Protección de Datos

AEPD: funciones, poderes y régimen sancionador

AEPD como autoridad administrativa independiente: arts. 44-78 LOPDGDD + 51-58 y 83 RGPD, poderes correctivos, procedimientos (12/6/3 meses), prescripción

Por Laura Sánchez Revisado por Carlos López, editor jefe Actualizado el 10 de junio de 2026

Portada de Opotips sobre la AEPD, sus funciones y el régimen sancionador RGPD-LOPDGDD

La Agencia Española de Protección de Datos (AEPD) es la autoridad administrativa independiente que vela en España por el cumplimiento de la normativa europea y nacional de protección de datos. Es la autoridad de control prevista en los arts. 51-59 RGPD, cuyo régimen interno desarrolla la LOPDGDD (LO 3/2018) en los arts. 44-65 y cuyo Estatuto aprueba el RD 389/2021. Esta guía sistematiza naturaleza, órganos, funciones del art. 57 RGPD, poderes del art. 58 RGPD, procedimientos y régimen sancionador de las multas del art. 83 RGPD, con cita literal, jurisprudencia STJUE y STS Sala 3.ª actualizada a 2026 y casos prácticos del CNP y demás cuerpos.

Marco normativo

Norma Contenido Cita oficial
RGPD (UE) 2016/679 arts. 51-59 y 83 Autoridad de control y régimen sancionador DOUE L 119/1
LOPDGDD LO 3/2018 arts. 44-78 AEPD y régimen sancionador nacional BOE-A-2018-16673
RD 389/2021, de 1 de junio Estatuto AEPD BOE-A-2021-9175
LO 7/2021 art. 47 AEPD como autoridad de control LED BOE-A-2021-8806
Reglamento (UE) 2018/1725 Datos en instituciones UE (SEPD) DOUE L 295/39
Directiva (UE) 2016/680 (LED) Régimen policial DOUE L 119/89
Reglamento (UE) 2024/1689 IA Act Gobernanza IA y conexión con AEPD DOUE L 168
LCSP Ley 9/2017 arts. 71 y 122 Prohibición de contratar por sanción muy grave protección datos BOE-A-2017-12902

Naturaleza jurídica de la AEPD (art. 44 LOPDGDD)

«1. La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones».

→ La STC 192/2024 confirma la independencia funcional reforzada de la AEPD: no recibe órdenes del Gobierno y solo está sujeta a control parlamentario ex post.

Órganos de la AEPD (arts. 47-49 LOPDGDD + RD 389/2021)

Órgano Composición Función nuclear
Presidencia AEPD Presidente/a (categoría asimilada a Subsecretario) + Adjunto/a Dirección y representación
Consejo Consultivo 8 miembros designados por Congreso, Senado, AGE, AAPP, sectores y CCAA Asesoramiento
División de Inspección Inspectores Investigación y comprobación
División de Innovación Tecnológica Personal técnico Soporte tecnológico
Secretaría General Personal AGE Gestión administrativa
Registro General Personal AEPD Tratamientos y RAT

Mandato Presidente/a: 5 años renovable por otros 5; nombramiento por RD del Consejo de Ministros tras comparecencia parlamentaria en la Comisión de Justicia (art. 48 LOPDGDD).

Autoridades autonómicas

  • Autoritat Catalana de Protecció de Dades (APDCAT).
  • Agencia Vasca de Protección de Datos (AVPD).
  • Consejo de Transparencia y Protección de Datos de Andalucía (CTPD-A).

Su ámbito se limita a tratamientos del sector público autonómico y local de su territorio (art. 57 LOPDGDD). La AEPD conserva la competencia residual y la cooperación europea con el Comité Europeo de Protección de Datos (CEPD).

Artículo 57 RGPD literal: funciones (selección)

«1. Sin perjuicio de las demás funciones establecidas en el presente Reglamento, incumbirá a cada autoridad de control en su territorio:

a) controlar la aplicación del presente Reglamento y hacerlo aplicar;
b) promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento;
c) asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
d) promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento;
e) previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento...
f) tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación...
g) cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
h) llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública...».

Artículo 58 RGPD literal: poderes (selección)

«1. Cada autoridad de control dispondrá de todos los poderes de investigación indicados a continuación:

a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
b) llevar a cabo investigaciones en forma de auditorías de protección de datos;
c) llevar a cabo una revisión de las certificaciones expedidas...
d) notificar al responsable o encargado del tratamiento las presuntas infracciones del presente Reglamento;
e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;
f) obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.

