concreto
Determinar quién es el responsable y quién el encargado del tratamiento
Verificar si el tratamiento está dentro del ámbito de aplicación del RGPD
Identificar al interesado cuyos datos se tratan
Ejemplos resueltos
Problema 1Una empresa española (Mercadona) recoge datos de un cliente japonés que visita España para hacerle una tarjeta de fidelización. ¿Se aplica el RGPD?
Una empresa española (Mercadona) recoge datos de un cliente japonés que visita España para hacerle una tarjeta de fidelización. ¿Se aplica el RGPD?
Solución:
- 1Identificar al responsable del tratamiento: Mercadona (empresa española)
- 2Verificar ubicación del responsable: España, dentro de la UE
- 3Aplicar el criterio 1 del RGPD: se aplica cuando el responsable está en la UE
- 4Conclusión: SÍ se aplica el RGPD, independientemente de la nacionalidad del cliente
Sí, se aplica el RGPD porque el responsable del tratamiento (Mercadona) está ubicado en la Unión Europea
Verificación: El criterio determinante es la ubicación del responsable, no la nacionalidad del interesado
Problema 2Un ciudadano español compra en AliExpress (empresa china) y proporciona sus datos personales. ¿Se aplica el RGPD?
Un ciudadano español compra en AliExpress (empresa china) y proporciona sus datos personales. ¿Se aplica el RGPD?
Solución:
- 1Identificar al responsable: AliExpress (empresa china, fuera de la UE)
- 2Verificar el criterio 1: el responsable NO está en la UE
- 3Identificar al interesado: ciudadano español (dentro de la UE)
- 4Aplicar el criterio 2: el interesado está en la UE y se le ofrecen bienes/servicios
- 5Conclusión: SÍ se aplica el RGPD por ubicación del interesado
Sí, se aplica el RGPD porque el interesado está en la UE y se le ofrecen servicios
Verificación: Cuando el responsable está fuera de la UE, verificar siempre si el interesado es ciudadano europeo
Problema 3Un hospital español contrata a una empresa externa para gestionar los datos de sus pacientes. ¿Quién es el responsable y quién el encargado?
Un hospital español contrata a una empresa externa para gestionar los datos de sus pacientes. ¿Quién es el responsable y quién el encargado?
Solución:
- 1Identificar quién decide sobre el tratamiento: el hospital decide qué datos recoger, para qué usarlos, cuándo eliminarlos
- 2Identificar quién ejecuta materialmente el tratamiento: la empresa externa almacena, modifica y gestiona los datos
- 3El hospital es quien 'manda' sobre los datos
- 4La empresa externa actúa por cuenta del hospital
El hospital es el RESPONSABLE (decide sobre el tratamiento) y la empresa externa es el ENCARGADO (ejecuta materialmente el tratamiento)
Verificación: El responsable siempre es quien tiene el poder de decisión sobre los datos
Regulación de la Protección de Datos: LOPD y RGPD en España
Introducción
La protección de datos personales se ha convertido en una de las materias jurídicas más relevantes de nuestro tiempo. En España, esta materia está regulada por dos normas principales que operan en niveles territoriales distintos: la Ley Orgánica de Protección de Datos (LOPD), de ámbito nacional, y el Reglamento General de Protección de Datos (RGPD), de ámbito europeo.
Esta dualidad normativa genera una situación particular: ambas normas se aplican simultáneamente en territorio español, regulando la misma materia de forma prácticamente idéntica y sin contradecirse entre sí.
Marco Normativo de la Protección de Datos
La Ley Orgánica de Protección de Datos (LOPD)
La LOPD es la norma española que regula la protección de datos personales. Su naturaleza de ley orgánica no es casual, sino que responde a un mandato constitucional.
¿Por qué es una ley orgánica?
El artículo 18.4 de la Constitución Española reconoce el derecho a la protección de datos como un derecho fundamental. Por su parte, el artículo 81.1 de la Constitución establece que son leyes orgánicas las relativas al desarrollo de los derechos fundamentales.
Por tanto, la conexión es directa:
- Protección de datos = Derecho fundamental (art. 18.4 CE)
- Desarrollo de derechos fundamentales = Requiere ley orgánica (art. 81.1 CE)
- LOPD = Ley orgánica
La autodegradación: una particularidad única
La LOPD presenta una característica que no se encuentra en ninguna otra ley española: se autodegrada. Esto significa que, siendo una ley orgánica, establece en su disposición final primera que determinadas partes de la misma tienen carácter de ley ordinaria.
