El primer mes es GRATIS 🎉
Lince Opositor
Lince Opositor Consigue tu plaza.

Esquema de la LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales

La LO 3/2018 adapta el Reglamento General de Protección de Datos (RGPD) al ordenamiento jurídico español y amplía el catálogo de derechos digitales de los ciudadanos. Es materia obligatoria en las oposiciones a la AGE y cuerpos de la Administración.

1

Título I: Disposiciones generales

Arts. 1-4

LOPDGDD adapta y desarrolla el RGPD en el ordenamiento jurídico español

Dato personal: cualquier información sobre una persona física identificada o identificable

Responsable del tratamiento: determina los fines y los medios del tratamiento

Encargado del tratamiento: trata datos por cuenta y bajo instrucciones del responsable

Datos de personas fallecidas: acceso por herederos o personas vinculadas durante máximo 10 años

Tests Título I
2

Título II: Principios de protección de datos

Arts. 5-10

Licitud, lealtad y transparencia: base de todo tratamiento lícito

Limitación de la finalidad: datos recogidos con fines determinados y no incompatibles

Minimización: datos adecuados, pertinentes y limitados a lo estrictamente necesario

Exactitud: datos exactos y actualizados sin dilación injustificada

Limitación del plazo de conservación: no más tiempo del necesario para el fin

Integridad y confidencialidad: seguridad adecuada frente a tratamiento no autorizado

Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento

/ Bases de legitimación del tratamiento

Seis bases de legitimación: consentimiento, contrato, obligación legal, interés vital, interés público e interés legítimo

Consentimiento: libre, específico, informado e inequívoco

Menores de 14 años requieren consentimiento del titular de la patria potestad

Categorías especiales: datos de salud, biométricos, genéticos, origen racial, ideología y vida sexual

Categorías especiales: tratamiento solo con consentimiento explícito o por razones de interés público

Tests Título II
3

Título III: Derechos de los interesados

Arts. 11-18

Derechos ARCO-POL: Acceso, Rectificación, Cancelación (supresión), Oposición, Portabilidad, Oposición y Limitación

Plazo general de respuesta: 1 mes, prorrogable otros 2 meses por complejidad

Ejercicio gratuito salvo solicitudes manifiestamente infundadas o excesivas

Derecho a no ser objeto de decisiones exclusivamente automatizadas con efectos jurídicos

/ Derecho de acceso

Confirmación de si se están tratando datos personales del interesado

Primera copia de los datos objeto de tratamiento: gratuita

Información sobre fines, destinatarios, plazos de conservación y derechos

Posibilidad de acceso remoto directo y seguro como alternativa a la copia

/ Derecho de rectificación

Corrección de datos inexactos sin dilación injustificada

Completar datos incompletos mediante declaración adicional

Posibilidad de aportar documentación justificativa en la solicitud

/ Derecho de supresión (derecho al olvido)

Supresión cuando los datos son innecesarios, el tratamiento es ilícito o se retira el consentimiento

Derecho al olvido en buscadores de internet: retirada de enlaces a información obsoleta

Excepciones: libertad de expresión, obligación legal o reclamaciones judiciales

/ Derecho de limitación del tratamiento

Cuatro supuestos: inexactitud impugnada, tratamiento ilícito, innecesariedad y oposición pendiente

Durante la limitación: solo conservación, sin tratamiento activo

Verificación de exactitud como causa más frecuente de limitación

/ Derecho a la portabilidad

Entrega de datos en formato estructurado, de uso común y lectura mecánica

Solo aplica cuando el tratamiento se basa en consentimiento o contrato y es automatizado

Transmisión directa entre responsables cuando sea técnicamente posible

/ Derecho de oposición y decisiones automatizadas

Oposición al tratamiento por motivos relacionados con la situación particular del interesado

Mercadotecnia directa: derecho de oposición absoluto en cualquier momento

Prohibición de decisiones basadas exclusivamente en tratamiento automatizado con efectos jurídicos

Elaboración de perfiles: garantías reforzadas cuando produce efectos significativos

Tests Título III
4

Título IV: Disposiciones aplicables a tratamientos concretos

Arts. 19-27

Sistemas de información crediticia (ficheros de morosos): deuda cierta, vencida y superior a 50 euros

Plazo máximo de conservación en ficheros de morosos: 5 años

Videovigilancia: conservación máxima de 1 mes, salvo investigación policial en curso

Sistemas de exclusión publicitaria (listas Robinson): exclusión de comunicaciones comerciales no solicitadas

Tratamiento de datos en el ámbito laboral: control de dispositivos y geolocalización con información previa

Tratamiento con fines de videovigilancia por las Fuerzas y Cuerpos de Seguridad: régimen especial

