Tema 11: Protección de Datos

Tema 11 cubre la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el ordenamiento español al RGPD (Reglamento UE 2016/679) y añade el Título X de derechos digitales. La ley tiene 97 artículos (más art. 53 bis) repartidos en diez títulos y un cierre denso de disposiciones adicionales.

Peso en examen

Medio. La AEPD reserva 2-3 preguntas por convocatoria a esta materia (~2-3 % del bloque conocimientos), pero su rendimiento por hora estudiada es alto porque los artículos clave son cortos y muy literales.

Artículos estrella

Por frecuencia en convocatorias reales 2020-2025 y banco de preguntas: Art. 32 (bloqueo, 3 sellos), Art. 49 (Consejo Consultivo, 4 sellos), Art. 65 (admisión reclamaciones, 3 sellos), Art. 34 (DPD obligatorio, 2 sellos), Art. 44 (naturaleza AEPD, 2 sellos), Art. 69 (medidas provisionales, 2 sellos), Art. 22 (videovigilancia, 3 preguntas banco) y Art. 13 (derecho de acceso, 4 preguntas banco). Complementarios fuertes: arts. 5, 7, 20.1.d), 48, 72-74, 78, 84.2, 96.

Qué pesa más

Tres bloques concentran la mayoría de las preguntas: (1) AEPD y procedimiento sancionador (arts. 44-69), (2) régimen sancionador y prescripción (arts. 70-78) y (3) derechos digitales del Título X (arts. 79-97). El bloque de derechos del afectado (arts. 11-18) cayó completo en convocatoria 2022.

Título I — Disposiciones generales (arts. 1-3)

• Art. 1 LOPDGDD — Objeto. Doble finalidad: (a) adaptar el ordenamiento español al RGPD y completar sus disposiciones; (b) garantizar los derechos digitales de la ciudadanía conforme al art. 18.4 CE.
• Art. 2 LOPDGDD — Ámbito de aplicación. Aplica a tratamientos total o parcialmente automatizados y a tratamientos no automatizados de ficheros. NO aplica a: (a) tratamientos excluidos del RGPD por su art. 2.2; (b) datos de personas fallecidas (salvo lo del art. 3); (c) tratamientos sometidos a la normativa sobre protección de materias clasificadas.
• Art. 3 LOPDGDD — Datos de las personas fallecidas. (Sello 2022.) Pueden acceder, rectificar o suprimir los datos: (1) personas vinculadas por razones familiares o de hecho; (2) herederos; (3) personas o instituciones designadas expresamente por el fallecido. Excepción: el causante puede haberlo prohibido expresamente. En caso de fallecimiento de menores: representantes legales o Ministerio Fiscal.

Título II — Principios de protección de datos (arts. 4-10)

• Art. 4 LOPDGDD — Exactitud de los datos. No será imputable la inexactitud al responsable cuando los datos: (a) los recibió directamente del afectado; (b) los recibió de un mediador/intermediario habilitado; (c) los recibió de otro responsable por derecho a la portabilidad; (d) los obtuvo de un registro público.
• Art. 5 LOPDGDD — Deber de confidencialidad. (2 preguntas banco.) Responsables, encargados y todas las personas que intervengan en cualquier fase del tratamiento están sujetas al deber de confidencialidad del art. 5.1.f) RGPD. La obligación es complementaria de los deberes de secreto profesional. Y — clave — se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado.
• Art. 6 LOPDGDD — Tratamiento basado en el consentimiento. Por consentimiento se entiende toda manifestación de voluntad libre, específica, informada e inequívoca mediante declaración o clara acción afirmativa. Si se trata para varias finalidades, debe constar de manera específica e inequívoca para todas. No se puede supeditar el contrato al consentimiento para finalidades no vinculadas al contrato.
• Art. 7 LOPDGDD — Consentimiento de los menores de edad. (Sello 2022.) El menor puede consentir por sí mismo cuando sea mayor de catorce años. Por debajo, solo es lícito si consta el del titular de la patria potestad o tutela.
• Art. 8 LOPDGDD — Obligación legal, interés público, poderes públicos. Solo si lo prevé una norma de Derecho UE o una norma con rango de ley. Para interés público o poderes públicos: solo cuando derive de una competencia atribuida por una norma con rango de ley.
• Art. 9 LOPDGDD — Categorías especiales de datos. A efectos del art. 9.2.a) RGPD, el solo consentimiento del afectado no bastará para levantar la prohibición cuando la finalidad principal sea identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
• Art. 10 LOPDGDD — Datos de naturaleza penal. Solo amparados en norma UE, en esta ley orgánica o en otra norma con rango legal. Fuera de los supuestos generales, solo abogados y procuradores pueden tratarlos para sus funciones.