La disposición comienza afirmando que "la presente ley es una ley orgánica", pero inmediatamente añade que "tendrán carácter de ley ordinaria" ciertos títulos y artículos específicos.
Para efectos de oposiciones, no es necesario memorizar qué partes son orgánicas y cuáles ordinarias, pero sí es importante conocer esta peculiaridad de la norma.
El Reglamento General de Protección de Datos (RGPD)
El RGPD es una norma de la Unión Europea que constituye el marco principal de la protección de datos en todo el espacio europeo.
Naturaleza jurídica del RGPD
El RGPD es un reglamento de la Unión Europea, lo que implica varias consecuencias jurídicas fundamentales:
-
Es derecho derivado de la UE: No forma parte del derecho originario (los Tratados), sino del conjunto de normas creadas por las instituciones europeas.
-
Es la fuente más potente del derecho derivado: Dentro de las fuentes del derecho derivado (reglamentos, directivas, decisiones, recomendaciones y dictámenes), los reglamentos ocupan la posición más alta.
-
Tiene efecto directo: Desde su publicación en el Diario Oficial de la Unión Europea (DOUE), obliga directamente a todos: ciudadanos, gobiernos e instituciones.
-
Tiene aplicabilidad directa: No necesita ninguna norma nacional que lo transponga al ordenamiento interno de los Estados miembros.
Este último punto es crucial y diferencia a los reglamentos de las directivas. Si alguien afirma que existe "la norma española que transpone el RGPD", está cometiendo un error: el RGPD, como reglamento, no necesita transposición.
Aplicación simultánea de LOPD y RGPD
Una consecuencia directa de lo anterior es que en España se aplican simultáneamente la LOPD y el RGPD. Esta situación es poco común en otras materias jurídicas.
Ambas normas están perfectamente acompasadas: la LOPD puede desarrollar o matizar ciertos aspectos, pero nunca contradice al RGPD. En caso de que existiera contradicción (que no existe), primaría siempre el derecho de la Unión Europea.
Conceptos Fundamentales en Protección de Datos
El tratamiento de datos
El tratamiento de datos es el concepto central sobre el que gira toda la normativa. Comprende cualquier operación relacionada con datos personales:
- Recogida
- Uso
- Conservación
- Modificación
- Supresión
- Exportación
- Cualquier otra operación
El RGPD se aplica tanto a tratamientos automatizados como no automatizados, siempre que los datos se incorporen o vayan a incorporarse a un fichero.
Las partes en el tratamiento de datos
El interesado
El interesado es la persona física cuyos datos personales son objeto de tratamiento. Es el titular de los derechos que la normativa reconoce (acceso, rectificación, supresión, etc.).
Por ejemplo, cuando te hacen la tarjeta de fidelización en un supermercado, tú eres el interesado.
El responsable del tratamiento
El responsable es la persona física o jurídica que decide sobre el tratamiento de datos:
- Qué datos se recogen
- Para qué se utilizan
- Cuándo se modifican o eliminan
- A quién se comunican
El responsable es quien "manda" sobre los datos, quien tiene el poder de decisión.
El encargado del tratamiento
El encargado es la persona física o jurídica que realiza materialmente el tratamiento de datos, pero por cuenta del responsable.
El encargado ejecuta las operaciones técnicas (almacenar, modificar, exportar...) siguiendo las instrucciones del responsable.
Ejemplo práctico: Hospital y empresa de gestión de datos
Un hospital recoge datos de pacientes para gestionar sus historiales médicos. El hospital decide qué datos necesita, para qué los usa y cuándo los elimina.
