La Ley Orgánica 3/2018, de 5 de diciembre, adapta el Derecho español al RGPD (Reglamento UE 2016/679). Su objeto (art. 1) es doble: adaptar el ordenamiento al RGPD y garantizar los derechos digitales. Se aplica a tratamientos automatizados y no automatizados (art. 2). Excluye, con carácter general, a las personas fallecidas, aunque sus herederos y familiares pueden solicitar el acceso, rectificación o supresión de sus datos (art. 3).
El RGPD fija en su artículo 5 los principios: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad, y la responsabilidad proactiva (accountability, art. 5.2). La LOPDGDD los desarrolla:
Son los derechos "ARSOPOL", regulados en los arts. 11 a 18 LOPDGDD remitiendo a los arts. 15-22 RGPD: información/transparencia (art. 11), acceso (art. 13/15 RGPD), rectificación (art. 14/16 RGPD), supresión o "derecho al olvido" (art. 15/17 RGPD), limitación (art. 16/18 RGPD), portabilidad (art. 17/20 RGPD) y oposición y decisiones automatizadas (art. 18/21-22 RGPD). El ejercicio es gratuito (art. 12), salvo solicitudes repetitivas o excesivas. El responsable debe responder en el plazo de un mes (art. 12 RGPD), ampliable a dos meses más.
Publicada en BOJA el 30/06/2014, en vigor desde el 30/06/2015 (vacatio legis de un año). Su objeto (art. 1) es regular la transparencia mediante publicidad activa y derecho de acceso. Principios básicos (art. 6): transparencia, libre acceso, responsabilidad, no discriminación tecnológica, veracidad, utilidad, gratuidad, facilidad y comprensión, accesibilidad, interoperabilidad y reutilización. Reconoce derechos (art. 7: publicidad activa, acceso, resolución motivada, uso libre) y obligaciones (art. 8: buena fe).
La publicidad activa (arts. 9-23) obliga a publicar información institucional, de altos cargos, contratos, convenios, subvenciones y económico-financiera, con actualización trimestral con carácter general. El derecho de acceso (arts. 24-34) lo tienen "todas las personas". El plazo de resolución es de 20 días hábiles, prorrogable por otros 20 (art. 32). Contra la resolución cabe reclamación potestativa ante el Consejo de Transparencia y Protección de Datos de Andalucía (art. 33), autoridad independiente cuya Dirección elige el Parlamento por mayoría absoluta para un mandato de 5 años no renovable (arts. 43-47).
Datos memorizables: 14 años (menor consentimiento); 1 mes (respuesta RGPD); 20 días hábiles + 20 (acceso Andalucía); actualización trimestral; mandato Dirección 5 años; vigor ley andaluza 30/06/2015.
1. ¿De qué fecha es la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)?
La LOPDGDD es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
2. Según el artículo 1 de la LOPDGDD, ¿cuál es el objeto de la ley?
El artículo 1 de la LOPDGDD establece como objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y garantizar los derechos digitales conforme a la Constitución.
3. Conforme al artículo 2 de la LOPDGDD, ¿a qué tratamientos se aplica la ley?
El artículo 2 de la LOPDGDD determina su aplicación a los tratamientos total o parcialmente automatizados de datos y a los tratamientos no automatizados de datos contenidos o destinados a un fichero.
4. Respecto a los datos de las personas fallecidas, ¿qué prevé el artículo 3 de la LOPDGDD?
El artículo 3 de la LOPDGDD permite a los herederos y familiares de personas fallecidas solicitar el acceso, la rectificación o la supresión de los datos del causante, salvo prohibición expresa del fallecido o legal.
5. ¿En qué consiste el principio de exactitud de los datos según el artículo 4 de la LOPDGDD?
El artículo 4 de la LOPDGDD recoge el principio de exactitud: los datos deben ser exactos y actualizados, sin responsabilidad del responsable cuando adoptó medidas razonables y los datos procedían del afectado, un intermediario o un registro público.
6. Según el artículo 5 de la LOPDGDD, el deber de confidencialidad de responsables y encargados:
El artículo 5 de la LOPDGDD establece que el deber de confidencialidad es permanente y subsiste aun después de finalizar la relación con el afectado o con el responsable.