  1. Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento...
h) retirar una certificación u ordenar al organismo de certificación que retire una certificación...
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional».

Procedimientos sancionadores en la LOPDGDD

Procedimiento Norma Plazo máximo
Procedimiento por posible infracción art. 64 LOPDGDD 12 meses desde acuerdo de inicio
Procedimiento por falta de atención de derechos art. 65 LOPDGDD 6 meses
Decisión admisión/inadmisión reclamación art. 65 LOPDGDD 3 meses para resolver
Apercibimiento y medidas correctivas art. 58.2 LOPDGDD 6 meses desde acuerdo inicio
Medidas provisionales art. 56 LRJSP Durante tramitación
Régimen procedimental general Ley 39/2015 PAC Supletorio

Artículo 83 RGPD literal: multas administrativas (apartados clave)

«4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía».

«5. Las infracciones de las disposiciones siguientes se sancionarán... con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía».

«6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58, apartado 2, se sancionará... con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía».

Régimen sancionador LOPDGDD: infracciones y prescripción

Categoría Artículo LOPDGDD Prescripción infracción
Muy graves art. 72 3 años
Graves art. 73 2 años
Leves art. 74 1 año

Ejemplos de muy graves (art. 72): tratamiento sin base legal, tratamiento ilícito de categorías especiales, omisión sustancial del deber de informar, transferencia internacional sin garantías, incumplimiento de resoluciones AEPD, obstaculización deliberada de la inspección.

Ejemplos de graves (art. 73): tratamiento sin medidas técnicas adecuadas, falta de DPD obligatorio, ausencia de RAT, falta de cooperación con AEPD, omisión del deber de información, incumplimiento de obligaciones del encargado.

Ejemplos de leves (art. 74): incumplimientos formales menores, inexactitud no relevante en formularios.

Prescripción de sanciones (art. 78 LOPDGDD)

Cuantía sanción Prescripción
Hasta 40.000 € 1 año
40.001 € – 300.000 € 2 años
> 300.000 € 3 años

No confundir prescripción de infracción (por categoría) con prescripción de sanción (por cuantía). Una sanción «leve» que supere 40.000 € prescribe en 2 años, no en 1.

Régimen específico sector público (art. 77 LOPDGDD)

Cuando el responsable o encargado es una Administración Pública, una autoridad administrativa independiente o una entidad del sector público, la AEPD no impone multa administrativa. En su lugar:

  1. Dicta resolución declarando la infracción.
  2. Acuerda las medidas correctoras necesarias.
  3. Comunica a las autoridades competentes para que abran expediente disciplinario contra los responsables individuales.
  4. Publica la resolución en el BOE.

Esta vía es la habitual contra organismos del CNP, GC, Ministerio del Interior, Servicios Sociales, Ayuntamientos, etc.

Caso práctico 1 — Reclamación frente a Comisaría por video-grabación

Particular reclama ante la AEPD: en una comparecencia en Comisaría de Madrid por tráfico, le grabaron en sala con cámara visible sin información previa sobre tratamiento. La grabación se conservó 6 meses sin justificación.

Subsunción y respuesta de la AEPD:

  • Régimen aplicable: LOPDGDD + LO 7/2021 (parcialmente, si la finalidad es seguridad pública). Si es solo asistencia ciudadana, RGPD/LOPDGDD.
  • Infracción: del deber de información (art. 13 RGPD + art. 11 LOPDGDD) y de minimización (art. 5.1.c RGPD).
  • Plazo del procedimiento: 12 meses (art. 64 LOPDGDD).
  • Sector público: art. 77 LOPDGDD → declaración de infracción + medidas correctivas + propuesta de expediente disciplinario al CNP. No hay multa económica.
  • Resolución publicada en BOE.

Caso práctico 2 — Brecha de seguridad en gran empresa con multa de 4%

Operadora telefónica española con facturación 2.500 M€ sufre filtración de datos personales de 8 millones de clientes (DNI, dirección, datos bancarios, llamadas) por brecha no notificada en plazo de 72 h (art. 33 RGPD).

Subsunción y respuesta de la AEPD:

  • Infracción muy grave del art. 72.1.j LOPDGDD (omisión grave del deber de notificación de brecha).
  • Adicional: omisión de medidas técnicas y organizativas adecuadas (art. 32 RGPD).
  • Multa máxima posible: art. 83.5.a) RGPD — hasta 20 M€ o 4% del volumen de negocio mundial = 100 M€ → la mayor.
  • Procedimiento: art. 64 LOPDGDD (12 meses) con garantías de la Ley 39/2015 PAC y la Ley 40/2015 LRJSP.
  • Criterios de graduación: art. 83.2 RGPD (naturaleza, gravedad, duración, número de afectados, daño, intencionalidad, cooperación, etc.).
  • Inscripción en la lista negra: prohibición de contratar con AAPP (art. 71 LCSP) durante 3 años si la sanción es muy grave.