Título III — Derechos de las personas (arts. 11-18)

• Art. 11 LOPDGDD — Transparencia e información. Cumple facilitando información básica + dirección electrónica de acceso. Si los datos no vienen del afectado, la básica incluye categorías y fuentes.
• Art. 12 LOPDGDD — Disposiciones generales sobre ejercicio. Los titulares de la patria potestad pueden ejercitar derechos en nombre de menores de catorce años. Las actuaciones son gratuitas, salvo las excepciones del art. 12.5 y 15.3 RGPD.
• Art. 13 LOPDGDD — Derecho de acceso. (Sello 2022; 4 preguntas banco.) Si el responsable trata gran cantidad de datos, puede pedir al afectado que especifique. El derecho se entiende otorgado mediante sistema de acceso remoto, directo y seguro que garantice acceso permanente a la totalidad. Se considera repetitivo el ejercicio en más de una ocasión durante el plazo de seis meses, salvo causa legítima.


EJEMPLO PRÁCTICO — Art. 13 LOPDGDD

Saber qué datos guarda una antigua empresa

Lucía, traductora autónoma de 35 años, terminó su contrato con una gestoría hace dos años. Acaba de descubrir que sigue recibiendo comunicaciones internas que solo se enviarían a empleados activos, y sospecha que la empresa conserva información personal suya sin justificación. Quiere saber qué datos exactos siguen en sus sistemas, con qué finalidad y a quién se los han comunicado, antes de decidir si ejerce otros derechos.

El distractor habitual en el examen es el derecho de petición: figura en el art. 29 CE pero no está entre los seis derechos de los arts. 13-18 LOPDGDD (acceso, rectificación, supresión, limitación, portabilidad y oposición).

El art. 13.1 LOPDGDD remite al art. 15 del Reglamento (UE) 2016/679: el responsable debe facilitar al afectado copia de los datos personales objeto de tratamiento, junto con la información sobre fines, categorías, destinatarios y plazos de conservación.

• Art. 14 LOPDGDD — Derecho de rectificación. (Sello 2022.) El afectado debe indicar a qué datos se refiere y la corrección que debe realizarse, acompañando documentación justificativa de la inexactitud o carácter incompleto.
• Art. 15 LOPDGDD — Derecho de supresión. (Sello 2022.) Si la supresión deriva del derecho de oposición (art. 21.2 RGPD), el responsable podrá conservar los datos identificativos necesarios para impedir tratamientos futuros para fines de mercadotecnia directa.


EJEMPLO PRÁCTICO — Art. 15 LOPDGDD

Borrar un perfil antiguo de un foro

Javier, ingeniero informático de 42 años, descubre que un foro temático en el que participó hace diez años aún muestra su nombre completo asociado a comentarios que ya no le representan. Los mensajes aparecen al buscar su nombre en internet y le están perjudicando profesionalmente. Quiere que el gestor del foro elimine sus datos personales y, si es posible, también su rastro en los buscadores que indexan esa página.

Distinguir supresión (art. 15) de bloqueo (art. 32): suprimido no equivale a destruido. El responsable conserva los datos identificativos bloqueados durante el plazo de prescripción para responder ante jueces, Ministerio Fiscal o AAPP competentes.

El art. 15.1 LOPDGDD remite al art. 17 RGPD (derecho al olvido). Cuando la supresión derive del derecho de oposición del art. 21.2 RGPD, el responsable podrá conservar los datos identificativos del afectado necesarios para impedir tratamientos futuros para fines de mercadotecnia directa.

• Art. 16 LOPDGDD — Limitación del tratamiento. (Sello 2022.) La limitación debe constar claramente en los sistemas de información del responsable.
• Art. 17 LOPDGDD — Portabilidad. (Sello 2022.) Se ejerce conforme al art. 20 RGPD.


