Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 05/12/2025
Un trabajador municipal presenta reclamación contra el ayuntamiento alegando que, en un acto público celebrado en el salón de actos, un responsable municipal reveló el salario neto mensual que percibe el reclamante como empleado público, haciendo inequívoca su identificación ante los asistentes y, por tanto, incumpliendo el deber de reserva contenido en el art. 16.3 ROF.
La AEPD señala que el salario neto mensual de un empleado municipal es un dato personal y su divulgación en un acto público constituye un tratamiento de datos personales, pues la comunicación oral también está contemplada como tratamiento a efectos del RGPD (art. 4).
Y argumenta que el principio de minimización de datos recogido en el art. 5.1.c) RGPD exige que solo se comuniquen los datos adecuados, pertinentes y limitados a lo necesario según la finalidad perseguida. La AEPD subraya que la difusión de datos retributivos de empleados públicos debe hacerse en cómputo anual y términos íntegros, sin identificar individualmente al empleado ni desglosar conceptos retributivos o descuentos personales, para evitar la revelación de información personal adicional protegida.
Por ello, la AEPD declara que el ayuntamiento ha infringido el art. 5.1.c) RGPD al divulgar de manera desproporcionada y sin justificación el salario neto mensual del reclamante en un acto público.
Número de documento: EXP202402699
Fecha de documento: 05/12/2025
RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los siguientes
PRIMERO: Con fecha 11/01/2024 se interpuso reclamación ante la Agencia Española de Protección de Datos por una posible infracción imputable al AYUNTAMIENTO DE SOTOSERRANO con NIF P3731500I (en adelante, AYUNTAMIENTO DE SOTOSERRANO).
La parte reclamante manifiesta que, el día ***FECHA.1, en un acto público en el salón de actos del AYUNTAMIENTO DE SOTOSERRANO, el ***PUESTO.1 reveló el salario neto mensual que la parte reclamante recibe como ***PUESTO.2 del Ayuntamiento de Sotoserrano, siendo inequívoca su identidad para los asistentes, incumpliendo el deber de guardar reserva, establecido en el artículo 16.3 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales (ROF).
También manifiesta la parte reclamante que, en concreto sobre esta materia es especialmente relevante el Criterio Interpretativo elaborado por el Consejo de Transparencia y Buen Gobierno, junto con la Agencia Española de Protección de Datos sobre el Alcance de las obligaciones de los órganos, organismos entidades del sector público estatal en materia de acceso a la información pública sobre sus Relaciones de Puestos de Trabajo (RPT), catálogos, plantillas orgánicas, etc. y las retribuciones de sus empleados o funcionarios.
Junto a la reclamación aporta una grabación de la reunión.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD), se dio traslado de dicha reclamación al AYUNTAMIENTO DE SOTOSERRANO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
La notificación del traslado de la reclamación, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue realizada en fecha 23/02/2024 como consta en el acuse de recibo que obra en el expediente.
Con fecha 20/03/2024 se recibe en esta Agencia escrito de respuesta, indicando lo siguiente:
- El día 3 de enero se llevó a cabo una reunión vecinal en la que los habitantes de la localidad plantean cuestiones, dudas, quejas al ***PUESTO.1 para un mejor funcionamiento del municipio y en dicha reunión, uno de los vecinos preguntó sobre la relación de los puestos de trabajo publicada en el Boletín Oficial de la Provincia (BOP), de fecha 6/06/2023, que, a su vez, cuando entra en vigor, es publicada en el tablón de anuncios del Ayuntamiento, pidiendo explicaciones sobre los complementos de diversos trabajadores.
- En dicho BOP aparece el sueldo del del personal administrativo, como funcionario público, al igual que el del resto de trabajadores del Ayuntamiento y, por ese motivo, no considera que haya revelado ningún dato privado del reclamante, puesto que el sueldo que cobra un ***PUESTO.2 lo es por Ministerio de Ley, ya que la corporación que preside no es ninguna empresa privada.
- En cuanto a la referencia que hace la parte reclamante al deber de reserva del artículo 16.3 del ROF, la parte reclamada entiende que no es de aplicación a este supuesto ya que el deber de reserva de este artículo hace referencia a la información que se le facilite al miembro de la corporación para el desarrollo de sus funciones, singularmente de las que han de servir de antecedente para decisiones que aún se encuentren pendientes de adopción, así como para evitar su reproducción.
