AEPD: funciones, procedimientos y régimen sancionador (LOPDGDD)

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente en materia de protección de datos en España. Su régimen está en los arts. 44 a 65 LOPDGDD (texto consolidado en BOE) y en el art. 51 RGPD (texto oficial en BOE/DOUE), que exige a los Estados miembros designar al menos una autoridad nacional independiente.

Naturaleza y régimen

Característica	Contenido
Naturaleza	Autoridad administrativa independiente, con personalidad jurídica propia y plena capacidad pública y privada.
Adscripción	Se relaciona con el Gobierno a través del Ministerio de Justicia.
Independencia	Plena en el ejercicio de sus funciones (art. 44.1 LOPDGDD y art. 52 RGPD).
Ámbito	Todo el territorio nacional, sin perjuicio de las autoridades autonómicas de Cataluña, País Vasco y Andalucía.
Norma propia	Estatuto aprobado por Real Decreto.
Financiación	Recursos propios y dotación presupuestaria.

Órganos (art. 48 LOPDGDD)

• Presidente/a: dirige la AEPD. Mandato de cinco años, renovable por otro período de igual duración. Nombrado por el Consejo de Ministros mediante real decreto, a propuesta del Ministerio de Justicia, tras el procedimiento parlamentario del art. 48.3 LOPDGDD. Cuenta con un Adjunto.
• Consejo Consultivo: órgano asesor del Presidente.
• Junto a estos, una organización administrativa interna.

Autoridades autonómicas

La LOPDGDD reconoce tres autoridades autonómicas con competencia propia en sus respectivos ámbitos:

• Autoridad Catalana de Protección de Datos (APDCAT).
• Agencia Vasca de Protección de Datos.
• Consejo de Transparencia y Protección de Datos de Andalucía.

Su competencia se limita a tratamientos de las administraciones públicas autonómicas y locales de su territorio.

Funciones de la AEPD (arts. 47 LOPDGDD y 57-58 RGPD)

Pueden agruparse en cuatro grandes bloques:

Bloque	Ejemplos
Funciones de supervisión e inspección	Investigaciones, inspecciones, auditorías, requerimientos de información.
Funciones consultivas y de asesoramiento	Informes sobre proyectos normativos, dictámenes, códigos de conducta, esquemas de certificación, autorizaciones previas.
Funciones de tramitación de reclamaciones	Recibir y tramitar reclamaciones de los interesados; mediación entre interesados y responsables.
Funciones sancionadoras y correctivas	Apercibimientos, órdenes de cumplimiento, multas administrativas, prohibición temporal o definitiva del tratamiento, suspensión de transferencias internacionales.

Procedimiento sancionador (arts. 63-68 LOPDGDD)

Tramitación

• Inicio: de oficio o por reclamación del interesado.
• Plazo máximo del procedimiento por posible infracción: 12 meses desde el acuerdo de inicio (art. 64.2 LOPDGDD).
• Procedimiento por falta de atención de derechos: 6 meses desde la notificación al reclamante del acuerdo de admisión a trámite (art. 64.1 LOPDGDD).
• Procedimiento de apercibimiento o medidas correctivas: 6 meses desde el acuerdo de inicio (art. 64.3 LOPDGDD).
• Admisión o inadmisión de reclamaciones: debe notificarse al reclamante en 3 meses; si no se notifica, prosigue la tramitación (art. 65.5 LOPDGDD).
• Posibilidad de pago voluntario con reducción y de reconocimiento de responsabilidad, conforme a la Ley 39/2015.

Medidas provisionales

La AEPD puede acordar el bloqueo de los datos, la suspensión provisional del tratamiento, la limitación del tratamiento, etc.

Tipología de infracciones (LOPDGDD)

La LOPDGDD clasifica las infracciones del RGPD en tres categorías en función de su gravedad y, sobre todo, de su plazo de prescripción:

Categoría	Artículo LOPDGDD	Plazo de prescripción
Leves	art. 74	1 año
Graves	art. 73	2 años
Muy graves	art. 72	3 años

Las sanciones (multas) prescriben:

• Leves: 1 año.
• Graves: 2 años.
• Muy graves: 3 años.

Ejemplos:

• Muy grave (art. 72): tratamiento sin base jurídica, vulneración de las exigencias de los principios del art. 5, incumplimiento de la obligación de informar (arts. 13 y 14), reutilización de datos para fines incompatibles, etc.
• Grave (art. 73): no atender los derechos del interesado, no llevar un registro de actividades de tratamiento, falta de cooperación con la AEPD, etc.
• Leve (art. 74): no formular consultas al DPD cuando proceda, defectos formales en el deber de información, etc.

Sanciones económicas del RGPD (art. 83)

El RGPD fija las cuantías máximas, comunes a toda la UE, en dos niveles:

Nivel	Conductas	Multa máxima
Básico (art. 83.4)	Infracciones de obligaciones del responsable y encargado (arts. 8, 11, 25-39, 42 y 43): registro, seguridad, DPD, notificación de brechas, etc.	10.000.000 € o el 2 % del volumen de negocio total anual mundial del ejercicio anterior, la cantidad que sea mayor.
Agravado (art. 83.5)	Infracciones de los principios básicos, condiciones de consentimiento, derechos del interesado, transferencias internacionales y desobediencia a la AEPD.	20.000.000 € o el 4 % del volumen de negocio total anual mundial del ejercicio anterior, la cantidad que sea mayor.

Para entidades del sector público, la LOPDGDD permite que en lugar de multa se imponga un apercibimiento y, en su caso, medidas correctoras (art. 77).

Para test

• Mandato del Presidente: 5 años, renovable una vez por otro período de igual duración.
• Plazo máximo del procedimiento por infracción: 12 meses; por falta de atención de derechos o por apercibimiento/medidas correctivas, 6 meses.
• Prescripción de infracciones: leves 1 año, graves 2 años, muy graves 3 años.
• Multas del RGPD: hasta 10 M€ o 2 % (básico) y hasta 20 M€ o 4 % (agravado), el importe mayor.
• Tres autoridades autonómicas: Cataluña, País Vasco y Andalucía.
• Para el sector público caben apercibimientos en lugar de multa (art. 77 LOPDGDD).