Reglamento General de Protección de Datos + Ley Orgánica 3/2018
Reg. (UE) 2016/679 · LO 3/2018
El marco europeo de protección de datos. Aplica desde el 25 de mayo de 2018. En España se complementa con la LO 3/2018 que regula derechos digitales adicionales. La AEPD impuso 281 sanciones por importe global de 35,59 M€ en 2024.
Estado en ÆGIS: activo. Flujo completo: evaluación guiada que detecta tus obligaciones, plantillas de documento listas para producir, y el agente razonando con citación literal verificada. Disponible desde el plan Pro.
Datos clave
- A QUIÉN OBLIGA
- Toda entidad que trate datos personales de personas físicas en la UE.
- SANCIÓN MÁXIMA
- 20 M€ o 4 % de la facturación anual mundial
- EN VIGOR DESDE
- 25/05/2018
- AUTORIDAD
- Agencia Española de Protección de Datos (AEPD)
- FUENTE OFICIAL
- https://eur-lex.europa.eu/eli/reg/2016/679/oj
Fechas clave
- RGPD aplicable desde 25/05/2018
- LOPDGDD vigente desde 07/12/2018
Obligaciones y artículos clave
El agente razona y cita literalmente sobre estos puntos. 68 referencias cargadas en el motor — muestra de 4.
La Audiencia Nacional ha establecido que cuando los hechos sancionados encajan en varios tipos del Art. 83 RGPD pero proceden de un mismo comportamiento antijurídico, la AEPD no puede sancionar separadamente cada infracción acumulando importes. Aplicación del concurso ideal o medial del derecho administrativo sancionador. Implicación práctica: en alegaciones de defensa, exigir a la AEPD que justifique por qué las infracciones imputadas no son manifestaciones del mismo comportamiento. El Tribunal Supremo puede establecer criterio definitivo.
Doctrina consolidada por la sentencia que rebajó Vodafone de €8,5M a €4,5M: la AEPD debe acreditar específicamente cada uno de los factores agravantes del Art. 83.2 RGPD que alega (intencionalidad, gravedad, duración, número de afectados, beneficio obtenido) con elementos de prueba concretos. La mera enumeración o la presunción no soporta la cuantificación máxima. Argumento de defensa estándar: exigir a la instrucción la justificación cuantitativa de cada agravante.
Doctrina derivada del caso Mercadona (rebaja 170.000€ → 7.000€): la AN reconoce como atenuante extremo la ejecución diligente de obligaciones formales previa al expediente: RAT actualizado, evaluaciones de riesgo documentadas, formación al personal, designación de DPD, respuesta proactiva a reclamaciones. La diligencia debida documentada (Art. 5.2 RGPD — responsabilidad proactiva ejercida) puede reducir sanciones en más de 90%.
Sentencia de 4 julio 2023. El TJUE establece que una empresa en posición dominante no puede invocar interés legítimo (Art. 6.1.f) como base para tratamientos amplios de datos cuando el consentimiento del usuario está coaccionado por la falta de alternativas reales. Aplicación práctica: las plataformas con posición dominante deben ofrecer alternativas sin tratamiento ampliado o el consentimiento es inválido por falta de libertad. Doctrina relevante para evaluar consentimientos en servicios de telecomunicaciones, redes sociales y plataformas de gran tamaño.
Qué puedes hacer con este marco en ÆGIS
Un cuestionario adaptativo determina qué obligaciones de RGPD + LOPDGDD aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.
Iniciar evaluación →- Notificación de Brecha de Seguridad a la AEPD
- Cláusula de confidencialidad y deber de secreto del personal
- Cláusula informativa para interesados (información por capas)
- Evaluación de Impacto en Protección de Datos (DPIA)
- Política de Privacidad e Información a Interesados
- Procedimiento de atención de derechos del interesado
- Acuerdo de Encargo de Tratamiento
- Registro de Actividades de Tratamiento (RAT)
Cruces con otros marcos
Estos marcos comparten obligaciones convergentes con RGPD + LOPDGDD. El agente las razona como un sistema, no como silos.
29 €/mes · garantía 60 días · sin tarjeta para probar