¿Qué es LOPD? Todo lo que debes saber
2,33 de 5 (3 votos)
Cargando...Desde que en los años 90 se empezó a regular la protección de datos para garantizar la privacidad y seguridad de los datos personales, la normativa ha evolucionado para adaptarse a los cambios políticos, sociales y tecnológicos tanto a nivel nacional como europeo.
Recientemente, se ha producido una nueva modificación para responder a los retos actuales que afectan a las empresas sobre el uso de la inteligencia artificial, el tratamiento automatizado de datos, el teletrabajo, las plataformas digitales, etc.
Por eso, en este artículo vamos a explicarte todo lo que debes saber sobre la nueva ley y adaptarte a sus exigencias, tanto si eres autónomo como si gestionas una empresa o eres responsable del tratamiento de datos.
En este artículo encontrarás
- 1 ¿Por qué se aplica una nueva la Ley Orgánica de Protección de Datos y Garantías Digitales?
- 2 Novedades de la nueva Ley Orgánica de Protección de Datos
- 3 ¿Quién está obligado a cumplir con la Ley de Protección de Datos?
- 4 ¿Cuáles son las infracciones más frecuentes en la LOPDGDD?
- 5 Preguntas frecuentes sobre la LOPD
¿Por qué se aplica una nueva la Ley Orgánica de Protección de Datos y Garantías Digitales?
La protección de datos en España, tal y como se establece en el artículo 18.4 de la Constitución Española, es un derecho fundamental que persigue salvaguardar la identidad y la privacidad de las personas en el tratamiento de su información personal que realizan programas, sistemas, personas y entidades tanto públicas como privadas.
“Artículo 18.4 – Libertad informática. Derecho a la protección de datos personales
La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
Por lo tanto, desde que se aprobó por primera vez en España para dar cumplimiento al mandato constitucional, la normativa de protección de datos no ha dejado de evolucionar manteniendo siempre el mismo espíritu y objetivo: garantizar que los datos personales de los ciudadanos estén seguros y se traten de forma adecuada.
Esta flexibilidad intrínseca es la que permite cumplir con la necesidad de actualización constante que requieren los cambios tecnológicos, sociales y digitales, para protegernos mejor y adaptarnos a los diferentes contextos y escenarios que se van sucediendo.
| Año | Normativa / Reglamento | Descripción |
|---|---|---|
| 1992 | LORTAD (Ley Orgánica 5/1992) | Primera regulación española sobre datos personales. |
| 1999 | LOPD (Ley Orgánica 15/1999) | Sustituye a LORTAD. Introduce derechos como el de cancelación, oposición y responsabilidad del tratamiento. |
| 2016 | RGPD (Reglamento UE 2016/679) | Reglamento europeo de aplicación directa que unifica la protección de datos en la UE. |
| 2018 | LOPDGDD (Ley Orgánica 3/2018) | Adaptación de la normativa española al RGPD. Se incorporan nuevos derechos y garantías digitales como desconexión laboral, educación de menores en entorno digital, etc. |
| 2021 | LO 7/2021, 26 mayo | Regula el tratamiento de datos con fines penales y de seguridad pública. |
| 2022 | RD 311/2022, 3 mayo | Regula el Esquema Nacional de Seguridad para el sector público, conforme a la LOPDGDD. |
| 2023 | Ley 11/2023, noviembre | Reformas importantes en la LOPDGDD: modifica sanciones y procedimientos de la AEPD. |
| 2025 | LOPDGDD (modificada) | Diversas ampliaciones y modificaciones para adaptarse a IA, teletrabajo, sistemas automatizados y nuevos derechos digitales. |
Esta evolución ha servido para construir un sistema más robusto, que obliga a empresas y administraciones a actuar con la máxima responsabilidad y transparencia, que se va adaptando y reconfigurando permanentemente.
Aun así, proteger los datos personales sigue siendo todo un reto por la rapidez de los avances en tecnología, inteligencia artificial y los nuevos escenarios que originan.