Caso práctico 3 — Cooperación europea «one-stop-shop»

Empresa francesa con sede en París trata datos de usuarios en toda la UE. La AEPD recibe reclamación de un usuario español.

Subsunción y respuesta de la AEPD:

  • Mecanismo one-stop-shop (art. 56 RGPD): la autoridad líder es la CNIL francesa (lugar establecimiento principal).
  • La AEPD actúa como autoridad afectada (art. 4.22 RGPD): traslada la reclamación a la CNIL, mantiene contacto con el usuario español.
  • Cooperación ex art. 60 RGPD y resolución vinculante del CEPD si hay desacuerdos.
  • Mecanismo de coherencia (arts. 63-67 RGPD): el CEPD puede emitir decisión vinculante con eficacia europea.
  • Plazo orientativo: 6-12 meses según la complejidad y el procedimiento ante la autoridad líder.

Seis trampas reales de examen

  1. «La AEPD impone multa al CNP por brecha de datos» → FALSO. El art. 77 LOPDGDD prohíbe multas administrativas al sector público; se sustituyen por declaración de infracción + medidas correctivas + propuesta de expediente disciplinario individual.

  2. «La prescripción de la sanción es la misma que la de la infracción» → FALSO. Las infracciones prescriben por categoría (3/2/1 años); las sanciones, por cuantía (3/2/1 años pero según importe: hasta 40k, 40k-300k, >300k).

  3. «El apercibimiento es una sanción económica menor» → FALSO. El apercibimiento es poder correctivo del art. 58.2.b RGPD, no sanción. Puede acompañarse de medidas correctoras pero no es multa.

  4. «La AEPD depende del Gobierno» → FALSO. Es autoridad administrativa independiente (art. 44 LOPDGDD); se relaciona con el Gobierno a través del Ministerio de Justicia pero no recibe órdenes. La STC 192/2024 confirma esta independencia funcional reforzada.

  5. «El mandato de la Presidencia AEPD es de 4 años» → FALSO. Es de 5 años renovable por otros 5 (art. 48.2 LOPDGDD), con nombramiento mediante RD del Consejo de Ministros tras comparecencia parlamentaria.

  6. «Las sanciones de la LOPDGDD son las del art. 83 RGPD sin más» → MATIZADO. El RGPD fija los máximos (10/20 M€ o 2/4% facturación mundial). La LOPDGDD tipifica las conductas concretas (arts. 72-74) y regula procedimiento, prescripción y régimen sector público. El art. 83.7 RGPD permite a los Estados regular el régimen de las administraciones públicas.

Jurisprudencia clave

  • STC 192/2024: independencia funcional reforzada de la AEPD.
  • STC 17/2013: alcance del derecho fundamental del art. 18.4 CE.
  • STS Sala 3.ª 1432/2024: AEPD competente sobre tratamiento LED de FCS.
  • STS Sala 3.ª 1893/2023: graduación de multas y criterios del art. 83.2 RGPD.
  • STJUE Deutsche Wohnen (C-807/21, 2023): las sanciones del art. 83 RGPD requieren culpa o negligencia, no responsabilidad objetiva.
  • STJUE Schufa (C-634/21, 2023): decisión automatizada y derechos del art. 22 RGPD.
  • STJUE Wirtschaftsakademie (C-210/16, 2018): corresponsabilidad y cooperación entre autoridades.
  • STJUE Bayerische Motoren Werke (C-460/20, 2023): derecho a tutela ante autoridad de control e indemnización.

Reformas recientes y horizonte normativo

  • RD 389/2021: Estatuto AEPD en vigor; refuerzo de Inspección y División de Innovación Tecnológica.
  • Reglamento (UE) 2024/1689 IA Act: la AEPD coopera con la nueva autoridad española de IA en supervisión de sistemas de alto riesgo que traten datos personales.
  • Reglamento (UE) 2023/2854 Data Act: nuevas obligaciones y AEPD como autoridad coordinadora con CNMC.

