La LOPDGDD (Ley Orgánica 3/2018) es la norma española que adapta y complementa el RGPD. No sustituye al Reglamento europeo, sino que lo desarrolla en áreas donde el RGPD permite margen a los Estados miembros: edad de consentimiento de menores, régimen sancionador específico, tratamiento de datos de personas fallecidas, sistemas de exclusión publicitaria y garantías de los derechos digitales en el entorno laboral.
Para compradores PE, la LOPDGDD importa por dos razones. Primera: la AEPD (Agencia Española de Protección de Datos) es una de las autoridades supervisoras con mayor volumen de resoluciones sancionadoras en Europa. Tiene un historial de sanciones por prácticas de marketing sin consentimiento, envío de comunicaciones comerciales no solicitadas y falta de atención a derechos de los interesados. Segunda: la LOPDGDD introduce obligaciones que no están en el RGPD y que afectan directamente a operaciones D2C en España.
En las auditorías de empresas D2C españolas que realizamos, el patrón es consistente: el target cumple formalmente con el RGPD (política de privacidad, banner de cookies) pero no ha integrado las obligaciones específicas de la LOPDGDD en su operación. Sistemas de exclusión publicitaria como la Lista Robinson no están consultados. El consentimiento para comunicaciones comerciales electrónicas no cumple con la LSSI (Ley 34/2002). Y los derechos digitales laborales del Título X de la LOPDGDD no están implementados.
Análisis por Tema
Revisión pre-LOI con foco en obligaciones específicas de la LOPDGDD y patrones de enforcement de la AEPD. Cinco áreas de investigación para el mercado español.
Leer análisis →Análisis de los patrones sancionadores de la AEPD relevantes para empresas D2C: comunicaciones comerciales, cookies, derechos de interesados y bases legales de marketing.
Leer análisis →La LOPDGDD introduce varias obligaciones que no existen en el RGPD y que crean exposición adicional para empresas D2C en España. Las más relevantes para contexto PE:
Sistemas de exclusión publicitaria (Art. 23): Los responsables de ficheros de datos con fines publicitarios deben consultar los sistemas de exclusión publicitaria (Lista Robinson) antes de enviar comunicaciones comerciales. El incumplimiento es sancionable y la AEPD lo verifica activamente. Para empresas D2C con estrategias de email marketing y SMS, esta obligación crea un paso operacional adicional que muchas no implementan.
Datos de personas fallecidas (Art. 3): La LOPDGDD regula el acceso y la rectificación de datos de personas fallecidas por parte de herederos o personas vinculadas. Esto es relevante para targets con bases de datos antiguas que pueden contener registros de personas fallecidas sobre los que familiares pueden ejercer derechos.
Derechos digitales en el entorno laboral (Título X): La LOPDGDD establece derechos digitales para empleados: desconexión digital, intimidad en el uso de dispositivos digitales, videovigilancia y geolocalización laboral. Para targets con fuerzas laborales significativas, el incumplimiento de estas obligaciones genera riesgo laboral además de riesgo de protección de datos.