LOPDGDD y RGPD (protección de datos)

LOPDGDD y RGPD son las dos normas de referencia en materia de protección de datos personales que aplican simultáneamente en España:

• RGPD (Reglamento General de Protección de Datos): Reglamento (UE) 2016/679 de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018.
• LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales): Ley Orgánica 3/2018, de 5 de diciembre, que adapta el RGPD al ordenamiento español y añade preceptos específicos sobre derechos digitales.

Ambas son plenamente compatibles y se aplican conjuntamente. Cuando aparezcan referencias a la antigua LOPD (Ley Orgánica 15/1999), están derogadas salvo disposiciones transitorias.

Quién está sujeto:

• Cualquier responsable o encargado del tratamiento de datos personales con establecimiento en la UE.
• Empresas, autónomos, asociaciones, fundaciones, administraciones públicas en sus tratamientos de datos.
• Tratamientos sobre residentes en la UE aunque el responsable esté fuera, en condiciones reguladas.

Principios fundamentales:

• Licitud, lealtad y transparencia.
• Limitación de la finalidad: los datos se recogen para fines específicos y no se utilizan para otros incompatibles.
• Minimización de datos: solo se recogen los datos necesarios.
• Exactitud: los datos deben estar actualizados.
• Limitación del plazo de conservación: los datos se conservan solo el tiempo necesario.
• Integridad y confidencialidad: medidas de seguridad apropiadas.
• Responsabilidad proactiva (accountability): el responsable demuestra el cumplimiento.

Obligaciones principales:

• Información al interesado en el momento de recoger los datos.
• Base jurídica del tratamiento: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público, interés legítimo.
• Registro de actividades de tratamiento (RAT).
• Análisis de riesgos y, cuando proceda, evaluación de impacto en la protección de datos (EIPD).
• Medidas técnicas y organizativas: control de accesos, cifrado, copias de seguridad, gestión de incidentes.
• Delegado de protección de datos (DPD): obligatorio para entidades públicas, tratamientos a gran escala, tratamiento de categorías especiales.
• Notificación de brechas de seguridad a la AEPD (Agencia Española de Protección de Datos) en 72 horas, y al interesado cuando proceda.

Cómo afecta a las subvenciones:

• Declaraciones específicas: muchas convocatorias incluyen información sobre el tratamiento de datos personales del solicitante.
• Tratamiento de datos de beneficiarios y representantes: la administración concedente es responsable del tratamiento y debe respetar el RGPD.
• Publicidad de subvenciones: las subvenciones se publican en la BDNS con datos del beneficiario; esta publicidad tiene base jurídica de obligación legal y no requiere consentimiento.
• Justificación con datos personales: las facturas, contratos, etc., contienen datos personales que deben tratarse adecuadamente.
• Subvenciones del Tercer Sector dirigidas a colectivos vulnerables: tratamiento de categorías especiales (salud, situación social, etnia) que exige garantías reforzadas.

Categorías especiales de datos (artículo 9 RGPD):

• Origen racial o étnico.
• Opiniones políticas, convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos y biométricos.
• Datos de salud.
• Datos relativos a la vida sexual o la orientación sexual.

El tratamiento de estos datos requiere base jurídica reforzada (consentimiento explícito o supuesto tasado del artículo 9.2 RGPD).

Sanciones:

• Hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial, lo que sea mayor, para infracciones más graves.
• Hasta 10 millones de euros o el 2 % del volumen de negocio para infracciones graves.

La AEPD es una de las autoridades europeas más activas, con un volumen significativo de expedientes y sanciones cada año.

Errores frecuentes:

• Asumir que basta con avisos cookie o "leyendas LOPD" antiguas para cumplir el RGPD.
• No mantener actualizado el registro de actividades de tratamiento (RAT).
• No designar delegado de protección de datos (DPD) cuando es obligatorio.
• Cesiones de datos sin base jurídica (incluso entre administraciones públicas, hay que respetar las reglas del RGPD).
• Encargados de tratamiento sin contrato firmado conforme al artículo 28 RGPD: el responsable es directamente responsable de las infracciones de su encargado.

LOPDGDD y RGPD son piezas transversales del cumplimiento normativo de cualquier organización. En el contexto de las subvenciones, su correcta aplicación es condición tanto para acceder a las ayudas (declaraciones de cumplimiento en la solicitud) como para gestionarlas adecuadamente (tratamiento de datos de beneficiarios, justificación con datos personales, publicidad de la concesión).