Ir al contenido
Oferta de lanzamientoSolo hasta el …. Después, cada plan vuelve a su precio de siempre.Ver precios

RGPD gestorías

LOPDGDD: qué añade a la ley europea (RGPD) y qué obligaciones tienes

Autor: Tranquilia by GRAC SA9 min de lectura

Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.

Respuesta directa: la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre) es la ley española que completa el RGPD: no lo sustituye ni lo repite, sino que desarrolla los márgenes que el reglamento europeo deja a cada país y añade obligaciones que no existen en el resto de la Unión Europea. Entre sus aportaciones más prácticas están la edad de 14 años para que un menor dé su consentimiento en España, una lista cerrada de negocios obligados a tener delegado de protección de datos, y un bloque entero de derechos digitales —desde la desconexión digital en el trabajo hasta el testamento digital— que el RGPD ni siquiera menciona. Entró en vigor el 7 de diciembre de 2018 y hoy se aplica en España junto al RGPD, nunca en su lugar.

Este artículo es información general sobre normativa de protección de datos. No sustituye el asesoramiento de un abogado ni el análisis concreto de tu negocio: úsalo como mapa, no como dictamen jurídico.

Índice

  1. ¿Qué es la LOPDGDD y qué relación tiene con el RGPD?
  2. ¿Por qué existe una ley española si el RGPD ya se aplica directamente?
  3. ¿Qué cambia sobre los menores de edad?
  4. ¿Qué dice sobre los datos de las personas fallecidas?
  5. ¿Qué obligaciones añade para el día a día de tu negocio?
  6. ¿Cuándo obliga a tener un delegado de protección de datos?
  7. ¿Qué son los derechos digitales del título X?
  8. ¿Qué pasa si no cumples?
  9. Preguntas frecuentes
  10. Fuentes

¿Qué es la LOPDGDD y qué relación tiene con el RGPD?

El RGPD (Reglamento (UE) 2016/679) es la norma europea de protección de datos. Se aplica igual en los 27 países de la Unión desde el 25 de mayo de 2018, sin que cada país tenga que traducirlo a su propia ley: por eso se llama «reglamento» y no «directiva». Hasta aquí, nada distinto de lo que ya sabes.

Lo que pasa es que el propio RGPD, en varios de sus artículos, dice expresamente «cada Estado miembro decide esto». La edad de consentimiento de los menores, el régimen de sanciones de cada autoridad nacional o cómo tratar los datos en el ámbito laboral son ejemplos de puntos que el reglamento deja abiertos a cada país.

La LOPDGDD —Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales— es la ley con la que España rellena esos huecos. Se publicó en el BOE núm. 294, del 6 de diciembre de 2018, y entró en vigor al día siguiente. Tiene 97 artículos repartidos en diez títulos, más disposiciones adicionales y finales.

¿Por qué existe una ley española si el RGPD ya se aplica directamente?

Por dos motivos que conviene distinguir:

  • Desarrollar los márgenes que el RGPD deja abiertos. Por ejemplo, la edad de consentimiento de los menores o las reglas concretas del delegado de protección de datos en España.
  • Añadir derechos que el RGPD no cubre en absoluto. El título X de la LOPDGDD regula derechos digitales —desconexión digital, testamento digital, derecho al olvido en buscadores— que no tienen equivalente en el reglamento europeo: van más allá de la protección de datos y entran en el terreno de los derechos digitales en general.

En la práctica, para tu negocio esto significa que cumplir solo el RGPD no es cumplir toda la normativa española. Hace falta mirar las dos normas juntas.

¿Qué cambia sobre los menores de edad?

El RGPD (art. 8) fija en 16 años la edad por defecto para que un menor dé su consentimiento en servicios online dirigidos a él, pero deja a cada país bajarla hasta un mínimo de 13 años.