7. Conforme al artículo 6 de la LOPDGDD, ¿cómo debe ser el consentimiento del afectado?
El artículo 6 de la LOPDGDD, en línea con el artículo 4.11 del RGPD, define el consentimiento como una manifestación libre, específica, informada e inequívoca de la voluntad del afectado.
8. Según el artículo 7 de la LOPDGDD, el tratamiento de datos de un menor puede fundarse en su propio consentimiento cuando el menor sea:
El artículo 7 de la LOPDGDD permite fundar el tratamiento en el consentimiento del menor cuando sea mayor de 14 años.
9. ¿Qué exige el artículo 7 de la LOPDGDD para tratar datos de menores de 14 años?
El artículo 7 de la LOPDGDD exige el consentimiento de los titulares de la patria potestad o tutela para tratar datos de menores de 14 años.
10. Según el artículo 8 de la LOPDGDD, el tratamiento de datos por obligación legal o interés público debe ampararse en:
El artículo 8 de la LOPDGDD exige que el tratamiento por obligación legal o interés público se ampare en una norma con rango de ley.
11. En relación con los datos que revelan ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico, el artículo 9 de la LOPDGDD establece que:
El artículo 9 de la LOPDGDD dispone que el solo consentimiento del afectado no basta para levantar la prohibición de tratar datos que revelen ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
12. Según el artículo 10 de la LOPDGDD, el tratamiento de datos relativos a condenas e infracciones penales:
El artículo 10 de la LOPDGDD establece que el tratamiento de datos relativos a condenas e infracciones penales solo puede llevarse a cabo en los supuestos previstos por la ley.
13. El derecho de transparencia del artículo 11 de la LOPDGDD obliga a facilitar al afectado información básica que incluye:
El artículo 11 de la LOPDGDD obliga a facilitar información básica: identidad del responsable, finalidad del tratamiento y forma de ejercer los derechos.
14. Conforme al artículo 12 de la LOPDGDD, el ejercicio de los derechos en materia de protección de datos es, con carácter general:
El artículo 12 de la LOPDGDD, en relación con el artículo 12.5 del RGPD, establece la gratuidad del ejercicio de los derechos salvo solicitudes manifiestamente infundadas o excesivas, por ejemplo repetitivas.
15. Según el artículo 13 de la LOPDGDD, ¿conforme a qué precepto se ejerce el derecho de acceso?
El artículo 13 de la LOPDGDD remite al artículo 15 del RGPD para el ejercicio del derecho de acceso.
16. El derecho de rectificación del artículo 14 de la LOPDGDD exige que el afectado:
El artículo 14 de la LOPDGDD exige que el afectado indique los datos inexactos y la corrección que deba realizarse.
17. El derecho de supresión regulado en el artículo 15 de la LOPDGDD también se conoce como:
El artículo 15 de la LOPDGDD regula el derecho de supresión, también denominado derecho al olvido, que se ejerce conforme al artículo 17 del RGPD.
18. Según el artículo 16 de la LOPDGDD, el derecho de limitación del tratamiento se ejerce conforme a:
El artículo 16 de la LOPDGDD remite al artículo 18 del RGPD para el ejercicio del derecho de limitación del tratamiento.
19. El derecho a la portabilidad de los datos del artículo 17 de la LOPDGDD se ejerce conforme a:
El artículo 17 de la LOPDGDD remite al artículo 20 del RGPD para el ejercicio del derecho a la portabilidad de los datos.
20. Según el artículo 18 de la LOPDGDD, ¿conforme a qué artículos del RGPD se ejercen el derecho de oposición y las decisiones individuales automatizadas?
El artículo 18 de la LOPDGDD remite a los artículos 21 y 22 del RGPD para el derecho de oposición y las decisiones individuales automatizadas.
21. El Reglamento (UE) 2016/679, al que la LOPDGDD adapta el ordenamiento español, se conoce con las siglas:
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, es el Reglamento General de Protección de Datos (RGPD).
22. ¿De qué fecha es el Reglamento (UE) 2016/679 (RGPD) al que se adapta la LOPDGDD?
El RGPD es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
23. Según la Ley Orgánica 3/2018, ¿qué características debe reunir el consentimiento del afectado para el tratamiento de sus datos personales?
El consentimiento del afectado debe ser una manifestación libre, específica, informada e inequívoca de su voluntad, conforme al artículo 6 de la LO 3/2018 y al artículo 4.11 del RGPD. No basta el silencio ni una autorización genérica.
