Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 20/12/2025
Un ayuntamiento incumplió la resolución de la AEPD al no adoptar ni acreditar las medidas técnicas y organizativas necesarias para evitar la remisión de correos electrónicos a múltiples destinatarios sin ocultar sus direcciones, a pesar de los requerimientos y plazos otorgados.
La resolución referida fue correctamente notificada, quedó firme y ejecutiva, y otorgó un plazo de un mes para acreditar el cumplimiento. Sin embargo, el ayuntamiento no respondió, pese a recibir dos requerimientos adicionales.
Ante la falta de respuesta, la AEPD inicia un nuevo procedimiento sancionador por incumplir una orden de la autoridad de control, lo que constituye una infracción del art. 58.2.d) RGPD, tipificada como muy grave en el art. 72.1 LOPDGDD.
No obstante lo anterior, no se impone multa económica, ya que las administraciones públicas están sometidas al régimen especial del art. 77 LOPDGDD, que obliga a declarar la infracción, pero no a sancionar con multa.
Número de documento: EXP202500478
Fecha de documento: 20/12/2025
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: Con fecha 21 de junio de 2024, por la Directora de la Agencia Española de Protección de Datos se dictó resolución en el procedimiento sancionador del expediente número EXP202309055, seguido contra el AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA (en adelante, el Ayuntamiento). En dicha resolución, además de declarar la infracción de los artículos 5.1.f) y 32 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), se requería la adopción de las siguientes medidas:
"SEGUNDO: ORDENAR a AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, que en virtud del artículo 58.2.d) del RGPD, en el plazo de 1 mes desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las siguientes medidas correctivas:
- Adoptar y acreditar ante esta Agencia en el plazo de 1 mes las medidas técnicas y organizativas necesarias para evitar que la remisión de comunicaciones o correos electrónicos a múltiples destinatarios por parte de personal del Ayuntamiento o de personas o entidades que actúen de acuerdo con sus instrucciones, se realice sin utilizar la funcionalidad "CCO" o cualquier otra que evite que la dirección de correo de cada destinatario sea desvelada".
SEGUNDO: La notificación de la resolución del procedimiento sancionador, en la que se concedía al Ayuntamiento el plazo de un mes para la adopción de las medidas impuestas, se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), siendo recogida por el responsable con fecha 25 de junio de 2024, como consta en el acuse de recibo que obra en el expediente.
TERCERO: Transcurrido el plazo indicado sin que en esta Agencia se hubiera recibido escrito alguno sobre las medidas implementadas y habiéndose recibido, en fecha 24 de octubre de 2024, con número de registro de entrada REGAGE24e00081153038, escrito del Defensor del Pueblo en el que solicitaba información sobre las actuaciones llevadas a cabo por el Ayuntamiento conducentes a cumplir con lo ordenado en la antedicha resolución, se remitió por dos veces al Ayuntamiento un requerimiento para que, en el plazo de diez días hábiles, acreditara ante esta Agencia haber adoptado las medidas correctoras oportunas, en atención a lo acordado en la citada Resolución.
CUARTO: El referido requerimiento se notificó en ambas ocasiones conforme a las normas establecidas en la LPACAP y fue recogido por el Ayuntamiento con fechas 25 de octubre y 2 de diciembre de 2024, como consta en los acuses de recibo que obran en el expediente.
QUINTO: Transcurrido el plazo de la resolución inicial y de los sucesivos requerimientos, el Ayuntamiento no ha remitido respuesta a esta Agencia que acredite el cumplimiento de las medidas impuestas.
SEXTO: Contra la citada resolución no cabe ningún recurso ordinario en vía administrativa por el transcurso de los plazos establecidos para ello. Asimismo, el interesado no ha manifestado su intención de interponer recurso contencioso-administrativo, ni esta Agencia tiene constancia de que el mismo se haya interpuesto y se haya solicitado suspensión cautelar de la resolución.
SÉPTIMO: Con fecha 4 de febrero de 2025, la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al Ayuntamiento, por la presunta infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD.
El acuerdo de inicio fue notificado al Ayuntamiento con fecha 5 de febrero de 2025, como consta en el acuse de recibo que obra en el expediente.
OCTAVO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por parte del Ayuntamiento.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó al Ayuntamiento en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida al Ayuntamiento y la sanción que podría imponerse. Por ello, tomando en consideración que el Ayuntamiento no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes,
PRIMERO: La resolución del procedimiento sancionador del expediente número EXP202309055 y los requerimientos para su cumplimiento indicados en los antecedentes primero, segundo, tercero y cuarto fueron notificados con arreglo a lo dispuesto en la LPACAP. Dicha resolución devino firme y ejecutiva por el transcurso de los plazos previstos para la interposición de los recursos en ella indicados.
SEGUNDO: El Ayuntamiento no ha remitido respuesta alguna a esta Agencia que acredite el cumplimiento de la resolución del expediente número EXP202309055.
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Obligación incumplida
A tenor de los hechos expuestos, se considera que el Ayuntamiento ha incumplido la resolución de la Agencia Española de Protección de Datos.
Por tanto, los hechos descritos en el apartado de "Hechos probados" se estiman constitutivos de una infracción, imputable al Ayuntamiento, por vulneración del artículo 58.2.d) del RGPD, que dispone lo siguiente:
"2. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
(…)
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;"
III
Tipificación y calificación de la infracción
Esta infracción se tipifica en el artículo 83.6 del RGPD, que estipula lo siguiente:
"El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará de acuerdo con el apartado 2 del presente artículo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía."
A efectos del plazo de prescripción de las infracciones, la infracción imputada prescribe a los tres años, conforme al artículo 72.1 de la LOPDGDD, que califica de muy grave la siguiente conducta:
"m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679."
IV
Declaración de infracción
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
El artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
(…)
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
(…)
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."
Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.
V
Medidas correctivas
Esta Agencia acuerda imponer al responsable la adopción de medidas adecuadas para ajustar su actuación a la normativa mencionada en este acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el cual cada autoridad de control podrá "ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado…".
Se advierte que no atender la orden de adopción de medidas impuestas por este organismo en la resolución del presente procedimiento sancionador podrá ser considerado como una infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como infracción en su artículo 83.6, pudiendo motivar tal conducta la apertura de un ulterior procedimiento administrativo sancionador.
Por lo tanto, de acuerdo con la legislación aplicable, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: DECLARAR que el AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, ha infringido lo dispuesto en el Artículo 58.2 del RGPD, infracción tipificada en el Artículo 83.6 del RGPD.
SEGUNDO: ORDENAR al AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA, con NIF P3802300H, que en virtud del artículo 58.2.d) del RGPD, en el plazo de un mes desde que la presente resolución sea firme y ejecutiva, acredite haber procedido al cumplimiento de las medidas impuestas en el marco del expediente número EXP202309055.
TERCERO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE SAN CRISTÓBAL DE LA LAGUNA.
CUARTO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
