Título I · Disposiciones generales (1-3)
Art. 1
Objeto: adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y garantizar los derechos digitales conforme al artículo 18.4 CE.
Art. 2
Ámbito: tratamientos automatizados y no automatizados de ficheros. Excluye: excluidos del RGPD, personas fallecidas (salvo art. 3), materias clasificadas.
Art. 3
Personas fallecidas: acceso/rectificación/supresión por personas vinculadas al fallecido por razones familiares o de hecho, herederos, designados. Menores: representantes legales o Ministerio Fiscal. salvo prohibición expresa.
Título II · Principios (4-10)
Art. 4
Exactitud: no será imputable al responsable si datos recibidos del afectado, intermediario habilitado, portabilidad, o registro público.
Art. 5
Confidencialidad: todas las personas que intervengan en cualquier fase; complementaria de los deberes de secreto profesional; se mantendrán aun cuando hubiese finalizado la relación no cesa con la relación.
Art. 6
Consentimiento: manifestación de voluntad libre, específica, informada e inequívoca mediante declaración o clara acción afirmativa. Varias finalidades = específica e inequívoca para todas.
Art. 7
Menores: consentimiento propio cuando sea mayor de catorce años no 13/16. Por debajo: titular de la patria potestad o tutela.
Art. 8
Obligación legal/poderes públicos: solo si lo prevé norma UE o norma con rango de ley; interés público = competencia atribuida por una norma con rango de ley.
Art. 9
Categorías especiales: el solo consentimiento del afectado no bastará para levantar la prohibición sobre ideología, sindicato, religión, orientación sexual, origen racial o étnico.
Art. 10
Penales: solo norma UE, esta LO u otras normas de rango legal. Fuera de los supuestos: abogados y procuradores para sus funciones.
Título III · Derechos del afectado (11-18)
Art. 11
Transparencia: información básica + dirección electrónica. Si datos NO del afectado: añadir categorías y fuentes.
Art. 12
Ejercicio: gratuitas (salvo art. 12.5/15.3 RGPD); patria potestad ejerce por menores de 14.
Art. 13
Acceso: sistema de acceso remoto, directo y seguro que garantice el acceso permanente a la totalidad. Repetitivo si más de una ocasión durante el plazo de seis meses no 3m.
Art. 14
Rectificación: indicar a qué datos se refiere y corrección, con documentación justificativa de la inexactitud o carácter incompleto.
Art. 15
Supresión: si deriva de oposición (art. 21.2 RGPD) → conservar identificativos para impedir tratamientos futuros para fines de mercadotecnia directa.
Art. 16
Limitación: debe constar claramente en los sistemas de información del responsable.
Art. 17
Portabilidad: conforme al art. 20 RGPD.
Art. 18
Oposición y decisiones automatizadas: arts. 21 y 22 RGPD.
Título IV · Tratamientos concretos (19-27)
Art. 19
Contacto profesional: se presumirá amparado en interés legítimo (art. 6.1.f RGPD).
Art. 20
Crediticia: salvo prueba en contrario, se presumirá lícito el tratamiento si deudas ciertas, vencidas y exigibles; consulta restringida; treinta días siguientes notif. al afectado; límite máximo de cinco años desde la fecha de vencimiento.
Art. 21
Operaciones mercantiles: lícito en modif. estructural, aportación o transmisión de negocio.
Art. 22
Videovigilancia: preservar la seguridad de las personas y bienes, así como de sus instalaciones. Suprimidos en el plazo máximo de un mes desde su captación; entrega a autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento. Excluye interior del propio domicilio. Cámaras FCS: Directiva (UE) 2016/680.
Art. 23
Exclusión publicitaria: consulta obligatoria del sistema para mercadotecnia directa.
Art. 24
Informantes de infracciones: Ley reguladora de la protección de los informantes.
Art. 25
Función estadística pública: secreto estadístico puede limitar arts. 15-22 RGPD.
