Trabajos

Algunas cuestiones a destacar de la tan esperada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Con la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, conviene destacar algunas de sus disposiciones que afectan de lleno a las Administraciones Locales.


Se ha publicado en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, (en adelante, LOPDGDD), publicada en el BOE de 6 de diciembre de 2018 y que entró en vigor el día siguiente de su publicación en el Boletín Oficial del Estado (7 de diciembre de 2018).

Esta Ley Orgánica desarrolla el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Reglamento general de protección de datos), no obstante, en fase parlamentaria la LOPDGDD ha incluido otros aspectos que, vía enmiendas de distintos grupos parlamentarios, han quedado plasmados en la norma, especialmente en materia de derechos digitales al contemplar un nuevo Título X bajo la denominación de “Garantía de los derechos digitales” para regular los derechos de los ciudadanos en la era digital.

La LOPDGDD viene a desarrollar el marco normativo que ya era de aplicación desde el 25 de mayo de 2018 en aplicación del Reglamento General de Protección de Datos como las bases del tratamiento, ampliación de los derechos ARCO, necesidad de nombrar un Delegado de Protección de Datos, nueva obligaciones para los encargados del tratamiento, el registro de actividades y evaluación de riesgos, las previsiones sobre el deber de información, el principio de privacidad en el diseño y por defecto, entre otras materias.

De hecho, la Agencia Española de Protección de Datos ha publicado diferentes guías de uso a los efectos de favorecer el cumplimiento de la normativa en la materia:

Guía de Protección de Datos y Administración Local.

Guía para el cumplimiento del deber de informar

Guía-Directrices para la elaboración de contratos entre responsables y encargados del tratamiento

En este marco podemos destacar algunas disposiciones de la nueva LOPDGDD a tener en cuenta por las Administraciones Locales:

1.- Deber de información por capas

El artículo 11 de la LOPDGDD hace referencia al deber de información, como ya lo hiciera el Reglamento General de Protección de Datos, habilitando la posibilidad de hacerlo por capas, de modo que pueda existir una primera capa de información sucinta (identidad del responsable, finalidad del tratamiento, categoría de los datos, en su caso, las fuentes de las que procedan los datos y la posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento) pudiendo derivar al ciudadano a un sitio web u otro medio de fácil acceso para recibir una información más detallada en la materia.

Muchas Administraciones Locales ya han habilitado un espacio web reservado a esta segunda capa de información para el cumplimiento de la normativa en materia de Protección de Datos.

2.- Derechos ARCO ampliados

Como ya hiciera el Reglamento General de Protección de Datos, se amplían los tradicionales Derechos ARCO, de modo que actualmente, el ciudadano tendrá derecho de acceso, rectificación, supresión y portabilidad de sus datos, derecho a la limitación u oposición a su tratamiento , los cuales quedan regulados en los artículos 13 a 18 de la LOPDGDD.

A este respecto, las Administraciones Locales deberán ampliar los protocolos de actuación para su ejercicio en los términos previstos tanto en el Reglamento General de Protección de Datos como en la propia LOPDGDD.

3.- Bases de legitimación para el tratamiento de los datos personales por parte de las Administraciones Públicas

El artículo 6 del Reglamento General de Protección de Datos definió las bases de legitimación que constituye la base legal del tratamiento de los datos personales. En el caso de las Administraciones Locales las bases de legitimación serán “principalmente”:

-  que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

- que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Decimos “principalmente” puesto que, durante la tramitación parlamentaria LOPDGDD, la Agencia Española de Protección de Datos se ha pronunciado expresamente al concluir que “el consentimiento del obligado tributario no constituye un base jurídica válida para el tratamiento de los datos personales” por parte de la Administración, puesto que no parten de una posición igualitaria, debiendo atemperarse a bases legales relacionadas con el cumplimiento de un obligación legal aplicable al responsable del tratamiento o para el cumplimiento de una misión realizada en interés público o el ejercicio de poderes públicos.

A estos efectos, la Disposición final duodécima modifica el artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas para adaptarlo al marco normativo del Reglamento Europeo puesto que se basaba en un consentimiento tácito que no reunía sus estándares mínimos, quedando la redacción del citado precepto como sigue:

“Artículo 28. […]

  1. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.


Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.


Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.




  1. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.


Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.”


Esta modificación tendrá especial incidencia en el consumo de datos por parte de las Administraciones Locales de la Plataforma de Intermediación de datos, a los efectos de garantizar el ejercicio del derecho que asiste a los ciudadanos de no aportar documentación que ya obra en poder de la Administración, de modo que no se requerirá de su consentimiento salvo oposición expresa del interesado (No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección).