EJEMPLO PRÁCTICO — Art. 17 LOPDGDD

Llevarse los datos al cambiar de banco

Carlos, comercial de 38 años en Valencia, decide cerrar su cuenta en el banco con el que trabaja desde hace doce años y abrir otra en una nueva entidad. Antes de cancelar la antigua, pide a su banco que le entregue un archivo estructurado con todos los movimientos, recibos domiciliados y datos de identificación que él mismo aportó a lo largo de la relación, para incorporarlos sin pérdida de historial al nuevo proveedor.

La portabilidad solo cubre datos que el afectado haya aportado y que el responsable trate de forma automatizada por consentimiento o ejecución de contrato. No alcanza tratamientos basados en interés legítimo ni en obligación legal; ese es el distractor habitual.

El art. 17 LOPDGDD remite al art. 20 RGPD: el afectado tiene derecho a recibir sus datos en formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que el primero pueda impedirlo.

• Art. 18 LOPDGDD — Oposición. (Sello 2022.) Incluye los derechos sobre decisiones individuales automatizadas y perfiles (arts. 21 y 22 RGPD).

Título IV — Disposiciones aplicables a tratamientos concretos (arts. 19-27)

• Art. 19 LOPDGDD — Datos de contacto profesional. Se presume amparado en interés legítimo (art. 6.1.f RGPD) el tratamiento de datos de contacto de personas físicas que presten servicios en una persona jurídica.
• Art. 20 LOPDGDD — Sistemas de información crediticia. (Sello 2022.) Salvo prueba en contrario, se presumirá lícito el tratamiento de datos de incumplimiento de obligaciones dinerarias si: deudas ciertas, vencidas y exigibles; sin reclamación; el acreedor informó al deudor; los datos solo permanecen mientras persista el incumplimiento, con límite máximo de cinco años desde el vencimiento; consulta restringida; deber del acreedor de notificar al afectado dentro de los treinta días siguientes. DA 6.ª: no se incorporan deudas inferiores a cincuenta euros.
• Art. 21 LOPDGDD — Operaciones mercantiles. Tratamientos lícitos en operaciones de modificación estructural societaria, aportación o transmisión de negocio si son necesarios y garantizan continuidad.
• Art. 22 LOPDGDD — Videovigilancia. (3 preguntas banco.) Finalidad: preservar la seguridad de las personas y bienes, así como de sus instalaciones. Datos suprimidos en el plazo máximo de un mes desde su captación. Si se conservan para acreditar actos contra la integridad de personas, bienes o instalaciones, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas. Información cumplida mediante dispositivo informativo visible. Excluida la captación del interior del propio domicilio. Las cámaras de FCS se rigen por la Directiva (UE) 2016/680. Empleo: art. 89 LOPDGDD.


EJEMPLO PRÁCTICO — Art. 22 LOPDGDD

Cámaras de seguridad en una tienda de barrio

Ana, copropietaria de una pequeña tienda de alimentación en un barrio de Sevilla, ha instalado tres cámaras orientadas al interior y una más que apunta hacia la entrada y un breve tramo de acera. Tras un robo el mes pasado quiere conservar las imágenes el máximo tiempo posible, y un cliente habitual le ha preguntado en voz alta cuánto tiempo puede tener esas grabaciones guardadas y a quién se las puede entregar.

Plazo: un mes máximo desde la captación, salvo conservación para acreditar actos contra personas o bienes; en tal caso, entrega a la autoridad competente en 72 horas. Confundirlo con la LO 4/1997 (videovigilancia policial) es trampa frecuente.

El art. 22.3 LOPDGDD impone suprimir las imágenes en un mes desde su captación, salvo conservación para acreditar actos contra personas, bienes o instalaciones; en tal caso, se entregan a la autoridad competente en 72 horas.

• Art. 23 LOPDGDD — Exclusión publicitaria. Las entidades responsables comunican a la autoridad competente; la autoridad publica relación; el responsable de mercadotecnia directa debe consultar el sistema.
• Art. 24 LOPDGDD — Informantes de infracciones. Tratamiento lícito conforme a la Ley reguladora de la protección de los informantes.
• Art. 25 LOPDGDD — Función estadística pública. Sujeta a su legislación específica; las solicitudes ex arts. 15-22 RGPD pueden denegarse si los datos están amparados por el secreto estadístico.
• Art. 26 LOPDGDD — Archivo en interés público. Por Administraciones, conforme a la Ley 16/1985 del Patrimonio Histórico y normativa de archivos.
• Art. 27 LOPDGDD — Infracciones y sanciones administrativas. Exige: (a) responsabilidad del órgano competente; (b) limitación a datos estrictamente necesarios.

