Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 10/01/2026
El ayuntamiento ordenó el corte del alumbrado público en una urbanización, lo que motivó una reclamación y, posteriormente, un recurso contencioso-administrativo que concluyó declarando la titularidad pública del suministro y la responsabilidad municipal en su mantenimiento.
Durante la tramitación del procedimiento, y con el fin de elaborar un informe técnico, se comunicaron los datos personales del reclamante a un tercero, vulnerándose así la normativa de protección de datos. Ante esta infracción, el ayuntamiento alegó que la responsabilidad recaía en el anterior cargo municipal que facilitó la información, sosteniendo que no podía imputarse al consistorio.
Sin embargo, la AEPD atribuye la infracción al ayuntamiento al considerar que dicho cargo actuó como representante de la entidad local en el marco de una actuación vinculada a una instalación eléctrica cuya titularidad y responsabilidad corresponden al propio ayuntamiento. En consecuencia, tanto la decisión como los hechos se produjeron por iniciativa y en beneficio de la entidad municipal, que era quien determinaba los fines y medios del tratamiento de los datos.
Por ello, el ayuntamiento debe ser considerado responsable a efectos del RGPD, con independencia de que la persona que ejecutó materialmente la comunicación ya no ostentara el cargo en el momento de la investigación.
Número de documento: EXP202405952
Fecha de documento: 10/01/2026
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: Con fecha 7 de marzo de 2024 se interpuso reclamación ante la Agencia
Española de Protección de Datos por una posible infracción imputable al AYUNTAMIENTO DE LA ADRADA con NIF P0500200A (en adelante, AYUNTAMIENTO).
Los hechos que se ponen en conocimiento de esta autoridad son los siguientes:
La parte reclamante es el propietario de una vivienda en una urbanización que se encuentra en el término municipal de la Administración local reclamada.
La parte reclamante pone de manifiesto que, en fecha ***FECHA.1, el ***CARGO.1 del AYUNTAMIENTO (A.A.A.) ordenó el corte del alumbrado de las calles de la urbanización en la que reside la parte reclamante. La citada actuación motivó la presentación de una queja ante el Procurador del Común de Castilla y León, en fecha 18 de agosto de 2021.
En fecha 19 de noviembre de 2021 se dictó resolución por parte del Procurador del Común de Castilla y León, en la que se requería al AYUNTAMIENTO para que se adoptaran las medidas necesarias para reponer y prestar el servicio de alumbrado público de la zona afectada.
En fecha 3 de octubre de 2022 la parte reclamante presentó recurso contencioso administrativo, solicitando, entre otras cuestiones, la adopción de la medida cautelar para que se requiriera al AYUNTAMIENTO para que, de manera inmediata, se adoptaran las medidas necesarias para la reposición y prestación del servicio de alumbrado público en las calles de la citada urbanización.
La parte reclamante prosigue manifestando que el Juzgado dio traslado de esta petición al AYUNTAMIENTO, el cual se opuso a la misma. En su contestación, acompañó a su escrito, entre otros documentos, una certificación de inspección periódica de baja tensión suscrita por un técnico, de fecha 21 de abril de 2022, en el cual se puede leer: datos del titular y representante en su caso: B.B.B., junto a su DNI y domicilio.
Como consecuencia de este informe, entre otras apreciaciones, la medida cautelar solicitada fue denegada, mediante Auto de X de noviembre de 20XX, al considerarse la instalación de titularidad privada. En unas diligencias previas abiertas en el Juzgado de ***LOCALIDAD.1, se constató que el técnico que firmó el informe había incluido en su informe que el responsable de la instalación era la parte reclamante porque así lo había indicado el ***CARGO.1.
En fecha 13 de junio de 2023 se dictó sentencia mediante la que se estimaba íntegramente el recurso contencioso administrativo presentado por la parte reclamante, y en la que se declaraba no ajustada a derecho la actuación consistente en el corte del suministro de luz del alumbrado de la citada urbanización, en la medida en que "había quedado acreditado que tanto la titularidad pública del suministro, como la contratación y el pago de los trabajos de mantenimiento por parte del AYUNTAMIENTO".
