Ley Protección Datos: Clave en Oposiciónes

· legislación

La protección de datos personales es una materia transversal que aparece en los temarios de prácticamente todas las oposiciones a la Administración Pública española. Desde auxiliares administrativos del Estado hasta personal sanitario, pasando por cuerpos de seguridad, el examinador regresa una y otra vez a los mismos conceptos. Este artículo recorre la legislación vigente con precisión, citando los artículos que realmente debes conocer para el día del examen.

El marco normativo vigente

En España, la protección de datos se rige por dos normas principales que debes distinguir con claridad:

  • Reglamento (UE) 2016/679, conocido como RGPD o GDPR, de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, conocida como LOPDGDD. Esta ley adapta el ordenamiento español al RGPD y añade garantías específicas.

El examinador suele preguntar la fecha de entrada en vigor del RGPD (25 de mayo de 2018) y el número de la ley orgánica española (3/2018). Memoriza ambos datos.

Por qué coexisten el RGPD y la LOPDGDD

El RGPD es un reglamento europeo de aplicación directa, pero permite a los Estados miembros regular determinados aspectos con mayor concreción. La LOPDGDD ejerce esa función en España: complementa el reglamento, específica el régimen sancionador, adapta los derechos al contexto nacional y añade un título dedicado a los derechos digitales, algo novedoso en el panorama europeo.

Conceptos fundamentales

Dato personal

El artículo 4.1 del RGPD define dato personal como “toda información sobre una persona física identificada o identificable”. Esta definición es amplia de forma deliberada: incluye nombre, DNI, dirección, correo electrónico, número de teléfono, dirección IP, datos de localización y cualquier identificador en línea.

El concepto de persona física identificable es clave. Una persona es identificable cuando puede determinarse su identidad, directa o indirectamente, mediante uno o varios elementos como su nombre, un número de identificación, datos de localización o factores propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Las personas jurídicas (empresas, asociaciones) quedan fuera del ámbito de protección del RGPD y la LOPDGDD. Solo protegen datos de personas físicas.

Categorías especiales de datos

El artículo 9 del RGPD establece las denominadas categorías especiales de datos, cuyo tratamiento está prohibido con carácter general salvo excepciones tasadas. Son datos especialmente sensibles que merecen una protección reforzada:

  • Origen étnico o racial

  • Opiniones políticas

  • Convicciones religiosas o filosóficas

  • Afiliación sindical

  • Datos genéticos

  • Datos biométricos dirigidos a identificar de forma unívoca a una persona física

  • Datos relativos a la salud

  • Datos relativos a la vida sexual o la orientación sexual

El examinador pregunta está lista con frecuencia. Las excepciones al tratamiento incluyen el consentimiento explícito del interesado, la existencia de un interés vital, fines de medicina preventiva o laboral, y otros supuestos del art. 9.2 RGPD.

Datos relativos a condenas e infracciones penales

El artículo 10 del RGPD regula por separado los datos relativos a condenas e infracciones penales. Solo pueden tratarse bajo la supervisión de una autoridad oficial o cuando lo autorice el Derecho de la Unión o de los Estados miembros.

Los principios del tratamiento

El artículo 5 del RGPD recoge los principios que rigen cualquier tratamiento de datos. El examinador los pregunta tanto en su denominación como en su contenido:

Licitud, lealtad y transparencia

El tratamiento debe tener una base jurídica reconocida (art. 6 RGPD) y llevarse a cabo de forma leal y transparente respecto al interesado. El interesado debe saber que sus datos se tratan y con qué finalidad.

Limitación de la finalidad

Los datos se recogen para fines determinados, explícitos y legítimos. No pueden tratarse posteriormente de forma incompatible con esos fines. Hay excepciones para fines de archivo en interés público, investigación científica o histórica y fines estadísticos (art. 5.1.b RGPD).

Minimización de datos

Solo deben tratarse los datos adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento. El principio de minimización es contrario a la recogida masiva de datos “por si acaso”.

Exactitud

Los datos deben ser exactos y, si fuera necesario, actualizados. Deben adoptarse medidas razonables para suprimir o rectificar los datos inexactos.

Limitación del plazo de conservación

Los datos no pueden conservarse más tiempo del necesario para los fines del tratamiento. Una vez cumplida la finalidad, deben suprimirse o anonimizarse.

Integridad y confidencialidad

El tratamiento debe garantizar la seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales, mediante medidas técnicas y organizativas apropiadas.

Responsabilidad proactiva (accountability)

El responsable del tratamiento es responsable del cumplimiento de los principios y debe ser capaz de demostrarlo. Este principio, introducido por el RGPD, supuso un cambio de paradigma respecto al modelo anterior de notificación y registro.

Bases jurídicas del tratamiento

El artículo 6 del RGPD exige que todo tratamiento tenga una base jurídica legítima. Las seis bases son:

  1. Consentimiento del interesado para uno o varios fines específicos.

  2. Ejecución de un contrato en el que el interesado es parte, o aplicación de medidas precontractuales.

  3. Cumplimiento de una obligación legal aplicable al responsable.

  4. Protección de intereses vitales del interesado o de otra persona física.

  5. Cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.

  6. Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los intereses o derechos fundamentales del interesado.

Para las Administraciones Públicas, la base jurídica habitual es el cumplimiento de una misión de interés público o el cumplimiento de una obligación legal. El consentimiento tiene un papel secundario en el ámbito público.

Los derechos de los interesados: del ARCO al ARCO-POL

Bajo la normativa anterior (Ley Orgánica 15/1999, LOPD), se hablaba de los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. El RGPD amplió este catálogo. Hoy se habla de derechos ARCO-POL o simplemente del catálogo completo de derechos:

Derecho de acceso (art. 15 RGPD)

El interesado tiene derecho a obtener confirmación de si se están tratando o no sus datos personales y, en tal caso, a acceder a ellos y a información sobre los fines, las categorías de datos, los destinatarios y el plazo de conservación previsto.

