Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 05/11/2025
Un particular presentó reclamación contra un ayuntamiento alegando que, tras ejercer su derecho de acceso a los datos personales que le conciernen, el ayuntamiento no atendió debidamente dicha solicitud, incumpliendo lo establecido en el art. 15 RGPD.
La AEPD señala que dictó resolución estimando la reclamación del particular y requirió al ayuntamiento para que atendiera el derecho de acceso o justificara su denegación de manera motivada, otorgándole un plazo de diez días hábiles. Este requerimiento y sus sucesivas notificaciones se realizaron conforme a la Ley 39/2015, siendo correctamente notificadas y recogidas por el ayuntamiento, sin que conste respuesta acreditando el cumplimiento de la resolución.
Y argumenta que el ayuntamiento ha incumplido la obligación de atender la resolución de la AEPD en los términos requeridos, lo que constituye una vulneración del art. 58.2.c) RGPD, tipificada como infracción muy grave en los términos del art. 83.6 RGPD y el art. 72.1.m) de la LOPD 2018. Asimismo, recuerda que, al tratarse de una administración pública, la consecuencia de este incumplimiento es la declaración de infracción y la obligación de adoptar las medidas necesarias, sin imposición de sanción pecuniaria.
Por ello, la AEPD declara que el ayuntamiento ha infringido lo dispuesto en el art. 58.2 RGPD, ordenando que, en el plazo de diez días hábiles desde que la resolución sea firme, atienda el derecho de acceso ejercido o lo deniegue motivadamente, y comunique a la AEPD las actuaciones realizadas. Igualmente, acuerda notificar la resolución al Defensor del Pueblo y establecer su publicación conforme a la legalidad vigente.
Número de documento:EXP202416766
Fecha de documento:05/11/2025
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: Con fecha 8 de febrero de 2024 por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento de ejercicio de derechos del expediente número EXP202313992 seguido contra el AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA (en adelante, el Ayuntamiento).
En dicho procedimiento, consta que la parte reclamante ejerció derecho de acceso de los datos personales que le conciernen, sin que dicha solicitud resultara debidamente atendida, dictándose resolución en la que se requería lo siguiente:
"PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD e instar al AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, para que, en el plazo de diez días hábiles desde que la presente resolución sea firme y ejecutiva, remita a la parte reclamante certificación por la que se atienda el derecho de Acceso ejercido o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del artículo 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD."
SEGUNDO: La notificación de la resolución del procedimiento de ejercicio de derechos, en la que se concedía al Ayuntamiento el plazo de diez días hábiles para la atención del ejercicio del derecho de acceso, se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), siendo recogida por el responsable con fecha 8 de febrero de 2024, como consta en el acuse de recibo que obra en el expediente.
TERCERO: Tras el transcurso del plazo indicado para que se realizaran las actuaciones requeridas en dicha resolución y habiendo presentado la parte reclamante, con fecha 3 de septiembre de 2024 y número de registro de entrada REGAGE24e00065548362, escrito en el que manifestaba que la resolución no se había cumplido, se remitió por dos veces al Ayuntamiento un requerimiento para que, en el plazo de cinco días hábiles, remitiera a la parte reclamante certificación del cumplimiento de dicha resolución y, en el plazo de diez días hábiles, notificara a esta Agencia las medidas adoptadas.
CUARTO: El referido requerimiento de información se notificó en ambas ocasiones conforme a las normas establecidas en la LPACAP y fue recogido por el Ayuntamiento con fechas 18 de septiembre y 6 de noviembre de 2024, como consta en los acuses de recibo que obran en el expediente.
QUINTO: Transcurrido el plazo de la resolución inicial y de los sucesivos requerimientos, el Ayuntamiento no ha remitido respuesta a esta Agencia que acredite que ha atendido el derecho de acceso ejercido o que lo ha denegado motivadamente indicando las causas por las que no procede atender la petición.
SEXTO: Contra la citada resolución no cabe ningún recurso ordinario en vía administrativa por el transcurso de los plazos establecidos para ello. Asimismo, el interesado no ha manifestado su intención de interponer recurso contencioso-administrativo, ni esta Agencia tiene constancia de que el mismo se haya interpuesto y se haya solicitado suspensión cautelar de la resolución.
SÉPTIMO: Con fecha 10 de diciembre de 2024, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Ayuntamiento, por la presunta infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD.
OCTAVO: El acuerdo de inicio fue notificado al Ayuntamiento, conforme a las normas establecidas en la LPACAP, con fecha 10 de diciembre de 2024, como consta en el acuse de recibo que obra en el expediente.
NOVENO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por parte del Ayuntamiento.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó al Ayuntamiento en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida al Ayuntamiento y la sanción que podría imponerse. Por ello, tomando en consideración que el Ayuntamiento no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
PRIMERO: La resolución del procedimiento de ejercicio de derechos del expediente número EXP202313992 y los requerimientos para su cumplimiento indicados en los antecedentes primero, segundo, tercero y cuarto fueron notificados con arreglo a lo dispuesto en la LPACAP. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos en ella indicados.
SEGUNDO: El Ayuntamiento no ha remitido respuesta alguna a esta Agencia que acredite el cumplimiento de la resolución.
I. Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
II. Obligación incumplida
A tenor de los hechos expuestos, se considera que el Ayuntamiento ha incumplido la resolución de la Agencia Española de Protección de Datos.
Por tanto, los hechos descritos en el apartado de "Hechos probados" se estiman constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 58.2.c) del RGPD, que dispone lo siguiente:
"2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(…)
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;"
III. Tipificación y calificación de la infracción
Esta infracción se tipifica en el artículo 83.6 del RGPD, que estipula lo siguiente:
"El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía."
A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta:
"m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679."
IV. Declaración de infracción
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
El artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(…)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(…)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."
Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.
V. Adopción de medidas
Esta Agencia acuerda imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…".
Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución sancionadora podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: DECLARAR que el AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, ha infringido lo dispuesto en el Artículo 58.2 del RGPD, infracción tipificada en el Artículo 83.6 del RGPD.
SEGUNDO: ORDENAR al AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, que en virtud del artículo 58.2.d) del RGPD, en el plazo de diez días hábiles desde que la presente resolución sea firme y ejecutiva, remita a la parte reclamante certificación por la que se atienda el derecho de acceso ejercido o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en la resolución del procedimiento de ejercicio de derechos del expediente número EXP202313992. Asimismo, las actuaciones realizadas deberán ser comunicadas a esta Agencia en idéntico plazo.
TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
