Regístrate gratis
AEPD: funciones, poderes y régimen sancionador RGPD-LOPDGDD
Naturaleza de la AEPD, órganos, funciones y poderes de los arts. 57 y 58 RGPD, procedimientos de la LOPDGDD, infracciones leves, graves y muy graves, multas...
La Agencia Española de Protección de Datos (AEPD) es la autoridad administrativa independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España. Su régimen interno está en los arts. 44 a 65 LOPDGDD, y sus funciones y poderes se conectan con los arts. 51, 57 y 58 RGPD.
Para examen, la AEPD debe estudiarse en tres planos: naturaleza y órganos, funciones/poderes, y régimen sancionador.
Naturaleza y órganos
| Elemento | Régimen básico |
|---|---|
| Naturaleza | Autoridad administrativa independiente. |
| Personalidad | Personalidad jurídica propia y plena capacidad pública y privada. |
| Independencia | Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. |
| Relación con el Gobierno | Se relaciona con el Gobierno a través del Ministerio de Justicia. |
| Ámbito | Competencia general estatal, sin perjuicio de autoridades autonómicas competentes. |
La Presidencia de la AEPD dirige la Agencia. La LOPDGDD prevé mandato de cinco años, renovable por otro período de igual duración, con nombramiento mediante real decreto del Consejo de Ministros tras el procedimiento legalmente previsto. Existe también una Adjuntía y un Consejo Consultivo.
Autoridades autonómicas
Junto a la AEPD existen autoridades autonómicas con competencia en su ámbito institucional:
- Autoridad Catalana de Protección de Datos.
- Agencia Vasca de Protección de Datos.
- Consejo de Transparencia y Protección de Datos de Andalucía.
Su competencia se centra en tratamientos del sector público autonómico y local de su territorio, según su normativa. La AEPD conserva la competencia general en el resto de supuestos.
Funciones del art. 57 RGPD y LOPDGDD
La AEPD realiza funciones de supervisión, asesoramiento, promoción de derechos y tramitación de reclamaciones. Entre las más preguntables:
| Bloque | Ejemplos |
|---|---|
| Supervisión | Controlar la aplicación del RGPD y resto de normativa de protección de datos. |
| Reclamaciones | Tramitar reclamaciones de interesados e investigar su motivo. |
| Sensibilización | Promover conocimiento público sobre riesgos, normas, garantías y derechos. |
| Asesoramiento | Informar a Cortes, Gobierno e instituciones sobre medidas legislativas o administrativas. |
| Cooperación europea | Cooperar con otras autoridades de control y con el Comité Europeo de Protección de Datos. |
| Códigos y certificación | Impulsar códigos de conducta, mecanismos de certificación y criterios relacionados. |
La AEPD también publica guías, herramientas, criterios jurídicos y resoluciones sancionadoras que ayudan a interpretar el cumplimiento práctico del RGPD y la LOPDGDD.
Poderes del art. 58 RGPD
El art. 58 RGPD distingue poderes de investigación, correctivos, de autorización y consultivos.
| Tipo de poder | Ejemplos |
|---|---|
| Investigación | Requerir información, realizar auditorías, obtener acceso a datos y a información necesaria. |
| Correctivo | Advertencias, apercibimientos, órdenes de atención de derechos, limitación o prohibición del tratamiento, multas administrativas. |
| Autorización y consulta | Autorizar cláusulas contractuales, aprobar normas corporativas vinculantes, emitir dictámenes o consultas previas. |
Tras las modificaciones de la LOPDGDD, conviene precisar una trampa: el apercibimiento se configura como poder correctivo, no como sanción económica. Puede acompañarse de medidas para corregir el incumplimiento.
Procedimientos y plazos LOPDGDD
| Procedimiento o trámite | Plazo relevante |
|---|---|
| Procedimiento por falta de atención de derechos | 6 meses. |
| Procedimiento por posible infracción de la normativa | 12 meses desde el acuerdo de inicio. |
| Procedimiento de apercibimiento o medidas correctivas | 6 meses desde el acuerdo de inicio. |
| Decisión sobre admisión o inadmisión de reclamación | 3 meses para notificar; si no se notifica, continúa la tramitación. |
La AEPD puede iniciar actuaciones de investigación, archivar, inadmitir reclamaciones en supuestos legales o abrir procedimiento. También puede adoptar medidas provisionales cuando sean necesarias para asegurar la eficacia de la resolución o evitar perjuicios.