De este modo, la parte reclamante manifiesta en su reclamación, que el ***CARGO.1 facilitó sus datos personales (nombre, apellidos, DNI) a una empresa que realizó una inspección de la instalación eléctrica, atribuyéndole indebidamente la condición de titular o representante del servicio, vulnerándose con ello la normativa de protección de datos.
Junto a la reclamación aporta, entre otros documentos, la queja formulada ante el Procurador del Común de Castilla y León y las resoluciones dictadas por la administración de justicia para resolver la controversia.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación al AYUNTAMIENTO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
La notificación del traslado de la reclamación, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP) mediante notificación electrónica, no fue recogida por la parte reclamada, dentro del plazo de puesta a disposición, entendiéndose rechazada conforme a lo previsto en el art. 43.2 de la LPACAP en fecha 28 de abril de 2024, como consta en el certificado que obra en el expediente.
Aunque la notificación se practicó por medios electrónicos, a título informativo se envió una copia por correo postal que fue notificada fehacientemente en fecha 9 de mayo de 2024. En dicha notificación se le recordaba a la parte reclamada su obligación de relacionarse electrónicamente con la Administración y se le informaban de los medios de acceso a dichas notificaciones, reiterando que, en lo sucesivo, se le notificaría exclusivamente por medios electrónicos.
En fecha 7 de octubre de 2024 se ha recibido contestación al escrito de traslado, en el que se pone de manifiesto que se envían unas medidas adoptadas en relación con la reclamación presentada.
En dicho escrito se presenta un informe de auditoría, en el que se recoge:
"1. Objetivo y campo de aplicación.
El presente plan de mejora es un conjunto de medidas de cambio que se toman en el AYUNTAMIENTO DE LA ADRADA para lograr una mejora del rendimiento en el cumplimiento en materia LOPDGDD y RGPD.
El plan de mejora se constituye, por tanto, como una herramienta para mejorar la gestión como consecuencia de la implantación del Sistema de Protección de Datos Personales en la empresa.
2. Desarrollo del plan de mejora.
AYUNTAMIENTO DE LA ADRADA ha organizado la gestión de la seguridad de la información de la empresa designando a (…) como DPO.
Con fecha 20 de mayo de 2024, AYUNTAMIENTO DE LA ADRADA realizó un proceso de auditoría interna y, en base a ella, a continuación, se exponen las actuaciones o tareas para la protección de datos de carácter personal que se recomienda ejecutar para el logro del nivel de integración de las Seguridad de la Información deseado:" Como tareas, tienen asignadas:
Informe de perdón público de A.A.A..
Formación presencial de todos los empleados del Ayuntamiento en protección de datos para Administraciones Públicas.
Elaboración de EIPD con el fin de evitar la vulneración de la Ley Orgánica de Protección de Datos
TERCERO: Con fecha 7 de junio de 2024, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación.
CUARTO: Con fecha 24 de marzo de 2025 la Presidencia de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, con arreglo a lo dispuesto en los artículos 63 y 64 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), por la presunta infracción del Artículo 6.1 del RGPD, tipificada en el Artículo 83.5.a) del RGPD.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), la parte reclamada ha presentado dos escritos de alegaciones, en fecha 16 de abril y 4 de agosto de 2025, en el que, en síntesis, manifestaba que se ratificaba en lo ya presentado en su anterior escrito.
Asimismo, manifiesta que la reclamación no se presentó contra el AYUNTAMIENTO sino contra la persona del ***CARGO.1, por la actividad desarrollada siendo ***CARGO.1, sin que el AYUNTAMIENTO tenga responsabilidad en los hechos irregulares cometidos por el anterior (…), por lo que entiende que este expediente sancionador debe dirigirse contra éste y no contra el Ayuntamiento, ya que, en caso contrario, no se le exigiría ningún tipo de responsabilidad, lo que no parece que sea de justicia.