Novedades de la nueva Ley Orgánica de Protección de Datos
Como hemos anticipado, la nueva Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) se crea para adaptar la normativa española a los nuevos desafíos tecnológicos, garantizar los derechos digitales de los ciudadanos y reforzar la seguridad y responsabilidad en el tratamiento de datos en un entorno cada vez más digitalizado, automatizado y global.
Pero la LOPDGDD 2025 no parte de cero y tampoco sustituye al Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Todo lo contrario, se desarrolla y adapta para ajustarse al contexto nacional, teniendo en cuenta los retos actuales derivados del avance tecnológico, la inteligencia artificial o el entorno digital. De ahí que en su denominación se incluya las “garantías de los derechos digitales” (GDD).
Por ello, las principales novedades ponen el foco en la interpretación y aplicación de las leyes sobre inteligencia artificial, el uso de datos biométricos y la dinámica de las transferencias internacionales.
| Novedad | Descripción breve |
|---|---|
| 1. Regulación de la inteligencia artificial (AI Act) | Nueva normativa europea para IA de alto riesgo: exige transparencia, seguridad y respeto a los derechos fundamentales. |
| 2. Uso de datos biométricos más controlado | Restricciones en reconocimiento facial, huella o voz, sobre todo en entornos laborales. Se exige evaluación de impacto y justificación de uso. |
| 3. Transferencias internacionales más seguras | Nuevas Cláusulas Contractuales Tipo (CCT) y acuerdo UE–EE. UU (Data Privacy Framework) para enviar datos fuera de Europa legalmente. |
| 4. Consentimiento digital más claro | La AEPD y el CEPD han actualizado los criterios para obtener y gestionar el consentimiento en cookies, apps y formularios. |
| 5. Aplicación de la Ley de Servicios Digitales (DSA) | Refuerza la transparencia y control sobre el uso de datos personales en grandes plataformas digitales y redes sociales. |
| 6. Ley de Mercados Digitales (DMA) | Limita prácticas abusivas de los “gigantes digitales” y protege los datos del usuario frente a monopolios tecnológicos. |
| 7. Nuevas obligaciones internas en las empresas | Las organizaciones deben facilitar el ejercicio de los derechos digitales y documentar su cumplimiento del RGPD. |
En definitiva, las últimas modificaciones, actualizaciones y reformas de la LOPDGDD son los ajustes legales necesarios que se han estado realizando para adaptarse a la IA, el teletrabajo, el tratamiento automatizado, protección al menor y aumentar la agilidad en los procedimientos.
Para facilitar su aplicación a empresas y organizaciones, y cómo gestionan la información de sus usuarios, la nueva normativa clasifica y organiza sus principales cambios en cuatro grandes: el consentimiento, el uso de los datos personales, los derechos del usuario y las nuevas obligaciones de los responsables del tratamiento.
Consentimiento expreso
El consentimiento de los usuarios es uno de los pilares de la nueva Ley Orgánica de Protección de Datos y Garantías Digitales.
En principio, la ley española establecía un consentimiento tácito, es decir, que si el usuario no dice lo contrario, la empresa puede recabar estos datos.
Sin embargo, con la aplicación del RGPD y su adaptación a través de la LOPDGDD, ya no es válido asumir que si el usuario no se opone, da su conformidad.
Ahora lo que se exige es que el consentimiento debe ser expreso, “libre, informado, específico e inequívoco”.
Es decir, que si quieres recoger la información del usuario para los fines de tu empresa, tiene que ser ser algo completamente solicitado y aprobado por el propio usuario.
Las implicaciones que esto conlleva son las siguientes:
- La empresa debe poder demostrar que el usuario ha otorgado su consentimiento.
- El usuario debe haber sido informado previamente y de forma clara sobre el tratamiento que se hará con sus datos.
- El consentimiento debe otorgarse para cada finalidad específica y no de forma general.
- El usuario puede retirar su consentimiento en cualquier momento, y debe ser tan fácil retirarlo como otorgarlo.
Este último punto enlaza perfectamente con el derecho al olvido que veremos más adelante.