TERCERO: Con fecha 11/04/2024, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación.
CUARTO: Con fecha 30/03/2025, la Presidencia de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del artículo 5.1.c) del RGPD, tipificada en el artículo 83.5.a) del RGPD.
QUINTO: Notificado el citado acuerdo de inicio conforme a las normas establecidas en la LPACAP y transcurrido el plazo otorgado para la formulación de alegaciones, se ha constatado que no se ha recibido alegación alguna por la parte reclamada.
El artículo 64.2.f) de la LPACAP -disposición de la que se informó a la parte reclamada en el acuerdo de apertura del procedimiento- establece que si no se efectúan alegaciones en el plazo previsto sobre el contenido del acuerdo de iniciación, cuando éste contenga un pronunciamiento preciso acerca de la responsabilidad imputada, podrá ser considerado propuesta de resolución. En el presente caso, el acuerdo de inicio del expediente sancionador determinaba los hechos en los que se concretaba la imputación, la infracción del RGPD atribuida a la reclamada y la sanción que podría imponerse. Por ello, tomando en consideración que la parte reclamada no ha formulado alegaciones al acuerdo de inicio del expediente y en atención a lo establecido en el artículo 64.2.f) de la LPACAP, el citado acuerdo de inicio es considerado en el presente caso propuesta de resolución.
A la vista de todo lo actuado, por parte de la Agencia Española de Protección de Datos en el presente procedimiento se consideran hechos probados los siguientes
ÚNICO: El día ***FECHA.1, en un acto con vecinos en el salón de actos del AYUNTAMIENTO DE SOTOSERRANO, el ***PUESTO.1 reveló la cantidad correspondiente salario neto mensual que la parte reclamante recibe como ***PUESTO.2 de ese Ayuntamiento.
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Cuestiones previas
El artículo 4.1) del RGPD, define «dato personal» como: "toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".
El artículo 4.2) del RGPD, define «tratamiento» como: "cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción."
El artículo 4.7) del RGPD, define al «responsable del tratamiento» o «responsable» como: "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros". A su vez el artículo 4.8) del RGPD determina al «encargado del tratamiento» o «encargado» como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
En el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales por parte de AYUNTAMIENTO DE SOTOSERRANO, consistente en que su ***PUESTO.1, en el ejercicio de sus funciones y ostentando la representación de la corporación conforme al artículo 21 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (LBRL), divulgó datos personales de la parte reclamante en una reunión pública para todos los vecinos del municipio en el salón de actos municipal.
Conviene precisar que la divulgación o comunicación oral de datos personales constituye un tratamiento en los términos definidos por el artículo 4.2 del RGPD. A este respecto se ha pronunciado la STJUE de 7 de marzo de 2024 en el asunto C-740/22:
"28 El artículo 4, punto 2, de dicho Reglamento define el concepto de «tratamiento» como «cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no».
29 En particular, de la expresión «cualquier operación» se desprende que el legislador de la Unión quiso dar un alcance amplio al concepto de «tratamiento», lo que queda corroborado por el carácter no exhaustivo, expresado por el vocablo «como», de las operaciones enumeradas en dicha disposición [véanse, en este sentido, las sentencias de 24 de febrero de 2022, Valsts ieòçmumu dienests (Tratamiento de datos personales con fines fiscales), C-175/20, EU:C:2022:124, apartado 35, y de 22 de junio de 2023, Pankki S, C-579/21, EU:C:2023:501, apartado 46].
30 Esta enumeración abarca, entre otras cosas, la comunicación por transmisión, difusión y «cualquier otra forma de habilitación de acceso», operaciones que pueden ser automatizadas o no automatizadas. A este respecto, el artículo 4, punto 2, del RGPD no establece ningún requisito en cuanto a la forma del tratamiento «no automatizado». Por lo tanto, el concepto de «tratamiento» abarca la comunicación oral.
31 Esta interpretación del concepto de «tratamiento» se ve respaldada por el objetivo del RGPD, que pretende, en particular, como se desprende de su artículo 1 y de sus considerandos 1 y 10, garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tratamiento de los datos personales, consagrado en el artículo 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 [véase, en este sentido, la sentencia de 4 de mayo de 2023, Bundesrepublik Deutschland (Buzón electrónico judicial), C-60/22, EU:C:2023:373, apartado 64]. En efecto, la posibilidad de eludir la aplicación de dicho Reglamento comunicando datos personales de forma oral en lugar de hacerlo por escrito sería manifiestamente incompatible con este objetivo.