Tests Título IV
5

Título V: Responsable y encargado del tratamiento

Arts. 28-38

Protección de datos desde el diseño (privacy by design) y por defecto (privacy by default)

Contrato de encargo de tratamiento: obligatorio entre responsable y encargado

Registro de actividades de tratamiento: obligatorio si más de 250 empleados o tratamiento de riesgo

Brecha de seguridad: notificación a la AEPD en un plazo máximo de 72 horas

Evaluación de Impacto en Protección de Datos (EIPD): obligatoria ante tratamientos de alto riesgo

/ Delegado de Protección de Datos (DPD)

Designación obligatoria en organismos públicos y tratamientos a gran escala

Independencia funcional: no puede ser destituido ni sancionado por el ejercicio de sus funciones

Comunicar designación o cese a la AEPD en el plazo de 10 días hábiles

Cualificación acreditable mediante certificación voluntaria reconocida

Actúa como interlocutor principal ante la AEPD

Funciones: asesorar, supervisar el cumplimiento y cooperar con la autoridad de control

Reclamaciones previas al DPD: respuesta en 2 meses; si no resuelve, remisión a la AEPD en 1 mes

Tests Título V
6

Título VI: Transferencias internacionales de datos

Arts. 39-43

Transferencia internacional: envío de datos a un país fuera del Espacio Económico Europeo

Nivel de adecuación: decisión de la Comisión Europea que autoriza la transferencia

Garantías adecuadas: cláusulas contractuales tipo, normas corporativas vinculantes o códigos de conducta

Excepciones: consentimiento explícito del interesado o interés público importante

Prohibición de transferencias a países sin nivel de protección equivalente al europeo

Tests Título VI
7

Título VII: Autoridades de control

Arts. 44-62

Agencia Española de Protección de Datos (AEPD): autoridad administrativa independiente de ámbito estatal

Presidente de la AEPD: mandato de 5 años no renovable

Adjunto al Presidente: mandato de 5 años no renovable

Consejo Consultivo de la AEPD: representación pluriinstitucional

Las CCAA pueden crear autoridades autonómicas de protección de datos propias

Mecanismo de coherencia: cooperación entre autoridades de control de la UE

Tests Título VII
8

Título VIII: Procedimientos en caso de vulneración de la normativa de protección de datos

Arts. 63-69

Reclamación ante la AEPD: vía previa antes de acudir a la jurisdicción contencioso-administrativa

Reclamación previa ante el DPD: plazo de respuesta de 2 meses

Remisión a la AEPD si el DPD no resuelve: en el plazo de 1 mes desde la respuesta o su ausencia

Actuaciones previas de investigación: la AEPD puede requerir información y realizar inspecciones

Medidas provisionales: la AEPD puede ordenar la suspensión cautelar del tratamiento

Resolución: puede incluir apercibimiento, sanción económica u orden de cese del tratamiento

Tests Título VIII
9

Título IX: Régimen sancionador

Arts. 70-78

Infracciones muy graves: multas hasta 20 millones de euros o el 4% del volumen de negocio anual global

Infracciones graves: multas hasta 10 millones de euros o el 2% del volumen de negocio anual global

Prescripción de infracciones: muy graves 3 años, graves 2 años, leves 1 año

Las Administraciones Públicas no son sancionadas con multa: se aplica apercibimiento

Infracciones de las AAPP: notificación al Defensor del Pueblo y al organismo competente

Responsabilidad del encargado: autónoma cuando incumple sus obligaciones propias

Tests Título IX
10

Título X: Garantía de los derechos digitales

Arts. 79-97

Derecho a la neutralidad de internet y al acceso universal

Derecho a la seguridad de las comunicaciones en internet

Derecho al olvido en redes sociales y servicios equivalentes

Derecho a la portabilidad en servicios de redes sociales

Derecho a la desconexión digital en el ámbito laboral y de conciliación

Derecho a la intimidad frente al uso de dispositivos digitales en el trabajo

Videovigilancia en el lugar de trabajo: información previa obligatoria a los trabajadores

Geolocalización de trabajadores: información previa sobre existencia y características del sistema

Testamento digital: designación de persona para gestionar los perfiles en redes sociales tras la muerte

Protección de menores en internet: acceso limitado a contenidos inapropiados

Tests Título X

Fin del esquema

REALIZAR EVALUACIÓN COMPLETA

Centro de Entrenamiento

Practica cada bloque de forma independiente

Tests Ley Orgánica 3/2018
01 Tests Título I
02 Tests Título II
03 Tests Título III
04 Tests Título IV
05 Tests Título V
06 Tests Título VI
07 Tests Título VII
08 Tests Título VIII
09 Tests Título IX
10 Tests Título X

Resumen del esquema de Ley Orgánica 3/2018

¿Por qué es clave la LO 3/2018 en las oposiciones?

