IAOposicionesIAOposiciones
general·15 de julio de 2026·IAOposiciones

Ley de Protección de Datos (LOPD-GDD y RGPD): resumen para oposiciones

La protección de datos es una de esas materias que aparece en el temario de casi cualquier oposición —AGE, Administración Local, Sanidad, Cultura, Medio Ambiente— y que se estudia fatal, sobre todo por una confusión de base: la gente mezcla el RGPD europeo con la ley española y no sabe cuál es cuál. En esta guía lo vas a ver ordenado: qué es cada norma y cómo encajan, los principios y las bases del tratamiento, los derechos de las personas, quién es el responsable, el encargado y el Delegado de Protección de Datos, y el papel de la AEPD, con sus sanciones. Lo justo para dominarlo en el examen sin perderte.

Antes de entrar en detalle, quédate con la idea que resuelve el 90% de las dudas: la protección de datos en España se rige por dos normas que van de la mano. Una europea, el RGPD, y una española, la LOPD-GDD. No compiten: la española desarrolla y completa a la europea. Vamos a verlas.

¿Cómo se llama ahora la ley de protección de datos?

La ley española vigente es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que se abrevia LOPD-GDD (o simplemente LOPDGDD). Se publicó en el BOE el 6 de diciembre de 2018 y entró en vigor al día siguiente.

Es un error muy típico —y una pregunta de examen— hablar todavía de «la LOPD» a secas: esa era la Ley Orgánica 15/1999, que quedó derogada. Si estudias de apuntes viejos que citen la 15/1999, están desfasados.

El nombre completo importa

Fíjate en el «y garantía de los derechos digitales» del título: no es un adorno. La ley española añade al RGPD un bloque entero de derechos digitales (Título X) que no está en la norma europea y que cae en el examen. Lo vemos al final.

RGPD y LOPD-GDD: qué es cada uno y en qué se diferencian

Esta es la pregunta estrella («¿qué diferencia hay entre LOPD y RGPD?»). La respuesta corta: uno es europeo y el otro español, y el español desarrolla al europeo. La respuesta con matices:

Atajo memo

RGPD = Europa, reglamento, marco general. LOPD-GDD = España, ley orgánica, desarrollo + derechos digitales. No es «uno u otro»: se estudian juntos, porque en el examen te preguntan de los dos.

¿Cuáles son los principios de la protección de datos?

Los principios que rigen todo tratamiento de datos están en el artículo 5 del RGPD. Son la columna vertebral de la materia y de las preguntas «de concepto»:

A estos seis se añade un séptimo que es la gran novedad del RGPD: la responsabilidad proactiva (o accountability). No basta con cumplir: el responsable debe poder demostrar que cumple. De ahí salen obligaciones como el registro de actividades, la evaluación de impacto o la protección de datos desde el diseño y por defecto.

Ojo con la pregunta de «los 4 principios»

Verás por ahí referencias a «los 4 principios de la protección de datos». Es una simplificación: el artículo 5 del RGPD enumera seis principios relativos al tratamiento, más la responsabilidad proactiva. Estudia los del art. 5; si te piden «los principios», son esos.

Cuándo se pueden tratar datos: las bases de legitimación

Para tratar datos hace falta una base jurídica. El artículo 6 del RGPD lista seis, y basta con que concurra una:

Clave para las Administraciones: el consentimiento no es la única base ni la principal en el sector público; ahí pesan mucho la obligación legal y la misión de interés público / poderes públicos.

Los datos especialmente protegidos (categorías especiales)

El artículo 9 del RGPD prohíbe, con carácter general, tratar las llamadas categorías especiales de datos, salvo excepciones tasadas (consentimiento explícito, intereses vitales, fines de salud pública, etc.). Son:

el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos y biométricos dirigidos a identificar de forma unívoca a una persona, los datos de salud y los relativos a la vida sexual o la orientación sexual. Los datos penales tienen además un régimen propio (art. 10).

Los derechos de las personas (los «nuevos ARCO»)

Los clásicos derechos ARCO (acceso, rectificación, cancelación y oposición) de la antigua ley se han ampliado con el RGPD. Hoy los derechos del interesado (arts. 15 a 22) son:

Atajo memo de los derechos

Piensa en «A-R-S-L-P-O» + automatizadas: Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición. La regla general: el responsable debe atenderlos, de forma gratuita, en el plazo de un mes (ampliable a dos más si la solicitud es compleja).

Quién es quién: responsable, encargado y Delegado de Protección de Datos

Otro clásico donde se pierden puntos por confundir figuras:

La AEPD y el régimen sancionador

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente que vela por el cumplimiento de la normativa en España: atiende reclamaciones, investiga y sanciona. Algunas Comunidades Autónomas tienen además su propia autoridad autonómica de protección de datos.

Y aquí está el dato que todo el mundo recuerda: las sanciones del RGPD (art. 83) pueden llegar hasta 20 millones de euros o, si es una empresa, hasta el 4% del volumen de negocio anual mundial del ejercicio anterior, la cuantía que sea mayor. La LOPD-GDD gradúa las infracciones en muy graves, graves y leves y precisa los plazos de prescripción.