Derecho de rectificación (art. 16 RGPD)

El interesado tiene derecho a obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan.

Derecho de supresión o “derecho al olvido” (art. 17 RGPD)

El interesado tiene derecho a obtener la supresión de sus datos cuando, entre otras causas, ya no sean necesarios para los fines para los que fueron recogidos, se retire el consentimiento o los datos hayan sido tratados ilícitamente.

Derecho a la limitación del tratamiento (art. 18 RGPD)

En determinadas circunstancias, el interesado puede solicitar que el tratamiento de sus datos quede restringido, de forma que solo puedan conservarse y no tratarse para otros fines sin su consentimiento.

Derecho a la portabilidad (art. 20 RGPD)

El interesado tiene derecho a recibir los datos personales que le incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable. Este derecho solo aplica cuando el tratamiento se basa en consentimiento o en un contrato y se realiza por medios automatizados.

Derecho de oposición (art. 21 RGPD)

El interesado puede oponerse en cualquier momento al tratamiento de sus datos por motivos relacionados con su situación particular, cuando el tratamiento se base en el interés público o el interés legítimo del responsable.

Derechos relativos a decisiones automatizadas (art. 22 RGPD)

El interesado tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente. Hay excepciones cuando la decisión es necesaria para la ejecución de un contrato, está autorizada por el Derecho de la Unión o se basa en el consentimiento explícito.

El Delegado de Protección de Datos (DPD)

El artículo 37 del RGPD establece los supuestos en que el nombramiento de un DPD es obligatorio:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público (con excepción de los tribunales que actúen en ejercicio de su función judicial).
  • Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Cuando las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales.

Para las Administraciones Públicas, el nombramiento es obligatorio sin excepciones. La LOPDGDD, en su artículo 34, amplía los supuestos de designación obligatoria en el ámbito español.

El DPD puede ser un empleado del responsable o del encargado del tratamiento, o bien un prestador de servicios externo. Sus funciones principales son informar y asesorar, supervisar el cumplimiento del RGPD, cooperar con la autoridad de control y actuar como punto de contacto.

El régimen sancionador

El RGPD establece un sistema de multas por niveles que es uno de los aspectos más recordados de la norma:

Infracciones de nivel superior (art. 83.5 RGPD)

Multas de hasta 20.000.000 euros o, en el caso de una empresa, el 4% del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Se aplica a infracciones de los principios básicos, las bases jurídicas del tratamiento, los derechos de los interesados y las transferencias internacionales.

Infracciones de nivel inferior (art. 83.4 RGPD)

Multas de hasta 10.000.000 euros o el 2% del volumen de negocio anual global, optándose por la de mayor cuantía. Se aplica a obligaciones del responsable y encargado, del organismo de certificación y del organismo de supervisión.

La LOPDGDD, en su artículo 71 y siguientes, tipifica las infracciones como muy graves, graves y leves, y adapta el régimen sancionador al sistema español. Las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año.

La Agencia Española de Protección de Datos (AEPD)

La AEPD es la autoridad de control en España, tal como exige el artículo 51 del RGPD. Actúa con plena independencia en el ejercicio de sus funciones. Tiene su sede en Madrid y su creación se remonta a la LOPD de 1992.

Sus funciones principales incluyen supervisar la aplicación del RGPD, tramitar reclamaciones de los interesados, llevar a cabo investigaciones e imponer medidas correctivas y sanciones.

En determinadas materias, existen autoridades de control autonómicas: la Agencia Vasca de Protección de Datos (AVPD) y la Autoridad Catalana de Protección de Datos (APDCAT), con competencias sobre los tratamientos de datos efectuados bajo el ámbito de las Administraciones Públicas de sus respectivas Comunidades Autónomas.

Puntos clave para el examen

Antes de presentarte al examen, asegúrate de dominar estos elementos:

  • La diferencia entre RGPD (reglamento europeo) y LOPDGDD (ley orgánica española).

  • La fecha de aplicación del RGPD: 25 de mayo de 2018.

  • Los siete principios del artículo 5 del RGPD y su denominación exacta.

  • Las seis bases jurídicas del artículo 6 del RGPD.

  • Las categorías especiales de datos del artículo 9 del RGPD.

  • El catálogo completo de derechos de los interesados (ARCO-POL ampliado).

  • Los supuestos de nombramiento obligatorio del DPD.

  • Las cuantías de las multas: 20 millones/4% y 10 millones/2%.

  • Las funciones y sede de la AEPD.

El dominio de esta materia no solo te prepara para el examen, sino que es esencial para el ejercicio correcto de cualquier función pública en la que manejes información sobre ciudadanos.

Preguntas frecuentes

¿Cómo memorizar leyes para las oposiciones?

Las técnicas más efectivas son la repetición espaciada, los esquemas visuales y los tests de autoevaluación. Trabaja artículo por artículo y conecta los conceptos entre sí para crear una estructura lógica.

¿Hay que memorizar los artículos literalmente?

Depende de la oposición. En algunas se piden artículos literales, pero en la mayoría basta con conocer el contenido y saber identificar la opción correcta en un test. Consulta convocatorias anteriores.

¿Se actualizan las leyes del temario?

Sí, las leyes pueden modificarse. Es fundamental estudiar con material actualizado y estar atento a las modificaciones legislativas que se produzcan entre la convocatoria y el examen.

Practica con tests reales

Cada pregunta cita el articulo exacto de la ley. Sin registro, 100% gratis.

Ver todas las oposiciones
← Volver al blog