¿Qué es la Protección de datos?

La normativa de protección de datos personales (RGPD y LOPDGDD) garantiza un tratamiento lícito, seguro y transparente de datos de clientes, empleados, proveedores, pacientes, alumnos, etc.

¿Quién está obligado a cumplir con la normativa?

Toda empresa o profesional que trate datos personales debe cumplir con el RGPD. Sectores especialmente expuestos incluyen clínicas, colegios, asesorías, empresas de más de 10 empleados, entidades financieras, e-commerce, marketing masivo, datos biométricos o genéticos, y administraciones públicas.

¿Qué tengo que hacer para cumplir con la normativa?

Determinar bases legitimadoras, elaborar el Registro de Actividades de Tratamiento, aplicar transparencia, formalizar contratos con encargados, gestionar derechos ARSOPL, adoptar medidas de seguridad, realizar evaluaciones de impacto cuando proceda, notificar brechas, y nombrar DPO si es obligatorio.

¿Qué riesgos implica el incumplimiento?

Sanciones de hasta 20 millones de euros o el 4 % de la facturación, reclamaciones, invalidez de cláusulas, pérdida de confianza y posible responsabilidad penal.

Aplica la LOPD en tu empresa | Ley orgánica de protección de datos para empresas

Te explicamos la Ley de Protección de Datos en España

Principios y bases legales del tratamiento

El Reglamento General de Protección de Datos (RGPD) y la LOPDGDD establecen principios básicos que rigen todo tratamiento de datos personales: licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva (accountability).

Para cada tratamiento debe existir una base jurídica válida: consentimiento explícito, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, misión de interés público o interés legítimo del responsable.

Aplicar correctamente estos principios evita tratamientos indebidos y sirve como primer escudo frente a sanciones y reclamaciones.

La documentación de la base legal y de los análisis realizados es parte esencial del deber de responsabilidad proactiva.

Derechos de las personas

Las personas tienen derechos que las organizaciones deben facilitar y respetar: acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, oposición, portabilidad y a no ser objeto de decisiones automatizadas.

Estos derechos deben atenderse sin dilación indebida y, en general, en el plazo de un mes; si la solicitud es compleja puede ampliarse hasta dos meses más, avisando al interesado.

Buenas prácticas:

Establecer canales claros (formulario, correo, teléfono) para recibir solicitudes de derechos.
Verificar la identidad del solicitante antes de responder.
Registrar las solicitudes y las actuaciones realizadas (prueba de cumplimiento).
Formar al personal que atiende peticiones para evitar denegaciones injustificadas.

Facilitar y respetar estos derechos reduce riesgos reputacionales y el número de reclamaciones ante la AEPD.

Obligaciones del responsable del tratamiento

El responsable del tratamiento debe garantizar que los datos se tratan conforme a la normativa: definir finalidades, limitar la recogida, aplicar medidas de seguridad, y documentar los procesos mediante el registro de actividades de tratamiento.

Entre las obligaciones prácticas están: evaluar riesgos, implantar medidas técnicas y organizativas (cifrados, controles de acceso), revisar políticas de conservación y formar periódicamente al personal.

Además, cuando proceda, el responsable debe realizar evaluaciones de impacto (DPIA), priorizar la privacidad por diseño y por defecto, y asegurar contratos adecuados con encargados.

Encargados del tratamiento y contratos

Cuando una organización contrata a terceros para procesar datos (proveedores, plataformas cloud, etc.) debe formalizarlo mediante un contrato de encargado del tratamiento que refleje las obligaciones, medidas de seguridad y límites de actuación.

El contrato debe incluir, como mínimo: instrucciones documentadas, obligación de confidencialidad, subcontratación autorizada, medidas de seguridad, apoyo en gestión de derechos y notificación de brechas.

Revisar y auditar a los proveedores (due diligence) es clave: una mala gestión del encargado puede trasladar responsabilidad al responsable.

No basta con firmar un documento: exige verificaciones periódicas y evidencias de cumplimiento por parte del proveedor.

Delegado de Protección de Datos (DPD / DPO)

El RGPD establece la figura del Delegado de Protección de Datos (DPD o DPO). Su nombramiento es obligatorio en supuestos concretos: administraciones públicas, tratamientos a gran escala de categorías especiales o seguimiento sistemático extensivo, entre otros.

El DPD actúa como punto de contacto con la autoridad (AEPD), asesora sobre cumplimiento, supervisa las DPIA y vela por la formación y la cultura de privacidad en la organización.

Qué debe ofrecer un DPD:

Independencia, sin conflicto de intereses en sus funciones.
Conocimientos jurídicos y técnicos en protección de datos.
Registro público del nombramiento ante la AEPD (cuando proceda).
Canal de comunicación interno y externo con la autoridad de control.

Aunque no siempre sea obligatorio, contar con un DPD es una buena práctica para organizaciones con tratamientos complejos o gran volumen de datos.

Notificación de brechas de seguridad

Ante una brecha de seguridad que afecte a datos personales, el responsable debe evaluar el riesgo y notificarlo a la autoridad de control (AEPD) cuando exista riesgo para los derechos y libertades de las personas.

El plazo máximo para notificar a la autoridad es de 72 horas desde que la organización tiene constancia de la brecha; si no se dispone de toda la información, la notificación puede hacerse en fases, aportando los detalles conforme se obtengan.

Si la brecha conlleva un alto riesgo para los afectados, además habrá que comunicarles la incidencia directamente, informando de las medidas adoptadas y recomendaciones para minimizar el impacto.

Tener un plan de respuesta a incidentes y procedimientos de notificación reduce el riesgo y facilita el cumplimiento de los plazos legales.

Evaluaciones de Impacto (DPIA) y medidas de seguridad

Las Evaluaciones de Impacto (DPIA) son obligatorias cuando un tratamiento puede implicar un alto riesgo para los derechos y libertades (p. ej., perfilado a gran escala, tratamientos masivos o monitorización sistemática).

Una DPIA documenta los riesgos, las medidas previstas para mitigarlos y la decisión final. Debe revisarse periódicamente y cuando cambien los tratamientos.

Medidas técnicas y organizativas recomendadas:

Análisis de riesgos y cifrado cuando proceda.
Control de accesos y autenticación fuerte.
Copias de seguridad, registro de eventos y pruebas de restauración.
Formación continua y políticas internas actualizadas.
Privacidad por diseño y por defecto en productos y servicios.

Estas medidas no solo protegen datos, sino que constituyen evidencia de cumplimiento ante la AEPD.

Menores, consentimiento y sanciones

La LOPDGDD regula aspectos específicos como el tratamiento de datos de menores: en España, el tratamiento basado en consentimiento es lícito para menores de 14 años únicamente si lo presta el titular de la patria potestad o tutela.

En materia sancionadora, el RGPD establece topes que pueden alcanzar 20 millones € o el 4% del volumen de negocio global (según cuál sea mayor) para las infracciones más graves, y cifras menores (hasta 10 millones € o 2%) para otras tipologías.

Consecuencias prácticas:

Reclamaciones individuales ante la AEPD o los tribunales.
Daño reputacional y pérdida de confianza de clientes/usuarios.
Obligación de adoptar medidas correctoras y auditorías externas.

Adecuar políticas de consentimiento para menores y revisar procesos de privacidad reduce exposición a sanciones y reclamaciones.

Protección de Datos (LOPD)