Título V — Responsable y encargado del tratamiento (arts. 28-39)

• Art. 28 LOPDGDD — Obligaciones generales. Determinan medidas técnicas y organizativas teniendo en cuenta mayores riesgos: discriminación, fraude, perfilado, vulnerabilidad (menores, discapacidad), tratamiento masivo, transferencias internacionales sin protección adecuada.
• Art. 29 LOPDGDD — Corresponsabilidad. Se determinan responsabilidades atendiendo a actividades efectivamente desarrolladas.
• Art. 30 LOPDGDD — Representantes no UE. AEPD puede imponer solidariamente al representante las medidas previstas en el RGPD, sin perjuicio de la responsabilidad del propio responsable o encargado.
• Art. 31 LOPDGDD — Registro de actividades. Obligatorio salvo excepción del art. 30.5 RGPD. Los del art. 77.1 publican inventario electrónico.
• Art. 32 LOPDGDD — Bloqueo de los datos. (Sellos 2020 + 2021 + 2022.) El responsable está obligado a bloquear los datos cuando proceda a su rectificación o supresión. Bloqueo = identificación y reserva de los mismos, adoptando medidas técnicas y organizativas para impedir su tratamiento, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular las autoridades de protección de datos, y solo por el plazo de prescripción. Tras ese plazo: destrucción. La AEPD puede fijar excepciones cuando la conservación implique riesgo elevado o coste desproporcionado.


EJEMPLO PRÁCTICO — Art. 32 LOPDGDD

Datos bloqueados tras una supresión solicitada

María, comerciante jubilada de 50 años, solicitó hace tres meses a su antigua aseguradora la supresión de todos sus datos personales tras cancelar la póliza. Acaba de recibir una carta confirmándole que la cancelación se ha aplicado, pero indicando que la entidad conservará sus datos bloqueados hasta que prescriban las posibles responsabilidades. María no entiende por qué, si pidió la supresión, los datos siguen existiendo en algún archivo de la compañía.

El examen ha repetido tres veces (2020, 2021, 2022) la misma pregunta literal: el responsable está obligado a bloquear los datos cuando proceda a su…. La respuesta es rectificación o supresión; nunca portabilidad, acceso ni oposición.

El art. 32.2 LOPDGDD define bloqueo como identificación y reserva de los datos con medidas técnicas y organizativas que impiden su tratamiento, salvo puesta a disposición de jueces, Ministerio Fiscal o AAPP competentes durante el plazo de prescripción.

• Art. 33 LOPDGDD — Encargado del tratamiento. El acceso no se considera comunicación. Tendrá la consideración de responsable (no encargado) quien actúe en su propio nombre. Al finalizar la prestación: destrucción, devolución o entrega a nuevo encargado.
• Art. 34 LOPDGDD — Designación obligatoria del DPD. (Sellos 2020 + 2022.) Obligatorio para colegios profesionales, centros educativos (incluidas Universidades), operadores telco a gran escala, prestadores SSI con perfiles a gran escala, entidades de crédito, financieros de crédito, aseguradoras, empresas de servicios de inversión, comercializadores eléctricos y gasistas, ficheros de solvencia y fraude, publicidad/prospección con perfiles, centros sanitarios (no profesionales a título individual), informes comerciales, juego online, empresas de seguridad privada, federaciones deportivas con menores. Designación voluntaria también admitida. Plazo de comunicación a AEPD: diez días.
• Art. 35 LOPDGDD — Cualificación del DPD. Se acredita mediante mecanismos voluntarios de certificación con titulación universitaria.
• Art. 36 LOPDGDD — Posición del DPD. Interlocutor con AEPD. No removible ni sancionable salvo dolo o negligencia grave. Cuando aprecie vulneración relevante: documentarlo y comunicarlo inmediatamente a la dirección.
• Art. 37 LOPDGDD — Reclamación con DPD. (Sello 2024.) El afectado puede dirigirse al DPD con carácter previo. Plazo de respuesta del DPD al afectado: dos meses desde la recepción. Si AEPD remite al DPD: plazo de un mes.
• Art. 38 LOPDGDD — Códigos de conducta. (Sellos 2024.) Vinculantes para quienes se adhieran. Pueden dotarse de mecanismos de resolución extrajudicial. Aprobados por AEPD o autoridad autonómica. Sometidos al mecanismo de coherencia del Comité Europeo cuando proceda.
• Art. 39 LOPDGDD — Acreditación de instituciones de certificación. Puede llevarla a cabo la Entidad Nacional de Acreditación (ENAC).