32 En estas circunstancias, el concepto de «tratamiento», contemplado en el artículo 4, punto 2, del RGPD, comprende necesariamente la comunicación oral de datos personales".
El AYUNTAMIENTO DE SOTOSERRANO realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
III Obligación incumplida: infracción artículo 5.1 c). Minimización de datos
El artículo 5 del RGPD establece los principios generales para el tratamiento de datos.
En su apartado c) se hace referencia al principio de minimización de datos, indicando que los datos han de ser "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados".
De lo anterior se desprende que solo se podrán recabar los datos personales que se vayan a tratar, es decir, los que sean estrictamente necesarios para el tratamiento; que solo podrán ser recogidos cuando vayan a ser tratados y que solo podrán ser utilizados para la finalidad con la que fue recogida, pero no con ningún otro objetivo.
Las Directrices 4/2019, "relativas al artículo 25, Protección de datos desde el diseño y por defecto", versión 2.0, de fecha 20/10/2020 del Comité Europeo de Protección de Datos (CEPD) señala en relación con el principio de minimización:
"74 En primer lugar, los responsables del tratamiento deben determinar si tienen siquiera necesidad de tratar datos personales para sus fines pertinentes. El responsable debe verificar si se pueden alcanzar los fines pertinentes tratando menos datos personales, o utilizando datos personales menos detallados o agregados, o sin tener que tratar datos personales en modo alguno. Dicha verificación debe tener lugar antes de cualquier tratamiento, pero también puede llevarse a cabo en cualquier momento durante el ciclo de tratamiento".
Por tanto, es necesario llevar a cabo una debida ponderación de la información objeto de tratamiento, sopesando las circunstancias que rodean el mismo y analizando las consecuencias que puede conllevar el acceso a determinados datos.
En lo que al ámbito de la difusión de las retribuciones de los empleados públicos conviene destacar lo siguiente:
Las corporaciones locales en tanto que Administración Pública están sujetas a los principios de transparencia establecidos normativamente lo que conlleva implicaciones para sus empleados públicos. Por ello, ante la colisión de dos derechos será necesario hacer una ponderación entre el interés público en la divulgación de la información y el resto de los derechos afectados, incluido, cuando proceda, el derecho fundamental a la protección de datos personales.
A este respecto conviene señalar que la información que puede hacerse pública sobre las retribuciones de los empleados públicos ha sido objeto de interpretación conjunta por el Consejo de Transparencia y Buen Gobierno y la AEPD en el criterio interpretativo de 24 de junio de 2015 sobre el "Alcance de las obligaciones de los órganos, organismos y entidades del sector público estatal en materia de acceso a la información pública sobre sus Relaciones de Puestos de Trabajo (RPT), catálogos, plantillas orgánicas, etc. y las retribuciones de sus empleados o funcionarios".
En el mismo se establece como criterio general la necesidad de realizar una ponderación entre el interés público en la divulgación de la información relativa a las retribuciones de los puestos provistos con un grado de discrecionalidad sobre el interés individual y la preservación de la intimidad y los datos de carácter personal. Así, se realizan diferencias atendiendo a los supuestos en que se trate de un alto cargo o no, y especialmente al nivel del puesto desempeñado, así como la forma de provisión del mismo, entendiendo que, cuanto menor sea el nivel del puesto prevalece, con carácter general el interés individual y la protección de los datos personales.
Con independencia de lo anterior, se establece la forma en que la información retributiva ha de facilitarse para todos los supuestos, que responde al principio de minimización de los datos personales consagrados en el artículo 5.1 c) del RGPD.
Así, se señala:
" (…) En todo caso, la información sobre las retribuciones se facilitará en cómputo anual y en términos íntegros, sin incluir deducciones ni desglose de conceptos retributivos. La razón es que el conocimiento de estos datos puede permitir el acceso a datos de carácter personal especialmente protegidos en los términos del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), esto es, datos reveladores de la ideología, la afiliación sindical, la religión y las creencias y datos referentes al origen racial, a la salud y a la vida sexual. Si la solicitud de información requiere expresamente el desglose de las retribuciones o su importe líquido habrán de aplicarse las normas del mencionado precepto de la LOPD".
