General Data Protection Regulation
El GDPR establece obligaciones para el tratamiento de datos personales de ciudadanos de la UE, independientemente de dónde se procesen. Define derechos de los interesados, obligaciones de los responsables y encargados del tratamiento, y sanciones de hasta el 4% de la facturación global.
En vigor
25 may 2018
Articulos
99
Guias oficiales
5
Guias tecnicas y fuentes oficiales
AEPD - Guias y herramientas RGPD
Guias oficiales de la autoridad espanola de proteccion de datos.
EDPB - Guidelines, Recommendations and Best Practices
Repositorio oficial del European Data Protection Board con guias GDPR.
EDPB - Guidelines 01/2025 on pseudonymisation
Guia EDPB sobre pseudonimizacion y su valor para cumplimiento GDPR.
AEPD - Guias y herramientas RGPD
Guias oficiales de la autoridad espanola de proteccion de datos.
EDPB - Guidelines, Recommendations, Best Practices
Repositorio oficial del European Data Protection Board con guias GDPR.
CHAPTER I General provisions
4Subject-matter and objectives
El artículo 1 (Subject-matter and objectives) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Material scope
El artículo 2 (Material scope) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Territorial scope
El artículo 3 (Territorial scope) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Definitions
El artículo 4 (Definitions) establece obligaciones y criterios operativos dentro del marco DORA. For the purposes of this Regulation: (1) ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by refe
CHAPTER II Principles
7Principles relating to processing of personal data
Los datos personales deben tratarse con licitud, lealtad y transparencia; limitados al fin declarado; exactos; conservados el tiempo mínimo necesario; y con seguridad adecuada. El responsable debe demostrar el cumplimiento (responsabilidad proactiva).
Lawfulness of processing
El tratamiento de datos personales solo es lícito si el interesado dio su consentimiento, es necesario para ejecutar un contrato, existe obligación legal, interés vital, interés público o interés legítimo del responsable que no prevalezcan los derechos del interesado.
Conditions for consent
El artículo 7 (Conditions for consent) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Conditions applicable to child's consent in relation to information society services
El artículo 8 (Conditions applicable to child's consent in relation to information society services) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Processing of special categories of personal data
El artículo 9 (Processing of special categories of personal data) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Processing of personal data relating to criminal convictions and offences
El artículo 10 (Processing of personal data relating to criminal convictions and offences) establece obligaciones y criterios operativos dentro del marco DORA. Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law pro
Processing which does not require identification
El artículo 11 (Processing which does not require identification) establece obligaciones y criterios operativos dentro del marco DORA. 1.
General
73Transparent information, communication and modalities for the exercise of the rights of the data subject
El artículo 12 (Transparent information, communication and modalities for the exercise of the rights of the data subject) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Information to be provided where personal data are collected from the data subject
Cuando se recogen datos directamente del interesado, el responsable debe facilitar identidad y contacto del responsable y del DPO, fines y bases legales del tratamiento, destinatarios, transferencias internacionales, plazos de conservación y derechos del interesado.
Information to be provided where personal data have not been obtained from the data subject
El artículo 14 (Information to be provided where personal data have not been obtained from the data subject) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right of access by the data subject
El artículo 15 (Right of access by the data subject) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to rectification
El artículo 16 (Right to rectification) establece obligaciones y criterios operativos dentro del marco DORA. The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her.
Right to erasure (‘right to be forgotten’)
El artículo 17 (Right to erasure (‘right to be forgotten’)) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to restriction of processing
El artículo 18 (Right to restriction of processing) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Notification obligation regarding rectification or erasure of personal data or restriction of processing
El artículo 19 (Notification obligation regarding rectification or erasure of personal data or restriction of processing) establece obligaciones y criterios operativos dentro del marco DORA. The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this pro
Right to data portability
El artículo 20 (Right to data portability) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to object
El artículo 21 (Right to object) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Automated individual decision-making, including profiling
El artículo 22 (Automated individual decision-making, including profiling) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Restrictions
El artículo 23 (Restrictions) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Responsibility of the controller
El artículo 24 (Responsibility of the controller) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Data protection by design and by default
El artículo 25 (Data protection by design and by default) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Joint controllers
El artículo 26 (Joint controllers) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Representatives of controllers or processors not established in the Union
El artículo 27 (Representatives of controllers or processors not established in the Union) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Processor
El artículo 28 (Processor) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Processing under the authority of the controller or processor
El artículo 29 (Processing under the authority of the controller or processor) establece obligaciones y criterios operativos dentro del marco DORA. The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.
