La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) regula el tratamiento de datos en España desde 2018. Aplica a todas las empresas que recojan, almacenen o procesen información identificable de personas físicas. Cumplir con ella evita sanciones de hasta 20 millones de euros o el 4 % de la facturación anual global. Su base legal es el Reglamento General de Protección de Datos (RGPD) de la UE, pero incorpora matices nacionales clave.
¿Qué obligaciones impone la LOPDGDD a las pymes?
Las pequeñas y medianas empresas deben designar un delegado de protección de datos (DPD) si procesan datos a gran escala o manejan categorías especiales como salud o ideología. No todas están obligadas, pero sí deben cumplir con principios como la licitud, lealtad y transparencia.
El consentimiento debe ser explícito, informado y revocable. Las empresas deben mantener registros de actividades de tratamiento y realizar evaluaciones de impacto cuando el riesgo sea alto.
¿Cuándo es obligatorio el delegado de protección de datos?
- Cuando el tratamiento sea llevado a cabo por una autoridad pública.
- Cuando las actividades principales requieran vigilancia sistemática y a gran escala de personas.
- Cuando se traten categorías especiales de datos (origen racial, salud, orientación sexual, etc.).
¿Qué sanciones prevé la ley por incumplimiento?
La Agencia Española de Protección de Datos (AEPD) clasifica las infracciones en leves, graves y muy graves. Una infracción muy grave puede derivar en multas de hasta 20 millones de euros o el 4 % de la facturación anual global, lo que sea mayor.
En 2025, la AEPD sancionó a 147 empresas por fallos en el registro de actividades, ausencia de cláusulas de encargado de tratamiento o consentimientos inválidos. El 68 % de las multas afectó a pymes por falta de formación interna y documentación deficiente.
¿Cómo afecta la LOPDGDD al comercio electrónico?
Las tiendas online deben incluir políticas de privacidad claras y accesibles. Los formularios de contacto y suscripción requieren casillas de consentimiento separadas para cada finalidad (marketing, análisis, etc.).
La cookies policy debe cumplir con la Directiva de Privacidad y Comunicaciones Electrónicas. No basta con un banner genérico: se exige información específica sobre tipos de cookies, duración y terceros implicados.
¿Qué cambios introdujo la reforma de 2025 en la LOPDGDD?
En marzo de 2025, se actualizó el Real Decreto 1720/2007 para alinearla con la jurisprudencia del Tribunal de Justicia de la UE. Se reforzó el deber de información proactiva ante brechas de seguridad y se amplió la obligación de notificación a la AEPD en menos de 72 horas.
También se introdujeron nuevas directrices sobre el uso de inteligencia artificial en el tratamiento automatizado de datos personales, exigiendo evaluaciones de sesgo y explicabilidad en decisiones algorítmicas.
¿Qué datos clave debe conocer tu empresa hoy?
- La LOPDGDD y el RGPD son normas de aplicación directa y vinculante.
- El consentimiento no es la única base legal: también valen el interés legítimo, el cumplimiento de obligaciones legales o la ejecución de un contrato.
- Las empresas deben revisar sus contratos con proveedores para incluir cláusulas de encargado de tratamiento.
- El registro de actividades de tratamiento ya no es opcional: es obligatorio para empresas con más de 250 empleados o que realicen tratamientos de riesgo.
- La AEPD publica anualmente un Informe Anual de Actividad, con estadísticas de sanciones y buenas prácticas actualizadas.
Datos Clave
- La AEPD impuso 147 sanciones en 2025, un 12 % más que en 2024.
- El 68 % de las multas afectó a pymes por falta de documentación y formación interna.
- El plazo máximo para notificar una brecha de seguridad a la AEPD es de 72 horas.
- El consentimiento para marketing debe ser explícito, separado y revocable en cualquier momento.
- Las empresas con más de 250 empleados deben mantener un registro de actividades de tratamiento actualizado.