España fijó esa edad en 14 años (art. 7 LOPDGDD), y lo hizo para el consentimiento en general, no solo para servicios online. Por debajo de los 14 años, el tratamiento basado en consentimiento solo es válido si lo autoriza quien tiene la patria potestad o la tutela del menor. La excepción: cuando la ley ya exige esa autorización para el propio acto —por ejemplo, firmar un contrato— el consentimiento sigue esa misma regla.

¿Qué dice sobre los datos de las personas fallecidas?

El RGPD deja fuera de su ámbito los datos de las personas fallecidas: es una decisión de cada país. La LOPDGDD sí regula el caso, en su artículo 3: las personas vinculadas al fallecido por razones familiares o de hecho, y sus herederos, pueden pedir al responsable del tratamiento acceder a esos datos, corregirlos o pedir que se borren, salvo que el propio fallecido lo hubiera prohibido expresamente en vida o lo impida una ley.

Es un derecho que no existe como tal en el RGPD: es enteramente una aportación de la ley española.

¿Qué obligaciones añade para el día a día de tu negocio?

Más allá de los grandes principios, la LOPDGDD trae piezas muy concretas que un negocio puede necesitar aplicar directamente:

  • Deber de confidencialidad (art. 5 LOPDGDD): obliga expresamente a toda persona que interviene en cualquier fase del tratamiento —no solo al responsable— a no divulgar los datos que ve por su trabajo. Es la base de la cláusula de confidencialidad que firma tu equipo.
  • Categorías especiales de datos (art. 9 LOPDGDD): refuerza el principio del RGPD de que el simple consentimiento no siempre basta para tratar datos de ideología, afiliación sindical, religión, orientación sexual o salud: a veces hace falta una base legal adicional o una garantía extra.
  • Videovigilancia (art. 22 LOPDGDD): fija un régimen propio para las cámaras de seguridad —cartel informativo obligatorio, borrado en un máximo de un mes— que no aparece con ese detalle en el RGPD.
  • Sistemas de exclusión publicitaria (art. 23 LOPDGDD), las llamadas «listas Robinson»: regula la obligación de consultar estos sistemas antes de hacer ciertas campañas de publicidad a quien no es cliente.

Ninguna de estas cuatro piezas está desarrollada así en el texto del RGPD: son reglas propias de la ley española que se suman a los principios generales europeos.

¿Cuándo obliga a tener un delegado de protección de datos?

El RGPD (art. 37.1) obliga a nombrar delegado de protección de datos en tres supuestos generales: ser una autoridad pública, hacer un seguimiento habitual y sistemático a gran escala de las personas, o tratar a gran escala datos de categoría especial.

La LOPDGDD añade algo que el RGPD no tiene: una lista cerrada de quince tipos de entidad que están obligadas «en todo caso», al margen de si cumplen o no esos criterios generales (art. 34.1 LOPDGDD). En ella están, entre otros, los colegios profesionales, los centros docentes reglados, las operadoras de telecomunicaciones a gran escala, los bancos, aseguradoras y empresas de servicios de inversión, los distribuidores de energía y gas, las entidades responsables de ficheros comunes de solvencia o de prevención del fraude, ciertas empresas de publicidad y prospección comercial, los centros sanitarios legalmente obligados a mantener historias clínicas —con excepción del profesional que ejerce a título individual—, las empresas de seguridad privada y las federaciones deportivas cuando tratan datos de menores.

Si tu negocio no encaja en ninguno de esos quince supuestos ni en los criterios generales del RGPD, no tienes obligación de nombrar delegado. Nombrar uno de forma voluntaria sigue siendo una opción válida (art. 34.2 LOPDGDD), aunque conviene saber que, una vez nombrado, te sometes al mismo régimen que si fuera obligatorio.

¿Qué son los derechos digitales del título X?