Si el hospital contrata a una empresa externa para gestionar su sistema informático y esa empresa almacena y procesa los datos de pacientes:
- Hospital = Responsable (decide sobre el tratamiento)
- Empresa externa = Encargado (ejecuta materialmente el tratamiento)
Ejemplo práctico: Mercadona
Si Mercadona recoge tus datos para la tarjeta de fidelización y ella misma los gestiona en sus propios sistemas:
- Mercadona es responsable (decide sobre los datos)
- Mercadona es también encargado (ejecuta el tratamiento)
Si Mercadona contrata a "Tratamiento de Datos SL" para gestionar esos datos:
- Mercadona es responsable (sigue decidiendo)
- "Tratamiento de Datos SL" es encargado (ejecuta por cuenta de Mercadona)
Ámbito de Aplicación del RGPD
Criterio 1: Ubicación del responsable o encargado
El RGPD se aplica cuando el responsable o encargado del tratamiento está establecido en la Unión Europea, independientemente de dónde se realice el tratamiento y de la nacionalidad del interesado.
Ejemplo: Mercadona (empresa española) hace una tarjeta de fidelización a un turista japonés que visita España. ¿Se aplica el RGPD?
Sí, porque el responsable del tratamiento (Mercadona) está en la Unión Europea. La nacionalidad del cliente es irrelevante.
Criterio 2: Ubicación del interesado
El RGPD también se aplica cuando el interesado está en la Unión Europea, aunque el responsable o encargado esté fuera, siempre que el tratamiento se relacione con:
- La oferta de bienes o servicios al interesado
- El control del comportamiento del interesado en la UE
Ejemplo: Un ciudadano español compra en AliExpress (empresa china) y proporciona sus datos personales. ¿Se aplica el RGPD?
Sí, porque aunque AliExpress está fuera de la UE, el interesado (el ciudadano español) está en la Unión Europea y se le ofrecen bienes/servicios.
Conclusión sobre el ámbito de aplicación
En términos simplificados: cuando una de las partes relevantes está en la Unión Europea, se aplica el RGPD.
Esto tiene importantes consecuencias prácticas, ya que empresas de todo el mundo que quieran ofrecer bienes o servicios a ciudadanos europeos deben cumplir con la normativa europea de protección de datos.
Resumen de Aspectos Clave para Oposiciones
Lo que debes saber de la LOPD:
- Es una ley orgánica porque desarrolla el derecho fundamental del artículo 18.4 CE
- Tiene una característica única: se autodegrada (partes con carácter de ley ordinaria)
- Se aplica a tratamientos de datos en España
- Se aplica simultáneamente con el RGPD
Lo que debes saber del RGPD:
- Es un reglamento de la Unión Europea
- Forma parte del derecho derivado de la UE
- Tiene efecto directo y aplicabilidad directa
- No necesita transposición al derecho español
- Se aplica cuando:
- El responsable/encargado está en la UE, o
- El interesado está en la UE
Conceptos clave:
- Tratamiento: Cualquier operación sobre datos personales
- Responsable: Quien decide sobre el tratamiento
- Encargado: Quien ejecuta materialmente el tratamiento
- Interesado: La persona cuyos datos se tratan
Conclusión
La protección de datos en España presenta una estructura normativa particular, con dos normas de distinto origen que se aplican simultáneamente de forma coordinada. Comprender esta estructura, la naturaleza jurídica de cada norma y los conceptos fundamentales del tratamiento de datos es esencial tanto para el ejercicio profesional como para la superación de procesos selectivos en la Administración Pública.
La clave está en entender que la LOPD y el RGPD no compiten entre sí, sino que se complementan, garantizando un alto nivel de protección de los datos personales de los ciudadanos en el espacio europeo.
Errores comunes
Creer que el RGPD necesita una norma española que lo transponga
Cuando alguien menciona 'la norma española que transpone el RGPD'
Recordar que el RGPD es un REGLAMENTO europeo con efecto directo y aplicabilidad directa desde su publicación en el DOUE, a diferencia de las directivas que sí necesitan transposición
Confundir responsable con encargado del tratamiento
Cuando se atribuye la capacidad de decisión a quien solo ejecuta el tratamiento
El RESPONSABLE decide (qué datos, para qué, cuándo eliminar); el ENCARGADO ejecuta materialmente por cuenta del responsable
Pensar que la LOPD es completamente una ley orgánica
Cuando se afirma que todas las partes de la LOPD tienen rango de ley orgánica
La LOPD se 'autodegrada': siendo ley orgánica, su disposición final primera establece que ciertas partes tienen carácter de ley ordinaria
Creer que el RGPD no se aplica a empresas fuera de la UE
Cuando se asume que una empresa extranjera no tiene obligaciones bajo el RGPD
El RGPD se aplica también cuando el interesado está en la UE, aunque el responsable esté fuera
No saber que LOPD y RGPD se aplican simultáneamente
Cuando se piensa que solo se aplica una u otra norma
Ambas normas se aplican al mismo tiempo en España sin contradecirse, están perfectamente acompasadas
Glosario
- LOPD
- Ley Orgánica de Protección de Datos. Norma española que desarrolla el derecho fundamental a la protección de datos del artículo 18.4 de la Constitución.
