En una frase. La LOPDGDD (Ley Orgánica 3/2018) complementa el RGPD con 12 áreas de carve-out español: edad consentimiento 14 años, régimen apercibimiento para administraciones, derechos digitales (arts. 79-97), DPO obligatorio ampliado y plazos sancionadores específicos.
Puntos clave
- LOPDGDD = norma española que adapta el RGPD a las particularidades nacionales.
- 97 artículos + disposiciones. Vigente desde diciembre 2018.
- Catálogo único en UE de derechos digitales (Título X).
- Régimen sancionador con prescripción específica y apercibimiento para administraciones.
- Edad de consentimiento: 14 años (UE permite 13-16).
1. Base jurídica de cada norma
- RGPD (Reglamento UE 2016/679): directamente aplicable. Prevalece sobre normativa nacional contradictoria.
- LOPDGDD (Ley Orgánica 3/2018): ley orgánica española que adapta el RGPD donde permite margen y añade derechos digitales propios.
Ambas se aplican simultáneamente. En caso de discrepancia, RGPD prevalece salvo en aspectos donde el propio RGPD remite a la ley nacional.
2. Edad de consentimiento (art. 7 LOPDGDD)
- RGPD: edad mínima 16, los EEMM pueden bajarla hasta 13.
- España: 14 años.
Por debajo de 14, consentimiento del titular de la patria potestad o tutela.
3. Derechos digitales (Título X LOPDGDD)
Catálogo único en UE de derechos digitales (arts. 79-97):
- Derecho a la neutralidad de internet.
- Derecho de acceso universal a internet.
- Derecho a la seguridad digital.
- Derecho a la educación digital.
- Protección de menores en internet.
- Derecho al olvido en redes y buscadores.
- Derecho a la portabilidad en redes.
- Derecho al testamento digital.
- Derecho a la desconexión digital.
- Derechos digitales en el ámbito laboral.
Ver derechos digitales arts. 79-97.
4. Régimen sancionador (arts. 70-78 LOPDGDD)
| Aspecto | RGPD | LOPDGDD |
|---|---|---|
| Multas máximas | 20 M EUR o 4% facturación | Idem |
| Clasificación infracciones | No clasifica | Leves/graves/muy graves |
| Prescripción muy graves | No regulado | 3 años |
| Prescripción graves | No regulado | 2 años |
| Prescripción leves | No regulado | 1 año |
| Administraciones | Multas | Apercibimiento (art. 77) |
| Procedimiento abreviado | No regulado | Sí (art. 64) |
5. DPO obligatorio ampliado (art. 34 LOPDGDD)
Además de los supuestos del art. 37 RGPD, la LOPDGDD obliga a designar DPO en:
- Colegios profesionales y sus consejos generales.
- Centros docentes con enseñanza reglada.
- Entidades del sistema financiero.
- Entidades aseguradoras.
- Empresas de servicios de inversión.
- Distribuidores y comercializadores eléctricos.
- Entidades de prestación de servicios de la sociedad de la información que realicen perfiles de usuarios a gran escala.
- Operadores de juegos de azar.
- Empresas de seguridad privada.
- Federaciones deportivas con datos de menores.
6. Procedimiento sancionador (art. 64 LOPDGDD)
Procedimiento abreviado disponible cuando:
- Hechos claramente probados.
- Reconocimiento de responsabilidad por el infractor.
- Pago voluntario antes de resolución.
Reducción acumulable del 40% (20% reconocimiento + 20% pago). 38% de expedientes 2025 se cerraron por esta vía.
7. Plazos del procedimiento
- Iniciación: 6 meses desde toma de conocimiento.
- Resolución expresa: 12 meses + prórroga máxima 9 meses = 21 meses máximo.
- Notificación: 10 días naturales.
- Recurso reposición: 1 mes.
- Recurso contencioso: 2 meses.
8. Adaptación a la administración española
LOPDGDD adapta el RGPD a la organización española:
- DPO obligatorio en TODAS las administraciones.
- Coordinación con autoridades autonómicas (APDCAT, AVPD).
- Régimen del art. 77 apercibimiento.
- Disposición adicional sobre publicaciones oficiales (DNI truncado).
- Cesiones entre administraciones (Disposición adicional octava).
9. Tratamientos con relevancia interna
- Datos electorales y de denunciantes.
- Sistema de denuncias internas (compliance).
- Tratamientos por fuerzas de seguridad (LO 7/2021).
- Datos de personas fallecidas (art. 3 LOPDGDD).
- Sistemas de información crediticia (art. 20 LOPDGDD: Asnef, Badexcug).
10. Sistemas de información crediticia (art. 20 LOPDGDD)
Regulación específica de Asnef, Badexcug:
- Deuda cierta, vencida, exigible.
- Requerimiento previo fehaciente.
- Conservación máxima 5 años desde vencimiento.
- Notificación al deudor al alta.
- Procedimiento ARCO específico.
11. Tratamiento por entidades religiosas
Disposición adicional decimosexta LOPDGDD regula el tratamiento por confesiones religiosas con acuerdo con el Estado: bautismos, matrimonios, datos de fieles. Régimen específico que se complementa con el RGPD general.
12. Tabla resumen de diferencias
| Materia | RGPD | LOPDGDD |
|---|---|---|
| Edad consentimiento | 13-16 | 14 |
| Derechos digitales | No catálogo | 19 derechos (Título X) |
| Apercibimiento administraciones | No | Sí (art. 77) |
| Procedimiento abreviado | No | Sí (art. 64) |
| DPO ampliado | Art. 37 base | Art. 34 ampliado |
| Sistemas crediticios | No regulado | Art. 20 detallado |
| Personas fallecidas | No regulado | Art. 3 |
| Denuncias internas | No regulado | Art. 24 |
| Tratamientos electorales | No regulado | Disp. ad. quinta |
| Plazos sanción | No regulado | Arts. 72-74 |
FAQ
¿Qué prevalece, RGPD o LOPDGDD?
El RGPD prevalece como norma comunitaria directamente aplicable. La LOPDGDD complementa donde el RGPD permite o exige desarrollo nacional.
¿Por qué la AEPD no multa a los ayuntamientos?
Por el art. 77 LOPDGDD que sustituye la multa por apercibimiento en administraciones públicas.
¿Los derechos digitales son únicos en España?
Sí, el catálogo del Título X LOPDGDD (arts. 79-97) es único en la UE. Otros países han adoptado posteriormente algunos similares.
¿La LOPDGDD añade obligaciones a las del RGPD?
Sí, especialmente en DPO obligatorio ampliado (art. 34), sistemas crediticios (art. 20) y derechos digitales (Título X).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial