L.O.

3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

TÍTULO I: DISPOSICIONES GENERALES

a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución (La ley limitará el uso de la
OBJETO DE informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos) , se ejercerá con arreglo a lo
LA LEY establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
Art. 1
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

- Se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales
contenidos o destinados a ser incluidos en un fichero.
 a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2 (no se aplica en el
tratamiento de datos personales):
o a) en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión. En este caso se regirá por la
legislación específica y supletoriamente por lo establecido en el RE y en la presente LO. Se encuentran en esta situación los tratamientos
realizados:
ÁMBITOS
 Al amparo de la LO del Régimen electoral general
DE
 En el ámbito de las instituciones penitenciarias
APLICACIÓN
 Los derivados del Registro Civil, de la Propiedad y Mercantiles
DE LOS TÍT o b) por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título
DEL I AL IX y
V del TUE;
de los
NO SE APLICA o c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
artículos 89 o d) por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones
a 94
penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.
, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
Art. 2
 b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.
 c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
Nota: el tratamiento llevado a cabo por los órganos judiciales así como el realizado dentro de la gestión de la Oficina Judicial, se regirán:
 Por el Reglamento (UE) 216/679
 La presente LO
 Sin perjuicio de las disposiciones de la LO del Poder Judicial que le sean aplicables

 Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos EXCEPTO cuando la persona fallecida lo
PODRÁN
hubiese prohibido expresamente o así lo establezca una ley . Dicha prohibición no afectará al derecho de los herederos a acceder a los datos
DATOS DE ACCEDER,
de carácter patrimonial del causante.
PERSONAS RECTIFICAR O
 Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello. Mediante Real Decreto: requisitos y
FALLECIDAS SUPRIMIR
condiciones para acreditar la validez y vigencia de estos mandatos o instrucciones, y, en su caso, el registro de los mismos.
Art. 3
 Estas facultades podrán ejercerse también por sus representantes legales, o en el marco de sus competencias, por el Ministerio Fiscal, que
MENORES
podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.

1
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

PERSONAS CON  Por las indicadas para los menores.

DISCAPACIDAD  Ó por las designadas para el ejercicio de funciones de apoyo, si tales facultades están comprendidas dentro de las medidas de apoyo

TÍTULO II: PRINCIPIOS DE PROTECCIÓN DE DATOS

 Los datos serán exactos, y si fuera necesario, actualizados.
 No será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin
dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
o Hubiesen sido obtenidos por el responsable directamente del afectado.
EXACTITUD DE LOS
o Hubiesen sido obtenidos por el responsable de un mediador o intermediarios en el caso de que las normas aplicables al sector de la actividad
DATOS
establezcan esa posibilidad. El mediador asumirá las responsabilidades si no se correspondan los datos comunicados al responsable con los
Art. 4
facilitados por el afectado.
o Si el responsable los recibió de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad.
o Fuesen obtenidos de un registro público por el responsable.

 Están sujetas a este deber aún cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento:
DEBER DE
o El responsable del tratamiento
CONFIDENCIALIDAD
o Los encargados del tratamiento
Art. 5
o Así como todas las personas que intervengan en cualquier fase de éste.
 Es toda manifestación de voluntad LIBRE, ESPECÍFICA, INFORMADA E INEQUÍVOCA por la que se acepta, ya sea por una declaración o una clara acción
CONSENTIMIENTO afirmativa, el tratamiento de datos personales que le conciernen.
DEL AFECTADO  Si fuera para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que se otorga para todas ellas.
Art. 6  No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden
relación con el mantenimiento, desarrollo o control de la relación contractual.
CONSENTIMIENTO  Si el menor es MAYOR DE 14 AÑOS excepto cuando la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o
MENORES DE EDAD negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
Art.7  Si es MENOR DE 14 AÑOS: el consentimiento sólo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen.
 Por el cumplimiento de una norma de DUE O NORMA CON RANGO DE LEY, la cual también podrá imponer condiciones especiales al tratamiento, tales
como medidas adicionales de seguridad u otras establecidas en el Reglamento(UE) 2016/769:
o la seudonimización y el cifrado de datos personales;
Tratamiento de
o la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
datos por
o la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
obligación legal,
o un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad
interés público o
del tratamiento.
ejercicio de poderes
 Por el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos según el RE, cuando derive de una competencia
públicos
atribuida por una norma con rango de ley.
Art. 8

2
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

 El sólo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuyo finalidad principal sea identificar
su ideología, afiliación sindical, religión, orientación sexual, creencias y origen racial o étnico EXCEPTO, según art. 9.2 RE:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto
cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del
interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los
Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los
derechos fundamentales y de los intereses del interesado;
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté
capacitado, física o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier
otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a
los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre
que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función
judicial;
CATEGORÍAS
g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe
ESPECIALES DE
ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas
DATOS
para proteger los intereses y derechos fundamentales del interesado;
Art. 9
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico,
prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base
del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario cuando el tratamiento es realizado por
un profesional sujeto a la obligación de secreto profesional.
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas
graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos
sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los
derechos y libertades del interesado, en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad
con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido,
respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado
 NOTA: los tratamientos contemplados en las letras g), h) e i) del art. 9.2. del RE fundados en el Derecho español deberán estar amparados en una norma
con rango de ley, que podrá establecer requisitos adicionales de seguridad y confidencialidad. Dicha norma podrá amparar el tratamiento de datos en el
ámbito de la SALUD, cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria, pública y privada, o la ejecución de un contrato de
seguro del que el afectado sea parte.
TRATAMIENTO DE  Sólo podrá llevarse a cabo cuando se encuentre amparado en una norma de DU, en esta ley o en otras normas de rango legal , bajo la supervisión de las
DATOS DE autoridades públicas exceptuando los que tienen fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales
NATURALEZA o de ejecución de sanciones penales.
PENAL  El registro completo de datos referidos a condenas e infracciones penales así como a procedimientos y medidas cautelares y de seguridad conexas:

3
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Art. 10 a) Podrá realizarse conforme a la regulación del Sistema de registros administrativos de apoyo a la Administración de justicia.
b) Sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas.
 Fuera de los supuestos señalados en los apartados anteriores, el tratamiento de este tipo de datos solo serán posibles cuando sean llevados a cabo por
ABOGADOS Y PROCURADORES y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

TÍTULO III: DERECHOS DE LAS PERSONAS

 El responsable del tratamiento es el que tiene el deber de la información básica
 En el momento en que se obtengan
 Tb deberá indicar una dirección electrónica y otro medio que permita acceder de forma sencilla e inmediata a la restante
información.
Si datos se  INFORMACIÓN BÁSICA:
obtienen a) Identidad del responsable y de su representante, en su caso.
directamente b) La finalidad del tratamiento
del afectado c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del RE: derechos de acceso, rectificación
supresión, a la limitación, portabilidad de los datos, de oposición y de decisiones individuales automatizadas, incluida la
elaboración de perfiles ( en este último caso la información básica deberá contener esta circunstancia, en donde se le
informará al afectado del derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos
jurídicos sobre él o le afecten significativamente de modo similar.
TRANSPARENCIA E  El responsable podrá dar cumplimiento del deber de información y a mayores la INFORMACIÓN BASICA CONTENDRÁ:
INFORMACIÓN  Las categorías de datos objeto de tratamiento.
Art. 11  Las fuentes de las que procedieran los datos.
 En el momento en que se obtengan.
 Tb deberá indicar una dirección electrónica y otro medio que permita acceder de forma sencilla e inmediata a la restante
Si los datos no información.
se obtienen
directamente Art. 14 RE:
del afectado 1. Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará la siguiente
información
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;
d) las categorías de datos personales de que se trate;
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

4
L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

f) en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la
existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el
artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de ellas o al
hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información
necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:
a) el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;
b) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable del tratamiento o de un tercero
c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o
supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
d) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar
el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basada en el consentimiento antes de su retirada;
e) el derecho a presentar una reclamación ante una autoridad de control;
f) la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;
g) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en
tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el
interesado.

3. El responsable del tratamiento facilitará la información indicada en los apartados 1 y 2:

a) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las
circunstancias específicas en las que se traten dichos datos
b) si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a
dicho interesado, o
c) si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

4. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de los datos personales para un fin que no sea aquel para el que se
obtuvieron, proporcionará al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información
pertinente indicada en el apartado 2.

5. Las disposiciones de los apartados 1 a 4 no serán aplicables cuando y en la medida en que:

a) el interesado ya disponga de la información;
b) la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines
de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, a reserva de las condiciones y garantías indicadas en
el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el apartado 1 del presente artículo pueda imposibilitar u
obstaculizar gravemente el logro de los objetivos de tal tratamiento. En tales casos, el responsable adoptará medidas adecuadas para proteger
los derechos, libertades e intereses legítimos del interesado, inclusive haciendo pública la información
c) la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o
d) cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por

5
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

 Los derechos reconocidos en los artículos 15 al 22 del RE podrán ejercerse DIRECTAMENTE O POR MEDIO DE REPRESENTANTE
LEGAL O VULUNTARIO.
 El responsable el tratamiento estará obligado a informar al afectado sobre los MEDIOS A SU DISPOSICIÓN para ejercer los derechos
que le corresponden, los cuales deberán ser fácilmente accesibles.
 El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
 El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si
así se estableciera en el contrato o acto jurídico que les vincule.
 La prueba del cumplimento del deber de responder a esa solicitud recaerá sobre el responsable.
 Si las leyes aplicables a determinados tratamientos establecen un régimen especial que afecte al ejercicio de los derechos previstos
en el cap III del RE (derechos del interesado) , se estará a lo dispuesta en aquellas.
 En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los MENORES DE 14 AÑOS los
derechos de acceso, rectificación, cancelación , oposición o cualesquiera otras que pudieran corresponderles según la presente ley.
EJERCICIO DE LOS  Serán GRATUITAS las actuaciones llevadas a cabo por el responsable para atender las solicitudes de ejercicio de estos derechos, sin
DISPOSICIONES
DERECHOS perjuicio de lo dispuesto en los art. 12.5 y 15.3 del RE y apartados 3 y 4 del artículo 13 de la presente ley
GENERALES
Art.12
Artículo 12.5. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el
responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la
actuación solicitada, o
b) negarse a actuar respecto de la solicitud.
El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
Artículo 15.3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá
percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado
presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato
electrónico de uso común.

 Se ejercitará según lo establecido en el artículo 15 del RE

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen
y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
DERECHO DE b) las categorías de datos personales de que se trate;
ACCESO c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u
Art. 13 organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al
interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;

6
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos,
información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías
adecuadas en virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia
solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos
que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.

 Cuando el responsable trate una gran cantidad de datos relativos al afectado y éste no especifique qué datos son, podrá solicitarle, antes de facilitarle la
información que los indique.
 Se entenderá otorgado si el responsable facilitar al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de
modo permanente, el acceso a su totalidad. La comunicación de cómo acceder bastará para tener por atendida la solicitud. No obstante, el interesado
podrá solicitar la información básica que no se incluyesen en el sistema de acceso remoto.
 Se considerará REPETITIVO el ejercicio del derecho en más de una ocasión durante el plazo de 6 meses. En estos casos se podrá cobrar un canon o
negarse a actuar respecto a la solicitud.
 La solicitud será considerada EXCESIVA, cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado. El
afectado asumirá el exceso de costes que haya de realizarse. En este caso, sólo será exigible al responsable el que se haga sin dilaciones indebidas.

 El afectado deberá indicar a qué datos se refiere y la corrección que haya de realizarse.
DERECHO DE
 Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos.
RECTIFICACIÓN
Art.16 de RE: sin dilación indebida. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales
Art. 14
incompletos, incluso mediante una declaración adicional.
 Se ejercitará según lo establecido en el art. 17 del RE:
1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el
cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y
este no se base en otro fundamento jurídico;
DERECHO DE
c) el interesado se oponga al tratamiento con arreglo al :
SUPRESIÓN («el
artículo 21, apartado 1: el interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a qué datos
derecho al olvido»)
personales que le conciernan sean objeto de tratamiento basado en lo dispuesto en el artículo 6.1 apartados
Art. 15
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al
responsable del tratamiento
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en
particular, cuando el interesado sea un niño. Exceptuando cuando el tratamiento sea realizado por las autoridades públicas en el ejercicio de sus
funciones

7
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

incluida la elaboración de perfiles sobre la base de dichas disposiciones.

El responsable dejará de tratar los datos SALVO que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, los derechos y las
libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
artículo 21, apartado 2: cuando el tratamiento tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento
incluida la elaboración de perfiles. En estos casos el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir
tratamientos futuros para fines de mercadotecnia directa.
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se
aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (el
tratamiento de datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, sólo se considerará lícito si el
consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida que se dio o autorizó. Los Estados miembros podrán
establecer por ley una edad inferior a tales fines, siempre que no sea inferior a 13 años. IMPORTANTE.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del
tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar
a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o
réplica de los mismos.
3. Los apartados 1 y 2 NO SE APLICARÁN cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información;
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique
al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida
en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones.

 Se ejercerá de acuerdo al art. 18 del RE:

1. El interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando se cumpla alguna de las
condiciones siguientes:
DERECHO A a) el interesado impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos;
LIMITACIÓN DEL b) el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
TRATAMIENTO c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de
Art. 16 reclamaciones;
d) el interesado se haya opuesto al tratamiento en virtud del artículo 21, apartado 1, mientras se verifica si los motivos legítimos del responsable prevalecen sobre
los del interesado.

2. Cuando el tratamiento de datos personales se haya limitado en virtud del apartado 1, dichos datos solo podrán ser objeto de tratamiento, con

8
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones, o con miras a la
protección de los derechos de otra persona física o jurídica o por razones de interés público importante de la Unión o de un determinado Estado
miembro.
3. Todo interesado que haya obtenido la limitación del tratamiento con arreglo al apartado 1 será informado por el responsable antes del
levantamiento de dicha limitación.
 El hecho de que el tratamiento está limitado debe constar claramente en los sistemas de información del responsable.

 Se ejercerá de acuerdo al art. 20 del RE:

1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato
estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera
facilitado, cuando:
a) el tratamiento esté basado en el consentimiento o en un contrato
b) el tratamiento se efectúe por medios automatizados.
DERECHO A LA
2. Al ejercer su derecho a la portabilidad de los datos, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a
PORTABILIDAD
responsable cuando sea técnicamente posible.
Art. 17
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que
sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.

 Se ejercerá de acuerdo con los artículos 21 y 22 del RE.

Artículo 21 Derecho de oposición

1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le
conciernan sean objeto de un tratamiento, incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de
DERECHO DE tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las
OPOSICIÓN libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
Art. 18 2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al
tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al
interesado y será presentado claramente y al margen de cualquier otra información.

9
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE, el interesado podrá
ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89, apartado 1, el
interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea
necesario para el cumplimiento de una misión realizada por razones de interés público.
Artículo 22 Decisiones individuales automatizadas, incluida la elaboración de perfiles
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que
produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:

 a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
 b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo
medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
 c) se basa en el consentimiento explícito del interesado.

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y
libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de
vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo
que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos
del interesado.

TÍTULO IX – RÉGIMEN SANCIONADOR

 Los responsables de los tratamientos.
 Los encargados de los tratamientos.
SUJETOS
Se aplica a  Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la UE.
RESPONSABLES
 Las entidades de certificación
Art. 70
 Las entidades acreditadas de supervisión de códigos de conducta
No se aplica al  Delegado de protección de datos
INFRACCIONES  Por las infracciones de las disposiciones siguientes: (Apdo. 5)
MUY GRAVES
PRESCRIBEN A a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento
LOS 3 AÑOS b) los derechos de los interesados

10
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Art. 72 c) las transferencias de datos personales a un destinatario en un tercer país o una organización internacional
d) toda obligación en virtud del Derecho de los Estados miembros que se adopte con arreglo al capítulo IX;
MULTAS e) el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la
ADMINISTRATIVAS autoridad de control, o el no facilitar acceso.
DE 20.000.000
como máximo o si  Por el incumplimiento de las resoluciones de la autoridad de control (Aptdo.6)
se trata de una a) El tratamiento de datos personales vulnerando los principios y garantías.
empresa de una b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento.
cuantía equivalente c) El incumplimiento de los requisitos exigidos para la validez del consentimiento.
al 4% como
d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el
máximo del
volumen de
consentimiento del afectado o con una base legal para ello.
negocio total anual e) El tratamiento de datos personales de las categorías, sin que concurra alguna de las circunstancias previstas en dicho precepto.
global del ejercicio f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos
anterior permitidos.
OPTÁNDOSE POR g) El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos.
LA DE MAYOR h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales
CUANTÍA i) La vulneración del deber de confidencialidad.
Aptdo.5 – MUY j) La exigencia del pago de un canon, fuera de los supuestos establecidos.
GRAVES k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos.
l) La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional,
cuando no concurran las garantías, requisitos o excepciones establecidos
m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos
n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.
ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y
medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
p) La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.

INFRACCIONES  Al consentimiento de menores en relación con los servicios de la sociedad de la información. Art. 8
GRAVES-  Tratamiento que ya no requiere identificación. Art. 11
PRESCRIBEN A De las  Protección de datos desde el diseño y por defecto. Art. 25
LOS 2 AÑOS obligaciones  Funciones del delegado de protección de datos: Art.39
Art. 73 del o Informar y asesorar la responsable o al encargado del tratamiento y a los empleados que se ocupen de ello.
responsable y o Supervisar el cumplimiento de lo dispuesto en este RE y otras disposiciones de protección de datos de la UE
MULTAS del encargado o Asesorar sobre la evaluación del impacto relativa a la protección de datos y supervisar su aplicación
ADMINISTRATIVAS referidas al o Cooperar con la autoridad de control.
DE 10.000.000 o Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta
como máximo o si previa a la aplicación del tratamiento que hará el responsable a la AC cuando una evaluación de impacto muestre que

11
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

se trata de una el tratamiento entrañaría un alto riesgo si no se toman medidas para mitigarlo.
empresa de una  A la Certificación. Art.42
cuantía equivalente o Será voluntaria y estará disponible a través de un proceso transparente
al 2% como o Será expedida por:
máximo del  Por los organismos de certificación. Art. 43. Serán acreditados por:
volumen de - La autoridad de control
negocio total anual - O el organismo nacional de acreditación
global del ejercicio - O por ambos
anterior,
 Ó por la autoridad de control competente
OPTÁNDOSE POR
 O por el Comité. Si los criterios son aprobados por el Comité, esto podrá dar lugar a una certificación común: el
LA DE MAYOR
SELLO EUROPEO DE PROTECCIÓN DE DATOS.
CUANTÍA
Aptdo.4 o Se expedirá a un responsable ó a un encargado por un PERÍODO MÁXIMO DE 3 AÑOS y podrá ser renovada en las
mismas condiciones si se siguen cumpliendo los criterios pertinentes.
o El COMITÉ archivará en un registro todos los mecanismos de certificación y sellos y marcas de protección de datos y los
pondrá a disposición pública por cualquier medio apropiado.

 De las obligaciones de los organismos de certificación

De las
obligaciones  En la supervisión de códigos de conducta por parte de un organismo que tenga el nivel adecuado de pericia en relación con el
de la objeto del código y que haya sido acreditado para tal fin por la autoridad de control de competente. Si este organismo toma las
autoridad de medidas oportunas en caso de infracción del código de conducta, éste deberá informarlas a la autoridad competente.
control
a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria
potestad o tutela.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria
potestad o tutela sobre el mismo
c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la
portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya
facilitado información adicional que permita su identificación.
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de
datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento.
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales
necesarios para cada uno de los fines específicos del tratamiento.
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo
del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado.
h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la
Unión Europea.
i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad

12
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

de protección de datos o por los afectados.

j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas
técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido.
l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado
sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
m) La infracción por un encargado del tratamiento, al determinar los fines y los medios del tratamiento.
n) No disponer del registro de actividades de tratamiento.
ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento.
o) No cooperar con las autoridades de control en el desempeño de sus funciones.
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica.
q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que
tuviera conocimiento.
r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales.
s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos si el responsable del tratamiento hubiera
sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos
personales.
u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta
resulta preceptiva.
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento.
w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no
respaldarlo o interferir en el desempeño de sus funciones.
x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente
acreditada o en caso de que la vigencia del mismo hubiera expirado.
y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos.
z) El desempeño de funciones reservadas a los organismos de certificación, sin haber sido debidamente acreditado.
aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes.
ab) El desempeño de funciones reservadas a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la
autoridad de protección de datos competente.
ac) La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en
caso que se hubiera producido una infracción del código

INFRACCIONES
LEVES Las restantes infracciones de CARÁCTER MERAMENTE FORMAL de los artículos mencionados en los apartados 4 y 5 del art. 83 del RE y, en
PRESCRIBEN AL particular, las siguientes:
AÑO
a) El incumplimiento por no facilitar toda la información exigida.
Art. 74 b) La exigencia del pago de un canon para facilitar al afectado la información exigida o por atender las solicitudes de ejercicio de derechos de los afectados,

13
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada
c) No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de
aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica.
d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se
requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación,
salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica.
e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida.
f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos
personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible.
h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas
con respecto al tratamiento de datos personales y sus relaciones con los afectados o la inexactitud en la determinación de las mismas.
i) No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento.
j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una
instrucción recibida de este.
k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del
responsable del tratamiento, salvo que esté legalmente obligado a ello o en los supuestos en que fuese necesario para evitar la infracción de la legislación en
materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida.
m) La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los
datos personales.
n) El incumplimiento de la obligación de documentar cualquier violación de seguridad.
ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y
libertades de los afectados.
o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta
previa.
p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento
sea exigible.
q) El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o
retirada de una certificación.
r) El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de
protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código.
INTERRUPCIÓN
DE LA
- Por la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo si el expediente sancionador estuviere paralizado
PRESCRIPCIÓN DE
durante más de 6 meses por causas no imputables al presunto infractor.
LA INFRACCIÓN.
Art. 75
CRITERIOS Art. 83.2 del RE. Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:
GRADUACIÓN a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el
Art. 76 número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

14
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;
d) el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud
de los artículos 25 y 32;
e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;
g) las categorías de los datos de carácter personal afectados por la infracción;
h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué
medida;
i) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas previamente contra el responsable o el encargado de que se trate en relación con
el mismo asunto, el cumplimiento de dichas medidas;
j) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de certificación aprobados con arreglo al artículo 42, y
k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o
indirectamente, a través de la infracción.
De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos
supuestos en los que existan controversias entre aquellos y cualquier interesado.
 Será posible adoptar complementaria o alternativamente, cuando proceda las restantes medidas correctivas a las que se refiere el art. 83.2.
 EN EL BOE.: La identificación del infractor y la infracción cometida
PUBLICACIÓN
 SI LA AUTORIDAD COMPETENTE ES LA AEPD
 Y LA SANCIÓN ES SUPERIOR A 1.000.000€
 Y EL INFRACTOR ES UNA PERSONA JURÍDICA
NOTA: cuando la autoridad competente sea una autoridad autonómica, se estará a su normativa de aplicación.
Aplicable a:
Régimen
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
aplicable a
b) Los órganos jurisdiccionales.
determinadas
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
categorías de
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
responsables o
e) Las autoridades administrativas independientes.
encargados del
f) El Banco de España.
tratamiento
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
Art. 77
h) Las fundaciones del sector público.

15
 L.O. 3/2018, DE 5 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

i) Las Universidades Públicas.

j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

 Cuando alguno de los anteriores cometiesen alguna de las infracciones, la autoridad de protección de datos competente dictará resolución sancionando a
las mismas con el apercibimiento, la cual establecerá las medidas a adoptar para que cese la conducta o se corrijan los efectos de la infracción.
 La resolución se notificará a:
o Al encargado ó responsable del tratamiento
o Al órgano del que dependa jerárquicamente, en su caso
o Y los afectados que tuvieran la condición de interesado, en su caso.
 Sin perjuicio de lo anterior, la APD propondrá también la iniciación de las actuaciones disciplinarias cuando existan indicios suficientes para ello. Este
procedimiento y sus sanciones se aplicarán según el régimen disciplinario o sancionador correspondiente.
 Cuando las infracciones sean imputables a AUTORIDADES Y DIRECTIVOS y se acredite la existencia de informes técnicos o recomendaciones para el
tratamiento que no hubieran sido debidamente atendidos, en la resolución que indica la sanción se incluirá UNA AMONESTACIÓN con denominación del
CARGO DEL RESPONSABLE Y SE ORDENARÁ LA PUBLICACIÓN EN EL BOE O BOLETÍN AUTONÓMICO que corresponda.
 Se deberán comunicar a la APD las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
 Se comunicarán al DEFENSOR DEL PUEBLO o, en su caso, a las instituciones análogas de las CCAA, las actuaciones realizadas y las resoluciones.
 Cuando la APD sea la AEPD, ésta publicará en su PÁGINA WEB con la debida separación las resoluciones, con expresa indicación de la identidad del
responsable o encargado del tratamiento infractor.
 Cuando la competencia corresponda a una AUTORIDAD AUTONÓMICA: la publicidad será según su normativa específica.

Importe igual o inferior a 40.000 € Al año

Entre 40.0001 y 300.000€ A los 2 años
PRESCRIPCIÓN DE Importe superior a 300.000€ A los 3 años
LAS SANCIONES  El plazo comenzará a contarse desde el día siguiente a aquel en el que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el
Art. 78 plazo para recurrirla.
 Se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a trascurrir el plazo si el mismo está
paralizado durante más de 6 MESES por causa NO IMPUTABLA AL INFRACTOR.

16