En definitiva, cuando se facilita el importe neto de los salarios, se pueden deducir otros datos personales, como el número de hijos o la existencia de algún tipo de discapacidad por las que se producen deducciones sobre las percepciones brutas, lo que atenta contra los derechos y libertades de los afectados.
Sin perjuicio de lo anterior, no puede obviarse que las Administraciones Públicas regidas por un principio de transparencia, así como por las normativas sectoriales aplicables publican la relación de puestos de trabajo de personal funcionario y de personal laboral en la que figuran los complementos específicos del puesto de trabajo. No obstante, los datos contenidos se expresan en cómputo anual y sin identificación, con carácter general, de la identidad de la persona que los ocupa.
Asimismo, el Ministerio de Hacienda pública los datos actualizados de manera periódica de los complementos de destino correspondiente a un nivel de puesto de trabajo o grado personal, así como los complementos específicos ligados a puestos de trabajo, desglosados en cómputo anual o mensual, sin que figure la identidad de las personas que desempeñan esos puestos.
De esta manera las Administraciones Públicas cumplen con el principio de publicidad activa a la que están sujetas conforme a la normativa vigente.
Establecido lo anterior, en el presente caso, el AYUNTAMIENTO DE SOTOSERRANO divulgó el salario neto mensual que la parte reclamante recibe como ***PUESTO.2 de ese Ayuntamiento, en un acto público donde la parte reclamante es reconocida inequívocamente por razón de su cargo como ***PUESTO.2 de dicho Ayuntamiento.
La difusión de estos datos, conforme a lo señalado anteriormente, supone la divulgación de datos personales excesivos.
Revelar el salario neto mensual neto de un funcionario en un acto oficial del Ayuntamiento, con una pluralidad de asistentes, se considera desproporcionado y excesivo teniendo en cuenta que esos datos no son esenciales para atender la finalidad de transparencia pretendida, para lo que hubiera sido suficiente hacer alusión a los datos en cómputo anual y en términos íntegros.
Por tanto, de conformidad con las evidencias de los que se dispone en este momento de resolución de procedimiento sancionador, se considera que los hechos conocidos son constitutivos de una infracción, imputable a AYUNTAMIENTO DE SOTOSERRANO, por vulneración del artículo 5.1.c) transcrito anteriormente.
IV Tipificación de la infracción del artículo 5.1.c) del RGPD y calificación a efectos de prescripción
El artículo 83.5 del RGPD tipifica como infracción administrativa la vulneración del artículo siguiente, que se sancionará, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
"a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;"
Por su parte, la LOPDGDD en su artículo 71, Infracciones, señala que:
"Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica".
A los solos efectos del plazo de prescripción, el artículo 72.1 de la LOPDGDD establece lo siguiente:
"En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679."
V Declaración de infracción
El artículo 83 "Condiciones generales para la imposición de multas administrativas" del RGPD, en su apartado 7, establece:
"Sin perjuicio de los poderes correctivos de las autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro."
El artículo 77 "Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" de la LOPDGDD dispone lo siguiente:
"1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción. Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica."
Este precepto establece que los procedimientos que tengan causa en infracciones en materia de protección de datos personales cometidas por las categorías de responsables o encargados del tratamiento enumerados en su apartado 1 se resolverán, en todo caso, declarando la infracción.
En el presente caso, al tratarse el responsable de un ayuntamiento, se encuentra comprendido en el supuesto previsto en el artículo 77.1.c) de la LOPDGDD, por lo que la resolución sancionadora que se dicte ha de declarar la infracción del artículo 5.1 c) del RGPD.
Por lo tanto, de acuerdo con la legislación aplicable, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: DECLARAR que el AYUNTAMIENTO DE SOTOSERRANO, con NIF P3731500I, ha infringido lo dispuesto en el artículo 5.1.c) del RGPD, infracción tipificada en el artículo 83.5.a) del RGPD.
SEGUNDO: NOTIFICAR la presente resolución al AYUNTAMIENTO DE SOTOSERRANO.
TERCERO: COMUNICAR la presente resolución al Defensor del Pueblo, de conformidad con lo establecido en el artículo 77.5 de la LOPDGDD.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronicaweb/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