El título X de la LOPDGDD (arts. 79 a 97) es la parte más ajena al RGPD: no desarrolla ningún artículo del reglamento europeo, es una carta de derechos digitales que España decidió incluir dentro de esta misma ley. Algunos de sus artículos afectan directamente a cualquier negocio con empleados:

  • Art. 87: derecho a la intimidad y al uso de dispositivos digitales en el ámbito laboral.
  • Art. 88: derecho a la desconexión digital, con la obligación del empleador de elaborar una política interna, oída la representación de los trabajadores.
  • Art. 89: derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el lugar de trabajo.
  • Art. 93: derecho al olvido en buscadores de internet.
  • Art. 96: el llamado «testamento digital»: quien el fallecido haya designado, o su albacea, puede pedir acceso a sus contenidos digitales para cumplir sus instrucciones.

Si tienes personal a tu cargo, los tres primeros son los que más te tocan: exigen que tengas por escrito cómo se usan los dispositivos de la empresa, cómo se respeta el descanso fuera del horario laboral y, si hay cámaras, que nunca enfoquen los puestos de trabajo de tu equipo.

¿Qué pasa si no cumples?

La AEPD (Agencia Española de Protección de Datos) es quien vigila esto en España. Puede pedir explicaciones, ordenar cambios, avisar o poner una multa. El RGPD fija los máximos posibles en dos niveles: hasta 10 millones de euros o el 2 % de la facturación mundial anual, y hasta 20 millones o el 4 %, según la infracción (art. 83 RGPD). Se aplica la cifra más alta de las dos. La LOPDGDD, en su título IX (arts. 70 a 78), desarrolla cómo se clasifican las infracciones en España y sus plazos de prescripción; los criterios exactos de graduación de cada caso conviene consultarlos directamente en el texto de la ley, en el enlace de las fuentes de este artículo.

En la práctica esas cifras son el techo legal, no lo habitual: la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado. Un negocio pequeño que se organiza y responde bien no está en ese escenario. Por eso conviene tener esto resuelto: no para evitar un susto puntual, sino para dejar de pensar en ello.

Preguntas frecuentes

¿La LOPDGDD sustituye al RGPD?

No. El RGPD es la norma europea y tiene primacía; la LOPDGDD la completa en España, desarrollando los puntos que el propio reglamento deja abiertos a cada país y añadiendo derechos digitales que el RGPD no cubre.

Si mi negocio ya cumple el RGPD, ¿tengo algo pendiente de la LOPDGDD?

Probablemente sí, aunque sean piezas concretas: revisa la edad de consentimiento de menores si tratas datos de personas jóvenes, el deber de confidencialidad explícito con tu equipo, y —si tienes empleados— las políticas del título X sobre dispositivos digitales, desconexión y videovigilancia laboral.

¿A qué edad puede un menor dar su consentimiento en España?

A partir de los 14 años (art. 7 LOPDGDD). Por debajo, hace falta el consentimiento de quien tiene la patria potestad o la tutela.

¿Todas las empresas necesitan un delegado de protección de datos?

No. Solo las que cumplen los criterios generales del art. 37.1 RGPD o aparecen en la lista cerrada de quince tipos de entidad del art. 34.1 LOPDGDD. La mayoría de pymes y autónomos no está en ninguno de los dos grupos.

¿Dónde puedo consultar el texto oficial de la LOPDGDD?

En el Boletín Oficial del Estado, texto consolidado: boe.es/buscar/act.php?id=BOE-A-2018-16673.


¿Quieres ver esto aplicado a tu negocio? Tranquilia convierte estas obligaciones en un cuestionario y los documentos que te tocan, adaptados a tu sector. Si llevas una asesoría o gestoría, mira cómo lo aplicamos a tu caso en asesorías y gestorías. El nivel gratuito permite probarlo con hasta 2 empresas, sin tarjeta y sin límite de tiempo, en tranquilia.es.

Artículo elaborado por Tranquilia by GRAC SA. Publicado el 16 de julio de 2026. Última revisión: 16 de julio de 2026. Redacción asistida por IA con verificación de fuentes primarias; no constituye asesoramiento jurídico individual.

Fuentes

Revisión: Tranquilia by GRAC SA — redacción asistida por IA con verificación de fuentes primarias

Pon a tus clientes en regla con el RGPD en 15 minutos.

Crear mi instancia gratis

Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.

Blog