Título VI — Transferencias internacionales (arts. 40-43)

• Art. 40 LOPDGDD — Régimen general. Sujeto al Capítulo V RGPD.
• Art. 41 LOPDGDD — Decisiones AEPD. Adopción de decisiones de adecuación, cláusulas tipo, normas corporativas vinculantes y excepciones.
• Art. 42 LOPDGDD — Autorización previa. Cuando el RGPD exija autorización de la autoridad de control.
• Art. 43 LOPDGDD — Información previa. Cuando se basen en garantías adecuadas no previstas en una decisión de adecuación.

Título VII — Autoridades de protección de datos (arts. 44-62)

• Art. 44 LOPDGDD — Naturaleza AEPD. (Sellos 2021 + 2022.) La AEPD es una autoridad administrativa independiente de ámbito estatal, prevista en la Ley 40/2015, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos. Denominación oficial: «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente». Se relaciona con el Gobierno a través del Ministerio de Justicia. Es representante común en el Comité Europeo de Protección de Datos.
• Art. 45 LOPDGDD — Régimen jurídico. (Sello 2025.) RGPD + LOPDGDD + desarrollo. Supletoriamente, art. 110.1 Ley 40/2015. Gobierno aprueba el Estatuto por real decreto a propuesta de AEPD.
• Art. 46 LOPDGDD — Régimen económico y de personal. Presupuesto integrado con independencia. Personal funcionario o laboral. Control de la IGAE.
• Art. 47 LOPDGDD — Funciones y potestades. Las del art. 57 (funciones) y 58 (potestades) RGPD.
• Art. 48 LOPDGDD — Presidencia AEPD. (Sello 2021.) Ostenta representación, dicta resoluciones y circulares. Auxiliada por un Adjunto. Nombrados por el Gobierno a propuesta del Ministerio de Justicia, previa evaluación por el Congreso, ratificación por la Comisión de Justicia por tres quintos en primera votación o mayoría absoluta en segunda. Mandato de cinco años, renovable por otro período de igual duración. Cese: incumplimiento grave, incapacidad sobrevenida, incompatibilidad, condena firme por delito doloso. Recursos: directamente ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.
• Art. 49 LOPDGDD — Consejo Consultivo. (Sellos 2020 + 2021 + 2023 + 2025.) Órgano de asesoramiento de la Presidencia AEPD. Composición fija de 16 miembros más los representantes autonómicos (uno por cada Comunidad Autónoma con autoridad propia): un Diputado (Congreso), un Senador (Senado), un representante del CGPJ, un representante de la AGE (Ministro de Justicia), expertos propuestos por FEMP, Consejo de Consumidores, organizaciones empresariales (dos), profesionales de la privacidad, organismos de supervisión de códigos de conducta, CRUE, colegios profesionales, profesionales de seguridad de la información, Consejo de Transparencia y dos por organizaciones sindicales. Nombrados por orden del Ministro de Justicia. Se reúne, en todo caso, una vez al semestre. Sus decisiones NO tendrán en ningún caso carácter vinculante.
• Art. 50 LOPDGDD — Publicidad. Resoluciones publicadas conforme al Estatuto.
• Art. 51 LOPDGDD — Investigación AEPD. (Sello 2023.) Actuaciones por funcionarios AEPD o ajenos habilitados. Tendrán la consideración de agentes de la autoridad y están obligados a guardar secreto, incluso después de cesar.
• Art. 52 LOPDGDD — Deber de colaboración. Administraciones y particulares obligados a proporcionar datos, informes y justificantes. Posibilidad de recabar datos de operadores telco y prestadores SSI para identificación del responsable de la conducta.
• Art. 53 LOPDGDD — Alcance de la investigación. Inspección, requerimiento, examen, copia. Domicilio constitucionalmente protegido requiere consentimiento o autorización judicial.
• Art. 53 bis LOPDGDD — Investigación digital. Por videoconferencia con conformidad del inspeccionado. Vigor desde mayo de 2023.
• Art. 54 LOPDGDD — Planes de auditoría. Acordados por la Presidencia AEPD. Las directrices son de obligado cumplimiento.
• Art. 55 LOPDGDD — Circulares. Obligatorias una vez publicadas en BOE.
• Art. 56 LOPDGDD — Acción exterior. (Sello 2023.) AEPD ejerce las funciones de acción exterior en materia de protección de datos. Participa en organizaciones internacionales y representa al Estado en el Comité Europeo (art. 68.4 RGPD).
• Art. 57 LOPDGDD — Autoridades autonómicas. Competencias en tratamientos del sector público autonómico/local o ejercicio de funciones públicas autonómicas. Pueden dictar circulares.
• Art. 58 LOPDGDD — Cooperación institucional. AEPD convoca a las autoridades autonómicas. Reuniones semestrales en todo caso.
• Art. 59 LOPDGDD — Tratamientos contrarios al RGPD. Requerimiento de la AEPD a la autoridad autonómica con plazo de un mes.
• Arts. 60-62 LOPDGDD — Coordinación. Comunicaciones con el Comité Europeo por conducto de AEPD; intervención en tratamientos transfronterizos; resolución de conflictos del art. 65 RGPD.