Art. 26
Archivo en interés público: Ley 16/1985 del Patrimonio Histórico Español.
Art. 27
Infracciones administrativas: órgano competente + datos estrictamente necesarios.
Título V · Responsable y encargado (28-39)
Art. 28
Obligaciones generales: medidas técnicas y organizativas valorando mayores riesgos (discriminación, fraude, perfiles, vulnerables, masivo, transf. intl.).
Art. 29
Corresponsabilidad: según actividades efectivamente desarrolladas.
Art. 30
Representantes no-UE: AEPD impone solidariamente con el responsable o encargado.
Art. 31
Registro de actividades: obligatorio (salvo art. 30.5 RGPD). Sujetos del art. 77.1: inventario electrónico público.
Art. 32
Bloqueo: obligado a bloquear los datos cuando proceda a su rectificación o supresión. Bloqueo = identificación y reserva de los mismos, adoptando medidas técnicas y organizativas; excepción: puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular autoridades de protección de datos. incluye autoridades PD. Sello 2020-2021-2022.
Art. 33
Encargado: acceso ≠ comunicación. Quien actúe en su propio nombre = responsable. Fin de prestación: destrucción/devolución/nuevo encargado.
Art. 34
DPD obligatorio: colegios prof., centros docentes (incl. Universidades), telco gran escala, SSI con perfiles, crédito, financ. crédito, aseguradoras, inversión, eléctrica/gas, solvencia/fraude, publicidad/perfiles, centros sanitarios (NO profesionales individuales), informes comerciales, juego online, seguridad privada, federaciones deportivas con datos de menores. Comunicación a AEPD: plazo de diez días. Sello 2020-2022.
Art. 35
Cualificación DPD: mecanismos voluntarios de certificación + titulación universitaria.
Art. 36
Posición DPD: interlocutor de AEPD. No removible ni sancionable salvo dolo o negligencia grave. Vulneración relevante: comunicación inmediata a la dirección.
Art. 37
Reclamación con DPD: vía previa, decisión al afectado en plazo máximo de dos meses a contar desde la recepción de la reclamación. Si AEPD remite: DPD responde en el plazo de un mes. Sello 2024.
Art. 38
Códigos de conducta: vinculantes para adheridos. Aprobación por AEPD o autoridad autonómica. Real decreto regula procedimiento.
Art. 39
Acreditación de certificación: Entidad Nacional de Acreditación (ENAC).
Arts. 40-43
Transferencias internacionales (Título VI): régimen general Cap. V RGPD; AEPD decide adecuación, cláusulas tipo, normas corporativas vinculantes y excepciones; autorización previa; información previa.
Título VII · Autoridades PD (44-62)
Art. 44
AEPD: autoridad administrativa independiente de ámbito estatal (Ley 40/2015); actúa con plena independencia de los poderes públicos. Denominación: «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente». Se relaciona con el Gobierno a través del Ministerio de Justicia no Mº Interior. Representante común en Comité Europeo. Sello 2021-2022.
Art. 45
Régimen jurídico: RGPD + LOPDGDD + desarrollo. Supletoriamente art. 110.1 Ley 40/2015. El Gobierno, a propuesta de la Agencia Española de Protección de Datos, aprobará su Estatuto mediante real decreto. Sello 2025.
Art. 46
Régimen económico: presupuesto integrado con independencia en PGE. Presidencia autoriza modif. hasta tres por ciento; Mº Hacienda hasta cinco por ciento; Gobierno el resto. Control IGAE. Sello 2023.
Art. 47
Funciones y potestades: arts. 57 (funciones) y 58 (potestades) RGPD.
Art. 48
Presidencia: dirige, representa, dicta resoluciones, circulares y directrices; auxiliada por Adjunto. Nombrados por el Gobierno a propuesta del Mº Justicia; ratificación Comisión de Justicia por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse, mayoría absoluta en segunda votación. Mandato: tiene una duración de cinco años y puede ser renovado para otro período de igual duración. Recursos: Sala de lo Contencioso-administrativo de la Audiencia Nacional. Sello 2021.