En este sentido, el AYUNTAMIENTO considera que el ***CARGO.1 falseó conscientemente los datos personales de la parte reclamante, al señalarle como titular de una red de alumbrado público titularidad del propio AYUNTAMIENTO, y entiende que es evidente que la responsabilidad debe reclamársele a él mismo y no al actual AYUNTAMIENTO, que nada tiene que ver con la presunta actuación irregular del anterior ***CARGO.1.
Asimismo, el AYUNTAMIENTO señala que está en plena disposición para llevar a cabo cuantas medidas sean necesarias para garantizar la protección de datos de acuerdo con la normativa vigente, pero que, en ningún caso se le puede hacer responsable de la actuación irregular y contraria a la normativa que llevó a cabo el anterior ***CARGO.1, máxime cuando se tiene conocimiento de la existencia de una cuestión penal que se tramita ante el Juzgado de Instrucción en relación con los hechos objeto de denuncia.
SEXTO: Con fecha 30 de octubre de 2025 se formuló propuesta de resolución, proponiendo la Presidencia de la Agencia Española de Protección de Datos que se declare que el AYUNTAMIENTO DE LA ADRADA, con NIF P0500200A, ha infringido lo dispuesto en el Artículo 6.1 del RGPD, tipificada en el Artículo 83.5.a) del RGPD
SÉPTIMO: Notificada la propuesta de resolución conforme a las normas establecidas en la LPACAP, y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
De las actuaciones practicadas en el presente procedimiento y de la documentación obrante en el expediente, han quedado acreditados los siguientes:
PRIMERO: El ***FECHA.1 se ordenó por el AYUNTAMIENTO DE LA ADRADA, el corte del alumbrado de las calles de la urbanización "(…)", en la que la parte reclamante es propietario de una vivienda.
SEGUNDO: El 18 de agosto de 2021 la parte reclamante presentó una queja ante el Procurador Común de Castilla León, que fue resuelta en fecha 19 de noviembre de 2021 en la que se requería al AYUNTAMIENTO que adoptara las medidas necesarias para reponer y prestar el servicio de alumbrado público de la zona afectada.
TERCERO: En fecha 3 de octubre de 2022 la parte reclamante presentó recurso contencioso administrativo solicitando la adopción de la medida cautelar consistente en que se requiera al AYUNTAMIENTO que adopte las medidas necesarias para la reposición y prestación del servicio de alumbrado público en las calles de la citada urbanización.
CUARTO: En fecha 8 de noviembre de 2022 se dicta Auto por el que se deniega la medida cautelar solicitada, basándose en una certificación de inspección periódica suscrita por un técnico en fecha 21 de abril de 2022 en el que se recogía que la citada instalación era de titularidad de la parte reclamante: "datos del titular y representante en su caso: B.B.B., junto a su DNI y domicilio".
QUINTO: Mediante sentencia de 13 de junio de 2023 del Juzgado de lo Contencioso Administrativo de ***LOCALIDAD.1, se determinó, entre otras cuestiones, la titularidad pública del suministro, así como que la contratación y el pago de los trabajos de mantenimiento se había realizado por el AYUNTAMIENTO.
SEXTO: En fecha 21 de abril de 2022 se comunicaron los datos personales de la parte reclamante consistentes en nombre y apellidos, DNI y domicilio a un tercero al que el AYUNTAMIENTO había solicitado la elaboración de una certificación de inspección periódica, indicándose literalmente "Inspección realizada a petición del AYUNTAMIENTO de LA ADRADA, en función de interesado".
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
II
Procedimiento
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones, de conformidad con lo establecido en el artículo 64 de la LOPDGDD.
III
Contestación a las alegaciones al acuerdo de inicio
El AYUNTAMIENTO manifiesta en sus escritos de alegaciones que la reclamación se presentaba contra la persona del ***CARGO.1, por la actividad desarrollada siendo ***CARGO.1, e insiste en que el AYUNTAMIENTO no tendría responsabilidad por los hechos irregulares cometidos por el anterior (…).