Los derechos digitales (Título X): la parte «española»

Es lo que distingue a la LOPD-GDD del RGPD y una zona que muchos opositores se saltan (y luego cae). El Título X reconoce un catálogo de derechos digitales, entre ellos:

Llévate la Guía Express de Protección de Datos

PDF con el mapa RGPD vs LOPD-GDD, los principios del art. 5, las bases de legitimación, los derechos del interesado, las figuras clave (responsable, encargado y DPD) y las sanciones. Imprime y al examen.

¿Dónde descargar la ley de protección de datos en PDF?

Para estudiar, usa siempre los textos consolidados del BOE (www.boe.es): la Ley Orgánica 3/2018 y, en la web de la UE (EUR-Lex), el Reglamento (UE) 2016/679. El texto consolidado se mantiene actualizado con todas las modificaciones. Huye de PDF sueltos sin fecha ni fuente: en protección de datos, estudiar una versión antigua (o la derogada LO 15/1999) se paga carísimo en el examen.

Cómo estudiar la protección de datos para tu oposición

Y aquí una herramienta especializada acorta mucho el camino. En IAOposiciones, Atenea (el profesor con IA) te explica cualquier artículo del RGPD o de la LOPD-GDD con su literalidad y ejemplos, y Némesis (el evaluador) te pone tests centrados justo en lo que más cae: principios, bases, derechos y sanciones.

En resumen

La protección de datos es transversal a casi todas las oposiciones. Tres ideas para llevarte:

  1. 1.Son dos normas que van juntas: el RGPD (europeo, reglamento, marco general) y la LOPD-GDD / LO 3/2018 (española, desarrollo + derechos digitales).
  2. 2.El esqueleto: principios (art. 5), bases del tratamiento (art. 6), categorías especiales (art. 9) y derechos del interesado (arts. 15-22).
  3. 3.Los datos que se preguntan: DPD obligatorio en el sector público, plazo de un mes para los derechos y sanciones de hasta 20 M€ o el 4% del volumen de negocio.

Domina la protección de datos haciendo tests

Saber la teoría es solo la mitad: esta materia se domina haciendo tests. En IAOposiciones tienes un Evaluador con IA que te genera preguntas del RGPD y la LOPD-GDD calibradas al estilo del examen, y un Profesor que te resuelve al instante cualquier artículo (los principios, los derechos, las sanciones…). El método que te lleva al examen con esta materia dominada. Conoce el método →

Preguntas frecuentes

¿Qué diferencia hay entre la LOPD y el RGPD?+

El RGPD es el Reglamento (UE) 2016/679, una norma europea directamente aplicable en toda la UE desde el 25 de mayo de 2018, que fija el marco general (principios, bases, derechos y obligaciones). La LOPD-GDD es la Ley Orgánica 3/2018, la norma española que desarrolla y completa el RGPD en lo que este deja a cada Estado, regula la Agencia Española de Protección de Datos, precisa el régimen sancionador y añade un catálogo de derechos digitales. No son alternativas: se aplican de forma conjunta.

¿Cómo se llama ahora la ley de protección de datos?+

La ley española vigente es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD). Sustituyó a la antigua Ley Orgánica 15/1999 (LOPD), que quedó derogada. Junto a ella se aplica el RGPD europeo.

¿Cuáles son los principios de la protección de datos?+

El artículo 5 del RGPD enumera seis: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad. A ellos se suma la responsabilidad proactiva (accountability): el responsable no solo debe cumplir, sino poder demostrarlo.

¿Cuáles son los derechos del interesado en protección de datos?+

Los recogidos en los artículos 15 a 22 del RGPD: acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad, oposición y el derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles. Amplían los antiguos derechos ARCO. El responsable debe atenderlos, gratuitamente, en el plazo de un mes (ampliable a dos más si la solicitud es compleja).

¿Qué es la AEPD y cuánto puede sancionar?+

La Agencia Española de Protección de Datos es la autoridad de control independiente que vela por el cumplimiento de la normativa en España. Las sanciones del RGPD (art. 83) pueden llegar hasta 20 millones de euros o, tratándose de una empresa, hasta el 4% del volumen de negocio anual mundial del ejercicio anterior, la cuantía que sea mayor. La LOPD-GDD gradúa las infracciones en muy graves, graves y leves.

¿Cuándo es obligatorio el Delegado de Protección de Datos?+

El Delegado de Protección de Datos (DPD o DPO) es obligatorio, entre otros supuestos, para todas las autoridades y organismos públicos, cuando la actividad principal exige una observación habitual y sistemática de interesados a gran escala, y cuando se tratan a gran escala categorías especiales de datos. Es la figura interna que asesora y supervisa el cumplimiento.

¿Qué son los datos especialmente protegidos?+

Son las categorías especiales del artículo 9 del RGPD, cuyo tratamiento está prohibido salvo excepciones tasadas: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de forma unívoca a una persona, datos de salud y datos relativos a la vida sexual o la orientación sexual.

CompartirWhatsAppX (Twitter)

Sigue leyendo

Empieza 7 días gratis

50 al activar tu cuenta y otros 50 si entras con el enlace de un amigo. Luego desde 5,99 €/mes. Cancela cuando quieras.

Probar IAOposiciones