Además, el consentimiento también se aplica a los datos de los menores de la siguiente forma:
- Hasta el momento en España la edad mínima fijada era de 14 años para prestar consentimiento válido. Esto se mantiene con el artículo 7 de la LOPDGDD, en sintonía con el RGPD, aunque la normativa europea permite que los Estados miembros la reduzcan hasta los 13.
- En el caso de menores de esa edad, el consentimiento deberá prestarlo el titular de la patria potestad o tutela, y debe ser verificable.
En cualquier caso, las condiciones sobre el consentimiento del usuario deben cumplirse en todos los casos donde se utilicen datos personales, incluidos los formularios web, apps, campañas de marketing o el uso de cookies no técnicas, lo que exige una gestión más rigurosa por parte de empresas y responsables del tratamiento.
Uso de los datos personales
La normativa de protección de datos establece que solo pueden recopilarse y tratarse los datos personales estrictamente necesarios para cumplir con una finalidad concreta, legítima y previamente informada al usuario.
Por ello, se prohíbe con la LOPDGDD la solicitud de datos que no sean completamente imprescindibles para desarrollar el trabajo que se desea.
Debido a esto, las consecuencias son evidentes:
- No se pueden solicitar datos innecesarios o desproporcionados con respecto al servicio que se va a prestar.
- La finalidad del tratamiento debe estar claramente definida y ser lícita, específica y explícita.
- No se permite reutilizar los datos para otros fines distintos de aquellos para los que fueron recabados, salvo que se obtenga un nuevo consentimiento válido o exista otra base legal que lo permita.
- Debe aplicarse el principio de minimización, es decir, recoger solo los datos adecuados, pertinentes y limitados a lo necesario.
La obtención y gestión de datos debe ser capaz de justificarse en todo momento por quien la realice, y la obligación de cumplimiento afecta a todos los canales en los que se recopilen datos: formularios online, suscripción a boletines, creación de cuentas, contratación de productos o servicios, etc.
Otro punto importante es que la normativa no distingue entre entornos B2B (entre empresas) o B2C (empresas a consumidor final), porque lo relevante es si se trata de datos personales o no.
Para verlo más claro:
- Un email genérico como [email protected] no está protegido por el RGPD ni la LOPDGDD, porque no tienen ningún tipo de información personal a priori.
- Un email nominativo como [email protected] sí está protegido, aunque se use en un contexto profesional, ya que son los datos de una persona identificable.
La importancia de esto es que afecta a las prácticas habituales de prospección comercial por email, donde es absolutamente necesario justificar una base legal para el tratamiento, por ejemplo, el consentimiento del usuario o la existencia de un interés legítimo debidamente ponderado.
En resumen, los fines o el uso de esos datos personales deben ser exclusivamente dirigidos a prestar el servicio indicado y no para ninguna otra causa.
Derechos del usuario
La nueva LOPDGDD refuerza y amplía los derechos que las personas tienen sobre sus datos personales, garantizando un mayor control sobre cómo se recopilan, usan y conservan.
Se pone especial importancia en lo que respecta al teletrabajo y la seguridad de los datos en entornos remotos, ya que hay que proteger la información incluso cuando un empleado trabaje fuera de su sede corporativa.
Por lo tanto, la LOPDGDD y el RGPD 2025 tienen un alcance extraterritorial, afectando a empresas dentro y fuera de la UE que traten datos de ciudadanos europeos.
Para garantizar el control de las personas sobre sus datos personales la LOPDGDD reconocen 8 derechos fundamentales.
- Derecho de acceso: para saber si tus datos están siendo tratados, qué datos se están usando y con qué finalidad.
- Derecho de rectificación: puedes solicitar la corrección de datos personales inexactos o incompletos.
- Derecho de supresión (derecho al olvido): autoriza a pedir la eliminación de tus datos en determinadas circunstancias, por ejemplo, cuando ya no sean necesarios, se hayan tratado ilegalmente o incluso cuando retires tu consentimiento.
- Derecho a la limitación del tratamiento: para restringir temporalmente el uso de tus datos mientras se revisa su exactitud o la legalidad del tratamiento.