- RGPD
- Reglamento General de Protección de Datos. Norma de la Unión Europea de aplicación directa que regula la protección de datos en todos los Estados miembros.
- Tratamiento de datos
- Cualquier operación relacionada con datos personales: recogida, uso, conservación, modificación, supresión, exportación o cualquier otra operación sobre los datos.
- Responsable del tratamiento
- Persona física o jurídica que decide sobre el tratamiento de datos personales: qué datos se recogen, para qué se usan, cuándo se eliminan.
- Encargado del tratamiento
- Persona física o jurídica que realiza materialmente el tratamiento de datos por cuenta del responsable.
- Interesado
- Persona física cuyos datos personales son objeto de tratamiento. Es el titular de los derechos de protección de datos.
- Efecto directo
- Característica de los reglamentos europeos por la cual obligan directamente a ciudadanos, gobiernos e instituciones desde su publicación en el DOUE.
- Aplicabilidad directa
- Característica de los reglamentos europeos que permite su aplicación inmediata sin necesidad de transposición al derecho interno de los Estados miembros.
- Ley orgánica
- Tipo de norma con rango de ley que, según el artículo 81.1 de la Constitución, desarrolla derechos fundamentales y requiere mayoría absoluta para su aprobación.
- Derecho derivado de la UE
- Conjunto de normas creadas por las instituciones europeas: reglamentos, directivas, decisiones, recomendaciones y dictámenes.
Preguntas frecuentes
¿Por qué la Ley de Protección de Datos es una ley orgánica?
Porque desarrolla el derecho fundamental a la protección de datos del artículo 18.4 de la Constitución, y las leyes que desarrollan derechos fundamentales deben ser orgánicas según el artículo 81.1.
La Constitución Española en su artículo 81.1 establece que son leyes orgánicas las relativas al desarrollo de los derechos fundamentales. El derecho a la protección de datos está reconocido en el artículo 18.4 de la Constitución como un derecho fundamental, por lo que su desarrollo requiere necesariamente una ley orgánica.
¿Qué diferencia hay entre el RGPD y una directiva europea?
El RGPD, como reglamento, tiene efecto directo y aplicabilidad directa desde su publicación, mientras que una directiva necesita ser transpuesta al derecho interno de cada Estado miembro.
Los reglamentos europeos como el RGPD son la fuente de derecho derivado más potente de la UE. Desde que se publican en el Diario Oficial de la Unión Europea obligan a todos: ciudadanos, gobiernos e instituciones. No necesitan ninguna norma nacional que los transponga. Las directivas, en cambio, establecen objetivos que los Estados deben alcanzar mediante normas internas de transposición.
¿Se aplican LOPD y RGPD al mismo tiempo en España?
Sí, ambas normas se aplican simultáneamente en España sin contradecirse, están perfectamente acompasadas.
Esta es una situación particular de la protección de datos: dos normas de distinto origen (nacional y europeo) regulan la misma materia y se aplican al mismo tiempo. La LOPD puede desarrollar o matizar algunos puntos del RGPD, pero nunca lo contradice. En caso de contradicción, primaría el derecho de la Unión Europea.
¿Cuál es la diferencia entre responsable y encargado del tratamiento?
El responsable decide sobre el tratamiento (qué datos, para qué, cuándo eliminarlos) y el encargado ejecuta materialmente el tratamiento por cuenta del responsable.
Por ejemplo, un hospital (responsable) decide recoger datos de pacientes para gestionar historiales médicos. Si contrata a una empresa externa para gestionar su sistema informático, esa empresa sería el encargado. El hospital decide qué hacer con los datos; la empresa externa los trata materialmente siguiendo las instrucciones del hospital.
¿El RGPD se aplica a empresas que están fuera de la Unión Europea?
Sí, cuando tratan datos de personas que están en la UE para ofrecerles bienes o servicios, o para controlar su comportamiento.