El AYUNTAMIENTO añade que el ***CARGO.1 habría falseado conscientemente los datos personales de la parte reclamante, al señalarle como titular de una red de alumbrado público titularidad del propio AYUNTAMIENTO, y entiende que es evidente que la responsabilidad debe reclamársele a él mismo y no al actual AYUNTAMIENTO, que nada tiene que ver con la presunta actuación irregular del anterior ***CARGO.1.
Asimismo, el AYUNTAMIENTO señala que está en plena disposición para llevar a cabo cuantas medidas sean necesarias para garantizar la protección de datos de acuerdo con la normativa vigente, pero que, en ningún caso se le puede hacer responsable de la actuación irregular y contraria a la normativa que llevó a cabo el anterior ***CARGO.1, máxime cuando se tiene conocimiento de la existencia de una cuestión penal que se tramita ante el Juzgado de Instrucción en relación con los hechos objeto de denuncia
A este respecto, esta Agencia considera que en el presente supuesto el ***CARGO.1 actuó como el representante del AYUNTAMIENTO en el ámbito de los hechos relacionados con el presente expediente sancionador, ya que éstos se produjeron como consecuencia de la elaboración de un informe de una instalación eléctrica de la que el propio AYUNTAMIENTO era responsable, y en la que se comunicó a un tercero el nombre y apellidos, DNI y domicilio de la parte reclamante, como si éste fuera el titular real de la instalación, cuando en realidad la titularidad la tenía el AYUNTAMIENTO. De hecho, en el citado informe en el que constan los datos de la parte reclamante se indica que la citada inspección técnica se ha realizado a petición del AYUNTAMIENTO, en función de interesado.
Por lo tanto, esta alegación no puede ser tenida en cuenta.
IV
Cuestiones previas
El artículo 4.1) del RGPD define «dato personal» como: "toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".
El artículo 4.2) del RGPD define «tratamiento» como: "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción."
El artículo 4.7) del RGPD define al «responsable del tratamiento» o «responsable» como: "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros". A su vez el artículo 4.8) del RGPD determina al «encargado del tratamiento» o «encargado» como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que el AYUNTAMIENTO realiza, entre otros tratamientos, la recogida y conservación de datos personales de personas físicas, por ejemplo, nombre y apellido, DNI, y dirección, entre otros.
El AYUNTAMIENTO realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
V
Obligación incumplida. Licitud del tratamiento
El primer apartado del artículo 6 del RGPD establece lo siguiente:
"1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. "
En el presente caso, la parte reclamante ponía de manifiesto que, desde el AYUNTAMIENTO, se había comunicado su nombre y apellidos, DNI y domicilio a un tercero, sin que la parte reclamante hubiera dado su consentimiento, y sin que mediara ninguna base jurídica para ello, en el marco de un conflicto con los propietarios de una urbanización del municipio.
De este modo, desde el AYUNTAMIENTO, se había solicitado la elaboración de un informe de una instalación eléctrica de la que el propio AYUNTAMIENTO era el responsable, y se había comunicado que el responsable de esta era la parte reclamante, comunicando al tercero que había elaborado dicho informe su nombre y apellidos, DNI y domicilio.
Por tanto, se considera los hechos conocidos son constitutivos de una infracción imputable al AYUNTAMIENTO por vulneración de lo establecido en el artículo 6 del RGPD.
VI
Tipificación de la infracción del artículo 6.1 del RGPD y calificación a efectos de prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración del artículo siguiente, que se sancionará, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679."
VII
Declaración de infracción
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
El artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones delas comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."
Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: DECLARAR que AYUNTAMIENTO DE LA ADRADA, con NIF P0500200A, ha infringido lo dispuesto en el Artículo 6.1 del RGPD, infracción tipificada en el Artículo 83.5.a) del RGPD.
SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE LA ADRADA.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contenciosoadministrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