- Derecho a la portabilidad: para que puedas recibir tus datos personales en un formato estructurado y común (ej. CSV, JSON, etc.), y poder transmitirlos a otra persona.
- Derecho de oposición: puedes oponerte el uso de tus datos, especialmente en casos de marketing directo o decisiones automatizadas.
- Derecho a no ser objeto de decisiones automatizadas: puedes oponerte a que se tomen decisiones que te afecten significativamente basándose únicamente en algoritmos o inteligencia artificial.
- Derecho a presentar una reclamación: cuando consideres que se han vulnerado tus derechos, puedes reclamar a la Agencia Española de Protección de Datos (AEPD).
Estos derechos deben poder ejercerse de manera totalmente gratuita para los usuarios y las empresas o responsables de datos están obligados a responder en un plazo máximo de un mes.
Pero, la protección de datos no solo es para los medios y formatos habituales.
Esta nueva LOPDGDD abarca y desarrolla, también, los derechos digitales específicos en el entorno laboral, educativo y digital, como el derecho a la desconexión digital o el derecho a la educación digital:
- Derecho a la desconexión digital: para garantizar el descanso fuera del horario laboral.
- Derecho a la educación digital: tener acceso a formación sobre uso seguro y responsable de internet.
- Derecho a la seguridad digital: a tener protección frente a ciberataques, acoso y suplantación de identidad.
- Derecho a la intimidad en el entorno laboral: son los límites al uso de dispositivos de vigilancia por parte del empleador.
Derecho a la neutralidad de internet: el acceso libre y no discriminatorio a la red.
Nuevas obligaciones de los responsables
Las empresas y entidades que recaben información personal de sus usuarios a partir de ahora tienen nuevas responsabilidades que, a veces, exigen incluso la aparición de nuevos profesionales.
- Registro de actividades de tratamiento: hay que documentar qué datos recogen, con qué finalidad, durante cuánto tiempo los conservan y con quién se comparten.
- Evaluaciones de Impacto en Protección de Datos (EIPD): en tratamientos que puedan entrañar alto riesgo (como uso de biometría, IA o vigilancia masiva) es obligatorio realizar un análisis previo que evalúe el impacto sobre los derechos de los afectados.
- Designación de un Delegado de Protección de Datos (DPD o DPO): algunas empresas o entidades, debido al volumen y la sensibilidad de los datos que manejan, están obligadas a contar con esta figura que vela por el cumplimiento normativo. Por ejemplo, es obligatorio en administraciones públicas, centros sanitarios, empresas que tratan datos a gran escala o que manejan datos sensibles.
- Responsabilidad proactiva y enfoque preventivo: las empresas deben aplicar el principio de “accountability”, es decir, no solo cumplir la ley, sino demostrar que la cumplen con formación, protocolos internos y medidas de seguridad adecuadas.
- Notificación de brechas de seguridad: en el caso de que se produjera una violación de seguridad que afecte a datos personales, deberá notificarse a la AEPD en un plazo máximo de 72 horas, y también a los afectados si el riesgo es elevado.
En resumen, siempre que exista una base de datos de clientes o usuarios se necesita, no solo llevar un registro de las actividades que se realizan con estos datos personales de los usuarios, sino también adelantarse a posibles incidencias que pueda ocurrir en la recopilación, custodia y gestión de la información, sobre todo cuando la información personal es más sensible.
Ejemplo de esto puede ser:
- En caso de un negocio como una óptica, si se realiza una promoción especial para los clientes de cierta edad para un producto muy concreto: gafas de lentes progresivas a partir de los 50 años. En este caso, vas a tener que manejar no solo sus datos de contacto, sino también datos más personales como la edad, el estado de sus ojos (tratamiento, graduación), tipo de consumo (gafas o lentillas), etc.
- Las campañas de prevención y detección de enfermedades para cierto tipo de población (diabetes, cáncer, etc.) que promueve y organiza el Ministerio de Sanidad.
En estos ejemplos, se puede comprobar claramente que la empresa y la gestión de datos deben ser sometidos a evaluaciones de impacto y supervisados por la autoridad de control.