Título VIII — Procedimientos (arts. 63-69)

• Art. 63 LOPDGDD — Régimen jurídico. (Sello 2022.) Procedimientos ante AEPD: arts. 15-22 RGPD + investigación de infracciones. Subsidiariamente, normas generales de procedimiento administrativo. Desarrollo por real decreto del Gobierno.
• Art. 64 LOPDGDD — Iniciación y duración. (Sello 2024.) Procedimiento sobre arts. 15-22 RGPD: plazo de seis meses; transcurrido, se entiende estimada la reclamación. Procedimiento sancionador: duración máxima de doce meses a contar desde el acuerdo de inicio; caducidad y archivo. Procedimiento de apercibimiento: seis meses. Plazos automáticamente suspendidos cuando se solicite pronunciamiento de la UE o de otra autoridad nacional.
• Art. 65 LOPDGDD — Admisión a trámite. (Sellos 2020 + 2022 + 2024.) AEPD inadmite cuando: no versen sobre protección de datos, carezcan de fundamento, sean abusivas o no aporten indicios. Puede inadmitir si el responsable adoptó medidas correctivas previa advertencia. Posibilidad de remitir al DPD o al organismo de supervisión del código de conducta — el responsable sin DPD ni código debe responder en un mes. Notificación al reclamante en tres meses; transcurrido, se entiende que prosigue la tramitación.


EJEMPLO PRÁCTICO — Art. 65 LOPDGDD

Reclamar a la AEPD por silencio de una empresa

Miguel, profesor de instituto de 42 años, ejerció hace dos meses su derecho de acceso ante una empresa de comercio electrónico para conocer qué datos suyos seguían en sus sistemas tras un pedido fallido. La empresa no le ha contestado. Tras consultar el formulario de reclamación en la sede electrónica, prepara la documentación para presentar reclamación ante la Agencia Española de Protección de Datos, sabiendo que esta evaluará primero si la admite a trámite.

El examen 2020 preguntó cuándo inadmite la AEPD: la opción correcta fue en cualquiera de los casos anteriores, no uno solo. Y el plazo de notificación de la decisión es tres meses (examen 2022), no uno.

El art. 65.2 LOPDGDD permite a la AEPD inadmitir reclamaciones que no versen sobre protección de datos, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de infracción. Antes de resolver, el art. 65.4 permite remitir la reclamación al delegado de protección de datos.

• Art. 66 LOPDGDD — Alcance territorial. AEPD examina su competencia previamente.
• Art. 67 LOPDGDD — Actuaciones previas. Pueden anteceder al acuerdo de inicio. No podrán tener una duración superior a dieciocho meses desde el acuerdo de admisión o de iniciación de oficio.
• Art. 68 LOPDGDD — Acuerdo de inicio sancionador. Corresponde a la Presidencia de la AEPD. Concreta hechos, identificación, infracción y sanción posible.
• Art. 69 LOPDGDD — Medidas provisionales. (Sellos 2023 + 2024.) Durante actuaciones previas o procedimiento sancionador, AEPD puede acordar motivadamente medidas previstas en art. 66.1 RGPD, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado. Si la continuación causa menoscabo grave: orden de bloqueo + cesación de tratamiento + inmovilización si se incumple.

