La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) establece en su articulado una serie de excepciones fundamentales que delimitan su ámbito de aplicación. El artículo 2 de esta normativa detalla con precisión qué tipos de datos y tratamientos quedan fuera de su cobertura, ofreciendo así un marco claro tanto para ciudadanos como para organizaciones que gestionan información personal en España. Esta ley orgánica, que entró en vigor hace más de seis años, tiene como propósito principal adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y garantizar los derechos digitales de la ciudadanía conforme al mandato constitucional.
Sin embargo, no todos los datos personales ni todas las situaciones están sujetas a sus disposiciones, tal y como establece expresamente el artículo 2 al enumerar las principales excepciones que deben tenerse en cuenta. Entre las exclusiones más relevantes destaca que los datos de personas fallecidas no están cubiertos por esta ley, aunque existe una regulación específica en el artículo 3 que permite a familiares directos o herederos ejercer ciertos derechos sobre la información del difunto. Asimismo, quedan fuera del ámbito de aplicación los tratamientos de carácter personal o doméstico, las materias clasificadas como secretos oficiales y aquellos supuestos que ya cuentan con legislación sectorial propia.
El que esta norma tiene un doble objetivo fundamental. Por un lado, busca adaptar el ordenamiento jurídico español al Reglamento UE 2016/679, conocido como RGPD, que protege a las personas físicas en relación con el tratamiento de sus datos personales y la libre circulación de estos datos dentro del territorio europeo. Por otro lado, pretende garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución Española de 1978. Esta disposición inicial refuerza el concepto de que el derecho fundamental de las personas físicas a la protección de sus datos personales, reconocido constitucionalmente, debe ejercerse según lo dispuesto tanto en el Reglamento europeo como en la propia ley orgánica española.
La primera excepción contemplada en el artículo 2 de la LOPDGDD hace referencia a aquellos tratamientos de datos que ya están expresamente excluidos por el artículo 2.2 del RGPD. Entre estos supuestos destacan las actividades de carácter personal o doméstico, como puede ser una agenda privada sin ningún fin profesional o comercial, o el intercambio de información entre familiares a través de medios personales. También quedan fuera del ámbito de aplicación las actividades que se desarrollan fuera del ámbito del Derecho de la Unión Europea, especialmente aquellas relacionadas con ciertas funciones del Estado en materia de seguridad nacional o defensa. Estas exclusiones responden a la necesidad de equilibrar la protección de datos con otros intereses legítimos de carácter superior reconocidos en el ordenamiento jurídico.
Regulación específica para datos de personas fallecidas
Una de las particularidades más significativas del artículo 2 es que los datos de personas fallecidas no están cubiertos por las disposiciones generales de la LOPDGDD. Esta exclusión se fundamenta en que el derecho a la protección de datos es un derecho personalísimo que se extingue con el fallecimiento de su titular. No obstante, la ley contempla en su artículo 3 una regulación específica que permite a determinadas personas vinculadas con el fallecido ejercer ciertos derechos sobre sus datos personales. De esta forma, familiares directos, herederos o personas designadas expresamente por el fallecido pueden solicitar el acceso, rectificación o supresión de datos en determinadas circunstancias, siempre que el difunto no lo hubiera prohibido expresamente o así lo establezca una ley.
El artículo 2 también establece que no se aplica la LOPDGDD a tratamientos de datos regulados por normas sobre secretos oficiales e información clasificada, siempre que una ley especial así lo establezca. Esta excepción responde a la necesidad de proteger información sensible relacionada con la seguridad del Estado, la defensa nacional o las relaciones internacionales. En estos casos, prevalecen las disposiciones contenidas en la Ley 9/1968, de 5 de abril, sobre Secretos Oficiales, y en la normativa sobre protección de información clasificada, que establecen regímenes especiales de acceso y tratamiento de datos que, por su naturaleza, requieren un grado de confidencialidad superior al ordinario.
Tratamientos con legislación sectorial específica
Otra de las excepciones contempladas hace referencia a aquellos tratamientos de datos que cuentan con una normativa sectorial propia y específica. Cuando un tratamiento de datos no está sometido al RGPD por no estar dentro del ámbito de aplicación del Derecho de la Unión Europea, y existe una norma sectorial que lo regula expresamente, se aplicará esa legislación específica, siendo el RGPD y la LOPDGDD normas supletorias. Entre los ejemplos más habituales de estos tratamientos se encuentran el Régimen Electoral, el Registro Civil, los Registros de la Propiedad y Mercantiles, así como los datos gestionados por instituciones penitenciarias.
Cada uno de estos ámbitos cuenta con su propia normativa que establece reglas particulares sobre el tratamiento de la información personal, adaptadas a las necesidades y particularidades de cada sector. Los tratamientos de datos realizados en el ejercicio de la función jurisdiccional por juzgados, tribunales y el Ministerio Fiscal constituyen otro supuesto específico contemplado en el artículo 2. En estos casos, el RGPD y la LOPDGDD se aplican conjuntamente con la normativa procesal específica, estableciendo así un régimen mixto de protección.
Esta particularidad reconoce que la administración de justicia requiere un tratamiento especial de los datos personales, equilibrando el derecho fundamental a la protección de datos con otros derechos igualmente fundamentales como el acceso a la justicia, el derecho a un proceso justo y la publicidad de las actuaciones judiciales. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, conocida por sus siglas LOPDGDD, es la norma que regula en España el tratamiento de datos personales y los derechos digitales de la ciudadanía. Publicada en el Boletín Oficial del Estado el 6 de diciembre de 2018, esta ley sustituyó a la anterior Ley Orgánica 15/1999.
Su aprobación respondió a la necesidad de adaptar el marco jurídico español al Reglamento General de Protección de Datos de la Unión Europea, que es de aplicación directa en todos los Estados miembros desde el 25 de mayo de 2018. La LOPDGDD complementa y desarrolla las disposiciones del RGPD, estableciendo particularidades propias del ordenamiento español y regulando aspectos específicos como los derechos digitales en el ámbito laboral, educativo y de las redes sociales.
Cuáles son los derechos fundamentales en protección de datos
El derecho fundamental a la protección de datos personales está reconocido en el artículo 18.4 de la Constitución Española, que establece que "la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Este derecho ha sido posteriormente desarrollado por el Tribunal Constitucional como un derecho autónomo, diferente del derecho a la intimidad. Entre los derechos que reconoce la normativa de protección de datos destacan el derecho de acceso, rectificación, supresión (derecho al olvido), oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individuales automatizadas. Estos derechos pueden ejercerse ante cualquier responsable del tratamiento que gestione datos personales, siempre que se cumplan los requisitos establecidos en la normativa vigente.
Las excepciones establecidas en el artículo 2 de la LOPDGDD tienen implicaciones prácticas tanto para los ciudadanos como para las organizaciones que tratan datos personales. Para los primeros, es fundamental conocer en qué supuestos sus datos no están protegidos por esta normativa, lo que les permite comprender mejor sus derechos y las vías de reclamación disponibles en cada caso. Para las empresas, administraciones públicas y demás organizaciones, estas excepciones delimitan claramente el ámbito de aplicación de sus obligaciones en materia de protección de datos. Identificar correctamente si un tratamiento está excluido o regulado por normativa específica resulta esencial para aplicar correctamente el marco normativo correspondiente y evitar incumplimientos que podrían derivar en sanciones administrativas significativas.