Incluso, en algunas situaciones (como la campaña sanitaria) deberá existir un delegado de protección de datos, que deberá supervisar que toda la nueva Ley Orgánica de Protección de Datos se aplica de forma correcta.
Crea presupuestos, facturas y tickets fácil y sin errores.
Consigue el programa de facturación Billin gratis con el Kit Digital.
Nosotros te ayudamos a solicitar la ayuda sin coste.
Al registrarme acepto los términos y condiciones y la Política de Privacidad.
**Billin está 100% subvencionado para autónomos y micropymes de 0 a 2 empleados.
Solicitando el Kit Digital para factura electrónica, gestionamos también el puesto de trabajo seguro (ordenador nuevo).
Recuerda que tienes solo hasta octubre de 2025 para solicitar tu ayuda, y que su concesión, está limitada por orden de llegada.
Plan de Recuperación, Transformación y Resiliencia, España Digital 2025, y Plan de Digitalización de Pymes 2021-2025 de los fondos Next Generation de la UE.
¿Quién está obligado a cumplir con la Ley de Protección de Datos?
El cumplimiento de la LOPDGDD es obligatorio para toda persona física o jurídica que recoja, almacene o trate datos personales, ya sea en formato digital o físico.
Esto incluye desde grandes empresas hasta pymes, autónomos, ONGs, administraciones públicas y comunidades de vecinos.
La obligación es la misma para todos. No importa el tamaño del negocio, ni si usas hojas de Excel, un CRM o lo haces todo por email: si tratas datos personales, estás obligado a cumplir la ley.
Los ejemplos más frecuentes en los que se ve claramente la necesidad de cumplir con la normativa son cuando:
- Recoges correos electrónicos para enviar newsletter.
- Tienes una tienda online que solicita datos de facturación.
- Manejas bases de datos de clientes, empleados o proveedores.
- Usas cookies que rastrean la actividad de los usuarios.
- Organizas sorteos en redes sociales.
- Tienes un formulario de contacto para que te envíen sus preguntas o consultas.
En cualquier caso, siempre deberás informar adecuadamente al usuario, obtener su consentimiento explícito cuando sea necesario, garantizar la seguridad de los datos y respetar todos sus derechos.
¿Cuáles son las infracciones más frecuentes en la LOPDGDD?
Aunque la mayoría de empresas y profesionales conocen la existencia de la Ley de Protección de Datos, en la ejecución y cumplimiento de la norma se continúan cometiendo errores que terminan en sanciones.
A veces es por la falta de formación o actualización, otras son por una gestión inadecuada de los datos personales y otras de manera involuntaria por errores humanos.
Pero, sea cual sea la razón o motivo, no exime del cumplimiento y de tener que asumir las consecuencias.
Según la Agencia Española de Protección de Datos (AEPD), estas son las infracciones más comunes.
| Infracción | Descripción | Ejemplos comunes |
|---|---|---|
| 1. Falta de licitud en el tratamiento (Art. 6 RGPD) | Tratar datos personales sin una base legal válida. |
|
| 2. Falta de seguridad en los datos (Art. 5.1.f RGPD) | No proteger adecuadamente los datos personales. |
|
| 3. Incumplimiento del deber de información (Arts. 12, 13 y 14 RGPD) | No informar de forma clara y completa a los usuarios. |
|
| 4. Obstaculizar los derechos del usuario (Arts. 15-22 RGPD) | No facilitar el ejercicio de los derechos ARSULIPO. |
|
| 5. Exceso de datos recogidos (Art. 5.1.c RGPD) | Recoger más datos de los necesarios. |
|
| 6. Falta de obligaciones como responsable o encargado (Arts. 28, 30, 32 RGPD) | No cumplir con las obligaciones internas o con proveedores. |
|
| 7. Transferencias internacionales sin garantías (Cap. V RGPD) | Enviar datos fuera de la UE sin protección legal suficiente. |
|
Nota: los derechos ARSULIPO son los 8 derechos fundamentales que vimos antes nombrados por este acrónimo, Acceso, Rectificación, Supresión, (U)Oposición, Limitación, Información, Portabilidad, Oposición a decisiones automatizadas.