Infracciones en la LOPDGDD
La LOPDGDD clasifica las infracciones a efectos de prescripción en muy graves, graves y leves:
| Categoría | Artículo LOPDGDD | Prescripción de la infracción |
|---|---|---|
| Muy graves | Art. 72 | 3 años. |
| Graves | Art. 73 | 2 años. |
| Leves | Art. 74 | 1 año. |
Ejemplos de muy graves suelen conectarse con principios básicos, licitud, categorías especiales, derechos fundamentales, transferencias internacionales o incumplimientos especialmente relevantes. Las graves incluyen muchas obligaciones del responsable y encargado, como registro de actividades, medidas técnicas y organizativas, atención de derechos o cooperación con la autoridad. Las leves suelen afectar a incumplimientos formales de menor entidad.
Multas del art. 83 RGPD
El RGPD fija dos grandes niveles de multas administrativas:
| Nivel | Infracciones | Máximo |
|---|---|---|
| Art. 83.4 RGPD | Obligaciones del responsable y encargado, certificación y organismos de supervisión. | 10.000.000 euros o 2 % del volumen de negocio total anual mundial del ejercicio anterior, la cuantía mayor. |
| Art. 83.5 RGPD | Principios básicos, condiciones del consentimiento, derechos de interesados, transferencias internacionales, incumplimiento de resoluciones. | 20.000.000 euros o 4 % del volumen de negocio total anual mundial del ejercicio anterior, la cuantía mayor. |
| Art. 83.6 RGPD | Incumplimiento de una resolución de la autoridad de control. | 20.000.000 euros o 4 %, la cuantía mayor. |
La cuantía concreta se gradúa según criterios como naturaleza, gravedad y duración de la infracción, intencionalidad o negligencia, medidas adoptadas para paliar daños, responsabilidad del responsable, infracciones previas, cooperación con la autoridad, categorías de datos afectadas y forma en que la autoridad tuvo conocimiento.
Prescripción de sanciones: cuidado con la trampa
No confundas la prescripción de infracciones con la prescripción de sanciones. Las infracciones prescriben por categoría: muy graves 3 años, graves 2 y leves 1. Las sanciones económicas prescriben por cuantía conforme a la LOPDGDD:
| Cuantía de la sanción | Prescripción |
|---|---|
| Hasta 40.000 euros | 1 año. |
| De 40.001 a 300.000 euros | 2 años. |
| Más de 300.000 euros | 3 años. |
Esta distinción corrige una simplificación frecuente en apuntes: no siempre la sanción prescribe por el mismo nombre de la infracción, sino por importe.
Sector público
Para determinadas entidades del sector público, la LOPDGDD prevé un régimen específico. En lugar de multas administrativas, la autoridad puede dictar resolución declarando la infracción, acordar apercibimiento y ordenar medidas correctivas. También puede proponerse la iniciación de actuaciones disciplinarias cuando proceda.
Esto no significa que el sector público quede fuera del RGPD. Significa que la consecuencia jurídica se adapta: control, declaración de infracción, medidas correctivas, apercibimiento y eventual responsabilidad disciplinaria.
Para test
- AEPD = autoridad administrativa independiente, arts. 44 a 65 LOPDGDD.
- Autoridad de control RGPD = arts. 51 y siguientes RGPD.
- Funciones = art. 57 RGPD; poderes = art. 58 RGPD.
- Procedimiento por infracción: 12 meses; falta de atención de derechos: 6 meses.
- Infracciones: muy graves 3 años, graves 2, leves 1.
- Sanciones: prescriben por cuantía: hasta 40.000 euros, 1 año; 40.001 a 300.000, 2 años; más de 300.000, 3 años.
- Multas máximas: 10 M euros o 2 % y 20 M euros o 4 %, siempre la cuantía mayor.
- El apercibimiento es poder correctivo; en el sector público tiene especial importancia junto a medidas correctoras.
Fuentes oficiales
¿Te ha sido útil?
Crea tu cuenta gratis y accede a más recursos para tu oposición
🚀 Regístrate gratis