24. Conforme a la Ley Orgánica 3/2018, ¿a partir de qué edad puede el tratamiento de datos de un menor fundarse en su propio consentimiento?
Según el artículo 7 de la LO 3/2018, el tratamiento de datos personales de un menor solo puede fundarse en su consentimiento cuando sea mayor de 14 años; por debajo de esa edad se requiere el consentimiento de los titulares de la patria potestad o tutela.
25. En relación con el deber de confidencialidad de responsables y encargados del tratamiento, la Ley Orgánica 3/2018 establece que dicho deber:
El artículo 5 de la LO 3/2018 dispone que el deber de confidencialidad de responsables y encargados es permanente y subsiste aun después de finalizar la relación con el afectado o con el responsable.
26. Respecto al principio de exactitud de los datos, la Ley Orgánica 3/2018 señala que el responsable no incurre en responsabilidad cuando:
El artículo 4 de la LO 3/2018 obliga a que los datos sean exactos y actualizados, pero exime de responsabilidad al responsable si adoptó medidas razonables y los datos procedían del afectado, un intermediario o un registro público.
27. El Reglamento (UE) 2016/679 (RGPD) establece que los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento. ¿A qué principio corresponde esta exigencia?
El principio de minimización de datos del artículo 5.1.c) del RGPD exige que los datos sean adecuados, pertinentes y limitados a lo necesario. No debe confundirse con la limitación de la finalidad (art. 5.1.b) ni con la integridad y confidencialidad (art. 5.1.f).
28. El artículo 5.2 del RGPD recoge el principio de responsabilidad proactiva (accountability). ¿En qué consiste dicho principio?
El principio de responsabilidad proactiva o accountability del artículo 5.2 del RGPD impone que el responsable del tratamiento cumpla los principios establecidos y sea capaz de demostrar dicho cumplimiento.
29. Un compañero le pregunta cuál es la fecha exacta de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales que estudia para la oposición. ¿Qué fecha debe indicarle?
La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), es de fecha 5 de diciembre de 2018.
30. En una sesión formativa preguntan cuál es la finalidad u objeto de la LOPDGDD. ¿Cuál de las siguientes respuestas es correcta?
El objeto de la LOPDGDD es adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y garantizar los derechos digitales conforme a la Constitución.
31. En un centro del SAS se gestionan, por un lado, una base de datos informatizada de pacientes y, por otro, unos archivos en papel ordenados que están destinados a integrarse en un fichero. Un celador pregunta a cuáles de esos tratamientos se aplica la LOPDGDD. ¿Qué respuesta es correcta?
La LOPDGDD se aplica a los tratamientos total o parcialmente automatizados de datos y a los tratamientos no automatizados de datos contenidos o destinados a un fichero.
32. Tras el fallecimiento de un paciente, sus hijos solicitan al centro el acceso y la rectificación de los datos del causante. No consta prohibición expresa del fallecido ni prohibición legal. ¿Cómo debe procederse conforme a la LOPDGDD?
Los herederos y familiares de personas fallecidas pueden solicitar el acceso, la rectificación o la supresión de los datos del causante, salvo prohibición expresa del fallecido o legal.
33. Un responsable de tratamiento adoptó medidas razonables para mantener actualizados los datos, que procedían directamente del propio afectado, pero pese a ello uno resulta inexacto. ¿Qué consecuencia tiene conforme al principio de exactitud de la LOPDGDD?
El principio de exactitud obliga a que los datos sean exactos y actualizados; el responsable no incurre en responsabilidad si adoptó medidas razonables y los datos procedían del afectado, un intermediario o un registro público.
34. Un trabajador que ha tratado datos personales finaliza su relación laboral con el responsable y entiende que ya puede comentar libremente la información a la que accedió. ¿Es correcto conforme a la LOPDGDD?
El deber de confidencialidad de responsables y encargados es permanente y subsiste aun después de finalizar la relación con el afectado o con el responsable.
35. Una entidad obtiene un consentimiento mediante una casilla premarcada y una redacción genérica que no concreta para qué se usarán los datos. Un afectado reclama. ¿Por qué no es válido ese consentimiento según la LOPDGDD?
El consentimiento del afectado debe ser una manifestación libre, específica, informada e inequívoca de su voluntad.