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) es la norma que adapta al ordenamiento español el Reglamento (UE) 2016/679, conocido como RGPD. Desde su entrada en vigor, la protección de datos ha pasado de ser un tema marginal a ocupar un lugar fijo en los temarios de prácticamente todos los cuerpos de la AGE, con especial peso en los cuerpos de Gestión, Tramitación y Auxilio Administrativo.

Clave para entender la ley: LOPDGDD y RGPD van juntos

Un error frecuente es estudiar la LOPDGDD de forma aislada. La ley española no deroga el RGPD, sino que lo complementa y desarrolla. El RGPD es directamente aplicable en toda la UE; la LOPDGDD añade especificidades nacionales (edad de consentimiento de menores, régimen de la AEPD, derechos digitales, etc.). En examen, las preguntas pueden referirse indistintamente a uno u otro texto, por lo que conviene conocer ambos.

Bloques más examinados

Los apartados con mayor peso en los tests de examen son los siguientes:

  • Título II — Principios del tratamiento: licitud, minimización, exactitud y accountability. Son conceptos definitorios que aparecen en preguntas de comprensión.
  • Título III — Derechos ARCO-POL: el acrónimo, los plazos de respuesta (1 mes prorrogable 2 más) y las especificidades de cada derecho concentran muchas preguntas cerradas.
  • Título V — Responsable y encargado: la distinción entre ambas figuras, el contrato de encargo, la brecha de seguridad (72 horas) y el Delegado de Protección de Datos (DPD) son datos muy recurrentes.
  • Título VII — AEPD: mandato del Presidente (5 años no renovable) y competencias de la autoridad de control.
  • Título IX — Régimen sancionador: cuantías de las multas del RGPD y prescripción de infracciones (1-2-3 años).
  • Título X — Derechos digitales: desconexión digital, videovigilancia (1 mes de conservación) y testamento digital son los datos más preguntados.

Una estrategia eficaz es memorizar primero los datos numéricos (plazos, cuantías, años de mandato) y el acrónimo ARCO-POL con sus especificidades, antes de abordar los conceptos más descriptivos de principios y bases de legitimación.

Preguntas frecuentes sobre el esquema

ARCO-POL agrupa los derechos que el RGPD y la LOPDGDD reconocen a los interesados: Acceso (conocer qué datos se tratan), Rectificación (corregir datos inexactos), Cancelación o supresión (derecho al olvido), Oposición (impedir ciertos tratamientos), Portabilidad (recibir los datos en formato reutilizable), Oposición a decisiones automatizadas y Limitación del tratamiento (suspender temporalmente el tratamiento). El plazo general de respuesta a cualquiera de estos derechos es de 1 mes, prorrogable otros 2 meses por complejidad.

El artículo 6 del RGPD establece seis bases: el consentimiento del interesado (libre, específico, informado e inequívoco); la ejecución de un contrato en el que el interesado es parte; el cumplimiento de una obligación legal; la protección de intereses vitales del interesado o de terceros; el cumplimiento de una misión en interés público; y la satisfacción de intereses legítimos del responsable, siempre que no prevalezcan los derechos del interesado.

La designación es obligatoria en tres supuestos: cuando el tratamiento lo lleva a cabo una autoridad u organismo público; cuando las actividades principales del responsable o encargado requieren una observación habitual y sistemática de interesados a gran escala; o cuando se tratan a gran escala categorías especiales de datos (salud, biométricos, genéticos, etc.). Una vez designado, debe comunicarse a la AEPD en el plazo de 10 días hábiles.

El artículo 33 del RGPD establece que el responsable del tratamiento debe notificar la brecha de seguridad a la autoridad de control competente (la AEPD en España) en un plazo máximo de 72 horas desde que tenga constancia de ella. Si la brecha entraña un alto riesgo para los derechos de los interesados, también debe comunicarse a estos sin dilación indebida.

Según el artículo 22 de la LOPDGDD, las imágenes captadas por sistemas de videovigilancia deben suprimirse en el plazo máximo de 1 mes desde su captación. Se exceptúan las imágenes relacionadas con hechos que sean objeto de investigación policial o judicial, en cuyo caso pueden conservarse hasta que concluya el procedimiento correspondiente.

El RGPD establece dos tramos de multas: hasta 20 millones de euros o el 4% del volumen de negocio anual global para las infracciones más graves (vulneración de principios básicos, derechos de los interesados o transferencias internacionales), y hasta 10 millones de euros o el 2% para infracciones menores (obligaciones del responsable, del encargado o del organismo de certificación). Las infracciones prescriben en 3 años las muy graves, 2 años las graves y 1 año las leves. Las Administraciones Públicas no son sancionadas con multa, sino con apercibimiento.