Art. 49
Consejo Consultivo: asesora a la Presidencia. Miembros (fijos): 1 Diputado, 1 Senador, 1 CGPJ, 1 AGE (Mº Justicia), 1 por CCAA con autoridad propia, FEMP, Consumidores, 2 OOEE, profesional PD, organismo supervisión códigos, CRUE, colegios profesionales, seg. información, Consejo Transparencia, 2 sindicatos. Nombrados por orden del Ministro de Justicia, publicada en el Boletín Oficial del Estado. Se reúne una vez al semestre. Las decisiones tomadas por el Consejo Consultivo no tendrán en ningún caso carácter vinculante NO vinculante. Sello 2020-2021-2023-2025.
Art. 50
Publicidad: AEPD publica resoluciones de Presidencia (atención de derechos, fin de procedimientos, archivo, medidas cautelares…).
Art. 51
Investigación: funcionarios de AEPD o ajenos habilitados expresamente por su Presidencia. Tendrán la consideración de agentes de la autoridad; deber de secreto, incluso después de cesar. Sello 2023.
Arts. 52-53
Colaboración y alcance: Admin/particulares facilitan datos. Inspección, requerimiento, examen, copia. Domicilio constitucionalmente protegido: consentimiento o autorización judicial.
Art. 53 bis
Investigación digital por videoconferencia con conformidad del inspeccionado (en vigor desde mayo 2023).
Arts. 54-55
Auditoría y circulares: acordadas por Presidencia AEPD; directrices de obligado cumplimiento; circulares serán obligatorias una vez publicadas en el Boletín Oficial del Estado.
Art. 56
Acción exterior: AEPD titularidad y ejercicio en protección de datos; representa al Reino de España (Comité Europeo, art. 68.4 RGPD). Sello 2023.
Arts. 57-58
Autoridades autonómicas: sector público autonómico/local; pueden dictar circulares. Cooperación AEPD-autonómicas: reuniones semestrales.
Art. 59
Tratamientos contrarios al RGPD: AEPD requiere a autoridad autonómica adoptar medidas en el plazo de un mes.
Arts. 60-62
Coordinación: comunicaciones con Comité Europeo por conducto de AEPD; intervención transfronterizos; resolución de conflictos (art. 65 RGPD).
Título VIII · Procedimientos (63-69)
Art. 63
Régimen jurídico: arts. 15-22 RGPD + investigación de infracciones. Subsidiariamente, normas grales. de procedimiento administrativo. Desarrollo por real decreto del Gobierno. Sello 2022.
Art. 64
Iniciación y duración: arts. 15-22 RGPD = seis meses (silencio = estimada). Sancionador = duración máxima de doce meses a contar desde la fecha del acuerdo de inicio; caducidad y archivo. Apercibimiento = seis meses. Suspensión automática si se recaba pronunciamiento UE. Sello 2024.
Art. 65
Admisión a trámite: AEPD inadmitirá si no versan sobre PD, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales. Puede inadmitir si responsable adoptó medidas correctivas tras advertencia. Remisión al DPD/código → responsable sin DPD ni código responde en el plazo de un mes. Notificación al reclamante en el plazo de tres meses (silencio = prosigue la tramitación). Sello 2020-2022-2024.
Art. 66
Alcance territorial: AEPD examina su competencia previamente (principal/transfronterizo).
Art. 67
Actuaciones previas: anteceden al acuerdo de inicio. No podrán tener una duración superior a dieciocho meses desde admisión o iniciación de oficio.
Art. 68
Acuerdo de inicio sancionador: corresponde a la Presidencia de la AEPD; concreta hechos, identificación, infracción y posible sanción.
Art. 69
Medidas provisionales: AEPD acuerda motivadamente las del art. 66.1 RGPD, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado. Menoscabo grave → bloqueo + cesación del tratamiento + inmovilización si se incumple. Sello 2023-2024.