Records of processing activities
El artículo 30 (Records of processing activities) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Cooperation with the supervisory authority
El artículo 31 (Cooperation with the supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks.
Security of processing
El responsable y el encargado deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo: seudonimización, cifrado, resiliencia, copias de seguridad y procedimientos de prueba.
Notification of a personal data breach to the supervisory authority
Cuando se produce una brecha de datos, el responsable debe notificarla a la autoridad de control competente en un plazo de 72 horas, describiendo la naturaleza, categorías y número de interesados afectados, posibles consecuencias y medidas adoptadas.
Communication of a personal data breach to the data subject
El artículo 34 (Communication of a personal data breach to the data subject) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Data protection impact assessment
El artículo 35 (Data protection impact assessment) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Prior consultation
El artículo 36 (Prior consultation) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Designation of the data protection officer
El artículo 37 (Designation of the data protection officer) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Position of the data protection officer
El artículo 38 (Position of the data protection officer) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Tasks of the data protection officer
El artículo 39 (Tasks of the data protection officer) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Codes of conduct
El artículo 40 (Codes of conduct) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Monitoring of approved codes of conduct
El artículo 41 (Monitoring of approved codes of conduct) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Certification
El artículo 42 (Certification) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Certification bodies
El artículo 43 (Certification bodies) establece obligaciones y criterios operativos dentro del marco DORA. 1.
General principle for transfers
El artículo 44 (General principle for transfers) establece obligaciones y criterios operativos dentro del marco DORA. Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid
Transfers on the basis of an adequacy decision
El artículo 45 (Transfers on the basis of an adequacy decision) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Transfers subject to appropriate safeguards
El artículo 46 (Transfers subject to appropriate safeguards) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Binding corporate rules
El artículo 47 (Binding corporate rules) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Transfers or disclosures not authorised by Union law
El artículo 48 (Transfers or disclosures not authorised by Union law) establece obligaciones y criterios operativos dentro del marco DORA. Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international ag
Derogations for specific situations
El artículo 49 (Derogations for specific situations) establece obligaciones y criterios operativos dentro del marco DORA. 1.
International cooperation for the protection of personal data
El artículo 50 (International cooperation for the protection of personal data) establece obligaciones y criterios operativos dentro del marco DORA. In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: (a) develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protecti
Supervisory authority
El artículo 51 (Supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Independence
El artículo 52 (Independence) establece obligaciones y criterios operativos dentro del marco DORA. 1.
General conditions for the members of the supervisory authority
El artículo 53 (General conditions for the members of the supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Rules on the establishment of the supervisory authority
El artículo 54 (Rules on the establishment of the supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Competence
El artículo 55 (Competence) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Competence of the lead supervisory authority
El artículo 56 (Competence of the lead supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Tasks
El artículo 57 (Tasks) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Powers
El artículo 58 (Powers) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Activity reports
El artículo 59 (Activity reports) establece obligaciones y criterios operativos dentro del marco DORA. Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of measures taken in accordance with Article 58(2).
Cooperation between the lead supervisory authority and the other supervisory authorities concerned
El artículo 60 (Cooperation between the lead supervisory authority and the other supervisory authorities concerned) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Mutual assistance
El artículo 61 (Mutual assistance) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Joint operations of supervisory authorities
El artículo 62 (Joint operations of supervisory authorities) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Consistency mechanism
El artículo 63 (Consistency mechanism) establece obligaciones y criterios operativos dentro del marco DORA. In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.