Preguntas frecuentes sobre la LOPD
Como suele ocurrir, las novedades y modificaciones de la normativa nos trae nuevas preguntas a las que necesitamos dar respuesta. Estas son algunas que han surgido sobre la protección de datos.
¿Las empresas fuera de la UE se pueden ver afectadas por la LOPDGDD?
Sí, en el artículo hemos mencionado que tanto la Ley Orgánica de Protección de Datos y Garantías Digitales (LOPDGDD) como el Reglamento General de Protección de Datos (RGPD) son extraterritoriales porque también se aplican a empresas y organizaciones que estén fuera de la Unión Europea cuando tratan datos personales de personas que viven aquí en España.
Esto quiere decir que no importa la ubicación geográfica de la empresa, sino dónde se encuentran los ciudadanos cuyos datos se están tratando.
Si una empresa extranjera recopila datos de clientes que están en España (por ejemplo, a través de una web, app, tienda online o formulario), tendrá que cumplir sí o sí con el Reglamento General de Protección de Datos (RGPD) y con la LOPDGDD, como:
- Informar claramente de cómo usan los datos.
- Pedir consentimiento explícito.
- Proteger la información frente a accesos no autorizados.
- Respetar los derechos del usuario (como el derecho a borrar los datos).
Además, si no tienen sede en la UE, debe nombrar un representante legal en Europa para gestionar cualquier asunto de protección de datos.
El ejemplo más común es el de una empresa como Meta que:
- Ofrecen bienes o servicios a personas dentro de la UE, aunque no cobren por ello (por ejemplo, servicios gratuitos online).
- Realizan un seguimiento o análisis del comportamiento de usuarios en la UE, como puede ser a través de cookies, publicidad personalizada, análisis de navegación, etc.
Meta Platforms, Inc., la empresa matriz de Facebook, Instagram y WhatsApp, que tiene la sede principal en Estados Unidos, trata datos personales de millones de ciudadanos europeos a través de sus plataformas porque:
- Recopila información sobre tu comportamiento en redes sociales.
- Te muestra anuncios personalizados.
- Analiza tu actividad para sugerencias o contenido relevante.
Con base en esto, Meta debe cumplir con el RGPD y la LOPDGDD cuando opera en Europa y, para ello, tiene una filial en Irlanda que actúa como su representante legal en la UE.
Sin embargo, todo eso no garantiza el cumplimiento total con la normativa, ya que Meta ha sido sancionada en varias ocasiones por la autoridad irlandesa de protección de datos (DPC) por infracciones relacionadas con la protección de datos de usuarios europeos.
¿Qué sanciones económicas se pueden imponer por el incumplimiento de la LOPDGDD?
Las infracciones que se pueden cometer son cualquier acción u omisión que vulnere lo que se ha establecido en el RGPD y la LOPDGDD. Estas infracciones pueden cometerlas tanto el responsable como el encargado del tratamiento de los datos.
Las sanciones se imponen para disuadir a las organizaciones de realizar una gestión inapropiada de los datos personales o incurrir en abusos en el tratamiento.
Las sanciones se aplican según el tipo y la gravedad de la infracción cometida, tanto a personas físicas como a jurídicas y, para ello, la AEPD (Agencia Española de Protección de Datos) va a tener en cuenta la intencionalidad, el volumen de datos comprometidos, el daño causado y si la posible existencia de reincidencia.
| Infracción | Descripción | Sanción |
|---|---|---|
| Leve | Incumplimientos menores, como falta de información clara en formularios, o errores formales en los avisos legales. | Hasta 40.000 €. |
| Grave | Incumplimientos que afectan a derechos de los usuarios, como no atender solicitudes o tratar datos sin base legal adecuada. | De 40.001 a 300.000 €. |
| Muy grave (según LOPDGDD) | Infracciones de alto impacto: uso ilícito masivo de datos, brechas de seguridad graves, transferencias internacionales sin garantías, etc. | De 300.001 a 20 millones de euros o el 4 % de la facturación global anual (la mayor de ambas). |
¿Cuál es la diferencia entre RPGD y LOPDGDD?