El RGPD tiene dos criterios de aplicación: 1) cuando el responsable o encargado está en la UE, y 2) cuando el interesado está en la UE y se le ofrecen bienes/servicios o se controla su comportamiento. Por eso, una empresa china como AliExpress debe cumplir el RGPD cuando vende a ciudadanos europeos.
¿Qué significa que la LOPD se 'autodegrada'?
La LOPD, siendo ley orgánica, establece en su disposición final primera que ciertas partes de la misma tienen carácter de ley ordinaria.
Esta es una particularidad única de la LOPD que no se ve en otras leyes españolas. La disposición final primera especifica qué títulos y artículos tienen consideración de ley ordinaria, mientras que el resto mantiene el rango de ley orgánica. Esto no afecta a su estudio para oposiciones, pero es importante conocer esta característica.
¿Qué se entiende por 'tratamiento de datos'?
Cualquier operación sobre datos personales: recogida, uso, conservación, modificación, supresión, exportación o cualquier otra.
El concepto de tratamiento es muy amplio e incluye tanto operaciones automatizadas como manuales cuando los datos se incorporan a un fichero. Desde el momento en que una organización recoge un dato personal hasta que lo elimina, todas las operaciones intermedias constituyen tratamiento.
¿Quién es el 'interesado' en protección de datos?
Es la persona física cuyos datos personales son objeto de tratamiento, el titular de los derechos de protección de datos.
Cuando Mercadona te pide tus datos para la tarjeta de fidelización, tú eres el interesado. Cuando un hospital trata datos de pacientes, cada paciente es un interesado. El interesado tiene derechos específicos como acceso, rectificación, supresión, etc.
¿Necesito saber los números de artículos y leyes para el examen?
En general no, pero sí debes conocer algunos artículos clave como el 18.4 de la Constitución (derecho a protección de datos) y el 81.1 (reserva de ley orgánica).
Para protección de datos, lo esencial es saber que se regula por la LOPD (nacional) y el RGPD (europeo), que la LOPD desarrolla el artículo 18.4 de la Constitución, y que es ley orgánica por el artículo 81.1. No es necesario memorizar todos los números de artículos, pero estos son fundamentales.
Si una empresa española trata datos de un extranjero, ¿se aplica el RGPD?
Sí, porque el responsable del tratamiento está en la Unión Europea, independientemente de la nacionalidad del interesado.
El primer criterio de aplicación del RGPD es que el responsable o encargado esté en la UE. Si Mercadona (empresa española) trata datos de un cliente japonés que visita España, se aplica el RGPD. La nacionalidad del cliente es irrelevante; lo determinante es dónde está ubicado quien trata los datos.
Artículos relacionados
Impuesto sobre Sociedades: Pagos fraccionados, contribuyentes y valoración patrimonial
Guía práctica sobre los aspectos más preguntados del Impuesto sobre Sociedades en oposiciones: pagos fraccionados, contribuyentes y valoración de elementos patrimoniales.
Preguntas de examen sobre recursos y reclamaciones tributarias
Resolución de preguntas tipo test sobre procedimientos de revisión tributaria: recurso de reposición, nulidad de pleno derecho y legitimación en embargos.
Procedimiento de apremio y embargo en la recaudación tributaria
Guía sobre el procedimiento de apremio: desde la providencia de apremio hasta el embargo y enajenación de bienes para cobrar deudas tributarias.
Criterios de clasificación y registro de accidentes de tráfico y víctimas
Guía completa sobre los criterios que definen un accidente de tráfico, clasificación de víctimas y requisitos de registro de datos para la Policía Municipal de Madrid.
Registro Nacional de Víctimas de Accidentes de Tráfico: Artículos 114 y 115
El Registro Nacional de Víctimas de Accidentes de Tráfico está regulado por el RDL 6/2015, artículos 114 (creación) y 115 (finalidad y protección de datos).
Extinción de la Deuda Tributaria: Prescripción, Compensación y Otras Causas
Análisis de los métodos legales de extinción de la deuda tributaria distintos al pago: prescripción, compensación, deducción sobre transferencias y condonación.
¿Quieres aprender más sobre este tema?
Este contenido es parte del curso Auxiliar Administrativo del Estado de Oposiciones Ucademy. Contacta con nosotros para más información o descarga este artículo en PDF.