Finalmente, el artículo 8 de la LOPDGDD realiza una mención expresa al tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos estableciendo que, para que se considere fundado el tratamiento de los datos personales en el cumplimiento de una obligación legal exigible al responsable (Administración), es necesario que dicho tratamiento se prevea en una norma de Derecho de la Unión Europea o una norma con rango de ley (obligación legal) o que se derive de una competencia atribuida por una norma de rango de ley (interés público o ejercicio de poderes públicos).

En lo sucesivo, el legislador debería tener en cuenta la LOPDGDD a la hora de legislar.

4.- Delegado de Protección de Datos.

Si bien se mantiene la figura del Delegado de Protección de Datos (en adelante, DPD) en los términos que ya lo hiciera el Reglamento General de Protección de datos, se le atribuye su posible intervención en caso de reclamación ante las autoridades de protección de datos, de modo que el ciudadano pueda dirigirse al DPD con carácter previo a la interposición de la reclamación ante la AEPD o autoridad autonómica.

5.- Esquema Nacional de Seguridad.

La Disposición Adicional Primera de la LOPDGDD declara que el Esquema Nacional de Seguridad (ENS) incluirá medidas a implantar en el tratamiento de los datos personales para evitar su pérdida, alteración o acceso no autorizado a los mismos. Además refuerza el cumplimiento de las medidas de seguridad previstas en el ENS para los supuestos de que un tercero preste un servicio a la Administración en régimen de concesión, encomienda de gestión o contrato, de modo que estos terceros cumplan con las mismas medidas de seguridad que corresponden a la Administración Pública.

6.- Publicaciones de actos administrativos y notificaciones por comparecencia.

En este aspecto destaca la Disposición adicional séptima (antes 11ª) sobre la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos distinguiendo dos regímenes distintos según se trate de publicaciones de actos administrativos o de notificaciones. Si bien en el anteproyecto de ley se estableció un régimen único, con la tramitación parlamentaria de la ley orgánica finalmente se distinguió entre publicaciones y notificaciones.

En el caso de publicaciones se identificará al interesado mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad y en el caso de notificaciones por comparecencia publicadas se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad. De modo que, en ningún caso, podrá publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.

Las Administraciones Locales deberán adaptar sus publicaciones y notificaciones por comparecencia a lo dispuesto en la LOPDGDD.

7.- Adecuación al Reglamento Europeo de los contratos de encargados del tratamiento celebrados con anterioridad a su entrada en vigor (25 de mayo de 2018)

La LOPDGDD (en su Disposición transitoria quinta) como ya hiciera el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (que ahora queda derogado) establece que los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 mantendrán su vigencia hasta el 25 de mayo de 2022, sin perjuicio de que las partes con anterioridad a dicho plazo puedan exigir las modificaciones necesarias para adaptar su clausulado a lo dispuesto en el Reglamento General de Protección de datos y la propia LOPDGDD.

Ello supone una revisión de todos los contratos administrativos que supongan un encargo de tratamiento de datos personales, a este respecto, la Agencia Española de Protección de Datos ha publicado una guía que incluye en su anexo un modelo de clausulado adaptado a la nueva normativa (Guía-Directrices para la elaboración de contratos entre responsables y encargados del tratamiento )

8.- Ley Orgánica con contenido orgánico y no orgánico (rango de Ley).

La Ley tiene el carácter de ley orgánica, no obstante, tienen carácter de ley ordinaria las siguientes disposiciones:

– El Título IV, VII, salvo los artículos 52 y 53, que tienen carácter orgánico, Título VIII, IX, los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X, las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico, las disposiciones transitorias, y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.

9.- Modificación del Estatuto de los Trabajadores y Estatuto de Función Pública

A efectos laborales, se reconoce el derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización.

Para garantizar estos derechos digitales será necesario la adopción de políticas internas tanto de la empresa privada como de la Administración Pública en los términos señalados por la norma.

10.- Protección de datos y transparencia y acceso a la información pública.

La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno también ha quedado afectada por la LOPDGDD de modo lógicamente también se someterán a sus disposiciones cuando la información contenga datos personales.


La propia Agencia Española de Protección de Datos sugería la ocultación de los datos personales para evitar la colisión entre las dos normas, puesto que en muchas ocasiones resultará difícil la aplicación de ambas normativas (transparencia y protección de datos).


11.- Derogación normativa.

La LOPDGDD incluye una disposición derogatoria única, por la cual quedan derogadas las siguientes normas:

“1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica”.

Departamento de Asesoría Jurídica gtt