Como comentamos al principio del artículo, el derecho a la protección de datos ya se reconoce en la Constitución española en el artículo 18.4 y se desarrolla en una primera ley (LORTAD) en 1992.
Por lo tanto, en España ya contábamos con una protección antes de la entrada que llegaran las directrices europeas y nos convierte en un país pionero en este tipo de legislación.
El RGPD (Reglamento General de Protección de Datos) aprobado en 2016 es la norma de referencia europea en materia de protección de datos y, por ser reglamento, es de aplicación directa y obligatoria en todos los Estados miembros de la Unión Europea.
La LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) de 2018 es ley española que desarrolla y completa el RGPD adaptándolo a nuestro ordenamiento jurídico que ya existía.
La principal diferencia entre ambas normas es el ámbito de aplicación:
- El RGPD se aplica a toda la Unión Europea.
- La LOPDGDD solamente se aplica a España.
¿Cómo cumplir con la nueva Ley de Protección de Datos y Garantías Digitales?
Cumplir con la Ley Orgánica de Protección de Datos y Garantías Digitales no resulta tan complicado si sigues una serie de pasos básicos y te lo tomas en serio.
Para empezar, tienes que:
- Identifica los datos personales que manejas con un inventario sobre los datos personales que recoges (clientes, empleados, proveedores…), cómo los obtienes y para qué los usas.
- Informa de forma clara y accesible a tus usuarios sobre quién es el responsable de los datos, con qué finalidad los tratas, cuánto tiempo los conservarás, si los compartes con terceros, y cómo pueden ejercer sus derechos (acceso, rectificación, supresión, etc.).
- Recoge el consentimiento de forma válida porque tiene que ser explícito, informado y verificable. No valen las casillas premarcadas ni los consentimientos ocultos en los textos legales.
- Aplica medidas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos. Por ejemplo: contraseñas robustas, cifrado de datos, copias de seguridad, control de accesos y protocolos para brechas de seguridad.
- Formaliza contratos con terceros, asesores, proveedores tecnológicos o herramientas en la nube que acceden a datos personales, para que cumplan el RGPD.
- Nombra un Delegado de Protección de Datos si estás obligado, porque no todas las empresas lo necesitan.
- Registra tus actividades de tratamiento en un registro interno donde detalles qué datos manejas, cómo lo haces, con qué base legal, a quién se los cedes y qué medidas de seguridad aplicas.
Para ponértelo más fácil, puedes ir revisando las acciones que ya tengas o que vayas a realizar en la siguiente lista:
| Paso | Acción | ¿Lo cumples? |
|---|---|---|
| 1 | ¿Has identificado los datos personales que manejas y con qué finalidad? | ☐ Sí ☐ No |
| 2 | ¿Informas claramente a tus usuarios sobre el tratamiento de sus datos? | ☐ Sí ☐ No |
| 3 | ¿Recoges el consentimiento de forma explícita y verificable? | ☐ Sí ☐ No |
| 4 | ¿Aplicas medidas de seguridad adecuadas (cifrado, backups, contraseñas fuertes…)? | ☐ Sí ☐ No |
| 5 | ¿Tienes contratos con los encargados del tratamiento (asesorías, plataformas, etc.)? | ☐ Sí ☐ No |
| 6 | ¿Has evaluado si necesitas un Delegado de Protección de Datos (DPD)? | ☐ Sí ☐ No |
| 7 | ¿Llevas un Registro de Actividades de Tratamiento actualizado? | ☐ Sí ☐ No |
| 8 | ¿Tienes protocolos para responder a brechas de seguridad y solicitudes de derechos? | ☐ Sí ☐ No |
Otros artículos de interés sobre fiscalidad
No te pierdas nada
Subscríbete a la Newsletter de Billin
A principios de cada mes enviamos un email con noticias de última hora, novedades fiscales y los contenidos más buscados por autónomos y pymes.