Título IX — Régimen sancionador (arts. 70-78)

• Art. 70 LOPDGDD — Sujetos responsables. Responsables, encargados, representantes (no UE), entidades de certificación, entidades acreditadas de supervisión. El DPD NO está sujeto al régimen sancionador.
• Art. 71 LOPDGDD — Infracciones. Las del art. 83.4, 5 y 6 RGPD + las contrarias a esta LO.
• Art. 72 LOPDGDD — Muy graves. Prescribirán a los tres años. Incluyen: vulneración de principios del art. 5 RGPD; tratamiento sin licitud; consentimiento inválido; finalidad incompatible; categorías especiales sin amparo; datos penales fuera de los supuestos; omisión del deber de informar; vulneración del deber de confidencialidad; cobro de canon indebido; obstaculización o la no atención reiterada de los derechos arts. 15-22 RGPD; transferencia internacional sin garantías; incumplimiento de resoluciones AEPD; incumplimiento del bloqueo; obstrucción a la función inspectora; reidentificación deliberada.
• Art. 73 LOPDGDD — Graves. (Cobertura banco fuerte.) Prescribirán a los dos años. Incluyen: tratamiento de menor sin consentimiento; falta de verificación; obstaculización de derechos cuando se identificó; ausencia de medidas técnicas/organizativas; falta de seguridad; ausencia de representante UE; contratación de encargado sin garantías; sin contrato escrito; subcontratación sin autorización; ausencia de registro de actividades; falta de cooperación; sin valoración previa; incumplimiento de notificación de violación al responsable, a la AEPD (art. 33 RGPD) o al afectado (art. 34 RGPD); sin evaluación de impacto; sin consulta previa; sin DPD obligatorio; uso de sello no acreditado.
• Art. 74 LOPDGDD — Leves. Prescribirán al año. Restantes infracciones formales de los apartados 4 y 5 del art. 83 RGPD: defectos de transparencia, canon excesivo, notificación incompleta, no publicar datos de contacto del DPD, etc.
• Art. 75 LOPDGDD — Interrupción. La iniciación del procedimiento sancionador con conocimiento del interesado interrumpe la prescripción. Reinicio si paralizado más de seis meses por causa no imputable al infractor.
• Art. 76 LOPDGDD — Sanciones y medidas correctivas. Sanciones del art. 83.4-6 RGPD. Criterios adicionales: carácter continuado, vinculación con tratamientos, beneficios obtenidos, fusión por absorción, afectación a menores, DPD voluntario, sometimiento voluntario a resolución de conflictos. Publicación en BOE si sanción superior a un millón de euros y persona jurídica.
• Art. 77 LOPDGDD — Régimen aplicable a Administraciones. Aplicable a órganos constitucionales, AGE, CCAA, EELL, organismos públicos, autoridades administrativas independientes, Banco de España, corporaciones de Derecho público, fundaciones del sector público, Universidades Públicas, consorcios, grupos parlamentarios y políticos locales. NO se imponen multas económicas. Se dicta resolución declarando la infracción + medidas + propuesta de actuaciones disciplinarias. Comunicación al Defensor del Pueblo.
• Art. 78 LOPDGDD — Prescripción de sanciones. Sanciones iguales o inferiores a 40.000 €: prescriben en un año. Entre 40.001 € y 300.000 €: dos años. Superiores a 300.000 €: tres años. Cómputo desde día siguiente a que sea ejecutable la resolución.

Título X — Derechos digitales (arts. 79-97)