Opinion of the Board
El artículo 64 (Opinion of the Board) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Dispute resolution by the Board
El artículo 65 (Dispute resolution by the Board) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Urgency procedure
El artículo 66 (Urgency procedure) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Exchange of information
El artículo 67 (Exchange of information) establece obligaciones y criterios operativos dentro del marco DORA. The Commission may adopt implementing acts of general scope in order to specify the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardi
European Data Protection Board
El artículo 68 (European Data Protection Board) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Independence
El artículo 69 (Independence) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Tasks of the Board
El artículo 70 (Tasks of the Board) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Reports
El artículo 71 (Reports) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Procedure
El artículo 72 (Procedure) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Chair
El artículo 73 (Chair) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Tasks of the Chair
El artículo 74 (Tasks of the Chair) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Secretariat
El artículo 75 (Secretariat) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Confidentiality
El artículo 76 (Confidentiality) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to lodge a complaint with a supervisory authority
El artículo 77 (Right to lodge a complaint with a supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to an effective judicial remedy against a supervisory authority
El artículo 78 (Right to an effective judicial remedy against a supervisory authority) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to an effective judicial remedy against a controller or processor
El artículo 79 (Right to an effective judicial remedy against a controller or processor) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Representation of data subjects
El artículo 80 (Representation of data subjects) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Suspension of proceedings
El artículo 81 (Suspension of proceedings) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Right to compensation and liability
El artículo 82 (Right to compensation and liability) establece obligaciones y criterios operativos dentro del marco DORA. 1.
General conditions for imposing administrative fines
Las infracciones del GDPR pueden acarrear multas de hasta 20 millones de euros o el 4% de la facturación mundial anual, lo que sea mayor. El nivel depende de la gravedad, intención, medidas adoptadas y nivel de cooperación.
Penalties
El artículo 84 (Penalties) establece obligaciones y criterios operativos dentro del marco DORA. 1.
CHAPTER IX Provisions relating to specific processing situations
7Processing and freedom of expression and information
El artículo 85 (Processing and freedom of expression and information) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Processing and public access to official documents
El artículo 86 (Processing and public access to official documents) establece obligaciones y criterios operativos dentro del marco DORA. Personal data in official documents held by a public authority or a public body or a private body for the performance of a task carried out in the public interest may be disclosed by the authority or body in accordance with Union or Member State law to which t
Processing of the national identification number
El artículo 87 (Processing of the national identification number) establece obligaciones y criterios operativos dentro del marco DORA. Member States may further determine the specific conditions for the processing of a national identification number or any other identifier of general application.
Processing in the context of employment
El artículo 88 (Processing in the context of employment) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes
El artículo 89 (Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Obligations of secrecy
El artículo 90 (Obligations of secrecy) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Existing data protection rules of churches and religious associations
El artículo 91 (Existing data protection rules of churches and religious associations) establece obligaciones y criterios operativos dentro del marco DORA. 1.
CHAPTER X Delegated acts and implementing acts
2CHAPTER XI Final provisions
6Repeal of Directive 95/46/EC
El artículo 94 (Repeal of Directive 95/46/EC) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Relationship with Directive 2002/58/EC
El artículo 95 (Relationship with Directive 2002/58/EC) establece obligaciones y criterios operativos dentro del marco DORA. This Regulation shall not impose additional obligations on natural or legal persons in relation to processing in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to
Relationship with previously concluded Agreements
El artículo 96 (Relationship with previously concluded Agreements) establece obligaciones y criterios operativos dentro del marco DORA. International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 24 May 2016, and which comply with Union law as applicable prior to that date, shall remain in for
Commission reports
El artículo 97 (Commission reports) establece obligaciones y criterios operativos dentro del marco DORA. 1.
Review of other Union legal acts on data protection
El artículo 98 (Review of other Union legal acts on data protection) establece obligaciones y criterios operativos dentro del marco DORA. The Commission shall, if appropriate, submit legislative proposals with a view to amending other Union legal acts on the protection of personal data, in order to ensure uniform and consistent protection of natural persons with regard to processing.
Entry into force and application
El artículo 99 (Entry into force and application) establece obligaciones y criterios operativos dentro del marco DORA. 1.