• Art. 79 LOPDGDD — Derechos en la Era digital. Los derechos constitucionales y los Tratados son plenamente aplicables en Internet.
• Art. 80 LOPDGDD — Neutralidad de Internet. Los proveedores proporcionarán una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.
• Art. 81 LOPDGDD — Acceso universal a Internet. Acceso independientemente de condición personal, social, económica o geográfica. Atención a brecha de género, brecha generacional y entornos rurales.
• Art. 82 LOPDGDD — Seguridad digital. Los proveedores informarán a los usuarios de sus derechos sobre la seguridad de las comunicaciones.
• Art. 83 LOPDGDD — Educación digital. El sistema educativo garantizará la inserción del alumnado en la sociedad digital. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo. El profesorado recibirá formación. Universidades incluirán competencias digitales en planes de estudio. Las pruebas de acceso a cuerpos superiores incluirán protección de datos.
• Art. 84 LOPDGDD — Protección de menores en Internet. (2 preguntas banco.) Padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales. La difusión de imágenes o información personal de menores que pueda implicar intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas previstas en la LO 1/1996 de Protección Jurídica del Menor.
• Art. 85 LOPDGDD — Rectificación en Internet. Los responsables de redes sociales adoptarán protocolos conforme a la LO 2/1984 reguladora del derecho de rectificación. Los medios digitales publicarán aviso aclaratorio.
• Art. 86 LOPDGDD — Actualización en medios digitales. Aviso de actualización junto a noticias que ya no reflejen la situación actual, especialmente cuando se trate de actuaciones policiales o judiciales modificadas.
• Art. 87 LOPDGDD — Intimidad y dispositivos digitales laborales. El empleador puede acceder a contenidos solo para controlar obligaciones laborales y garantizar integridad del dispositivo. Criterios de utilización con participación de los representantes de los trabajadores.
• Art. 88 LOPDGDD — Desconexión digital laboral. Los trabajadores tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo, el respeto de su tiempo de descanso, permisos y vacaciones. El empleador, previa audiencia de los representantes, elaborará política interna sobre el ejercicio del derecho. Especial protección en trabajo a distancia.
• Art. 89 LOPDGDD — Videovigilancia laboral. Permitida para control conforme al art. 20.3 ET. Información expresa, clara y concisa. Prohibida en lugares de descanso (vestuarios, aseos, comedores). Grabación de sonidos solo si proporcional y necesaria.
• Art. 90 LOPDGDD — Geolocalización laboral. Información expresa, clara e inequívoca previa al uso.
• Art. 91 LOPDGDD — Negociación colectiva. Garantías adicionales por convenios colectivos.
• Art. 92 LOPDGDD — Menores en Internet (centros educativos). Interés superior del menor. Publicación con consentimiento del menor o de sus representantes (art. 7).
• Art. 93 LOPDGDD — Olvido en búsquedas. Eliminación de enlaces inadecuados, inexactos, no pertinentes, no actualizados o excesivos.
• Art. 94 LOPDGDD — Olvido en redes sociales. Supresión a simple solicitud de los datos facilitados para publicación. Si los facilitaron terceros: solo si inadecuados, inexactos, no pertinentes, no actualizados o excesivos. Datos facilitados durante minoría de edad: supresión sin más, sin necesidad de circunstancias del apartado 2.
• Art. 95 LOPDGDD — Portabilidad en redes sociales. Derecho a recibir, transmitir los contenidos facilitados al servicio.
• Art. 96 LOPDGDD — Testamento digital. (2 preguntas banco.) Acceso a contenidos del fallecido por: (a) personas vinculadas por razones familiares o de hecho y herederos; (b) albacea testamentario o persona designada; (c) representantes legales o Ministerio Fiscal en caso de menor; (d) personas de apoyo en caso de discapacidad. Excepción: prohibición expresa del fallecido. Decisión sobre perfiles en redes sociales corresponde a los legitimados, salvo instrucciones del fallecido.
• Art. 97 LOPDGDD — Políticas de impulso. Plan de Acceso a Internet con bono social, espacios públicos de conexión y formación en competencias digitales. Plan de Actuación dirigido a menores. Informe anual ante el Congreso.

Disposiciones adicionales clave

• DA 1.ª — Esquema Nacional de Seguridad. Aplicable a los responsables del art. 77.1.
• DA 3.ª LOPDGDD — Cómputo de plazos. Días son hábiles (excluidos sábados, domingos y festivos). Semanas, meses y años: mismo día. Último día inhábil: se prorroga al siguiente hábil.
• DA 6.ª LOPDGDD — Sistemas crediticios. No se incorporan deudas inferiores a cincuenta euros.
• DA 7.ª — Anuncios y publicaciones. Identificación por nombre + cuatro cifras aleatorias del DNI/NIE/pasaporte. Notificaciones por anuncio: identificación por número completo del documento.

Tabla 1 — Infracciones muy graves, graves y leves (régimen de prescripción)

Tabla 2 — Prescripción de sanciones por cuantía (art. 78)

Tabla 3 — Datos personales ordinarios vs categorías especiales (arts. 9-10)

Tabla 4 — Plazos máximos por tipo de procedimiento ante la AEPD