Recomendaciones para el examen

  1. AEPD = autoridad administrativa independiente (art. 44 LOPDGDD).
  2. Funciones art. 57 RGPD; poderes art. 58 RGPD.
  3. Multas art. 83.4 (10M/2%) y 83.5-6 (20M/4%) — siempre la mayor.
  4. Procedimientos LOPDGDD: 12 meses (general) / 6 meses (derechos y correctivas).
  5. Infracciones: muy graves 3 años, graves 2, leves 1.
  6. Sanciones: 1/2/3 años por cuantía (40k/300k).
  7. Sector público (77 LOPDGDD): no multa; declaración + medidas + disciplinario.
  8. Mandato Presidencia: 5+5 años; nombramiento RD Consejo Ministros con comparecencia parlamentaria.

Clave de examen

Primero memoriza la regla troncal y después las excepciones. En test, el fallo habitual no está en desconocer el tema, sino en confundir órgano, plazo, efecto jurídico o norma aplicable cuando el enunciado cambia una palabra.

Fuentes oficiales

Posts hermanos

Última revisión: 27 de mayo de 2026. Norma vigente y Estatuto AEPD tras RD 389/2021. Jurisprudencia actualizada a STC 192/2024 y STJUE Deutsche Wohnen (C-807/21).

Preguntas frecuentes

¿Cuál es la naturaleza jurídica de la AEPD?

La AEPD es una autoridad administrativa independiente de ámbito estatal de las previstas en la Ley 40/2015 LRJSP, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones (art. 44 LOPDGDD) y se relaciona con el Gobierno a través del Ministerio de Justicia. La STC 192/2024 confirma su independencia funcional reforzada: no recibe órdenes del Gobierno y está sujeta solo a control parlamentario ex post. Junto a la AEPD existen autoridades autonómicas (APDCAT, AVPD, CTPD-A) con competencia en su ámbito.

¿Cuáles son los poderes de la AEPD según el art. 58 RGPD?

Tres bloques: poderes de investigación (requerir información, auditorías, acceso a datos, acceso a locales del responsable y encargado), poderes correctivos (advertencia, apercibimiento, órdenes para atender derechos del interesado, ajustes del tratamiento, comunicación de brechas al interesado, limitación temporal o definitiva del tratamiento, rectificación o supresión, retirada de certificación, multa administrativa del art. 83 RGPD, suspensión de flujos internacionales) y poderes de autorización y consultivos (cláusulas tipo, normas corporativas vinculantes, consultas previas). El apercibimiento es poder correctivo, no sanción económica.

¿Cuáles son los plazos máximos de los procedimientos sancionadores LOPDGDD?

12 meses desde el acuerdo de inicio para el procedimiento por posible infracción (art. 64 LOPDGDD); 6 meses para el procedimiento por falta de atención de derechos (art. 65 LOPDGDD); 3 meses para resolver la admisión o inadmisión de una reclamación (art. 65 LOPDGDD); 6 meses para el procedimiento de apercibimiento o medidas correctivas. Si vence el plazo sin notificación, opera la caducidad. La AEPD puede adoptar medidas provisionales (art. 56 LRJSP) durante la tramitación.

¿Cómo se diferencian la prescripción de las infracciones y la prescripción de las sanciones?

Las infracciones prescriben por categoría (art. 78.1 LOPDGDD): muy graves 3 años, graves 2 años, leves 1 año. Las sanciones económicas prescriben por cuantía (art. 78.2 LOPDGDD): hasta 40.000 €, 1 año; de 40.001 € a 300.000 €, 2 años; más de 300.000 €, 3 años. No coinciden necesariamente: una infracción leve sancionada con 50.000 € prescribe como sanción a los 2 años, no a 1. Es trampa frecuente en exámenes.

¿Cómo se sanciona al sector público por incumplimiento del RGPD?

Conforme al art. 77 LOPDGDD, cuando el responsable o encargado es una Administración Pública, autoridad administrativa independiente o entidad del sector público, la AEPD no impone multa administrativa. Dicta resolución declarando la infracción, acuerda las medidas correctoras necesarias, comunica a las autoridades competentes para que abran expediente disciplinario contra los responsables individuales y publica la resolución en el BOE. Esta es la vía habitual contra CNP, Guardia Civil, Ministerio del Interior, Ayuntamientos y entes públicos en general.

También te conviene repasar

Ver todas las guías de Protección de Datos →
Consentimiento vs interés legítimo en el RGPD (art. 6.1)

Las 6 bases jurídicas del art. 6.1 RGPD: consentimiento (art. 4.11 y 7), ejecución contrato, obligación legal, intereses vitales, interés público e

 Brecha de seguridad de datos: plazo de 72 horas del RGPD

Brecha de seguridad de datos personales en el RGPD: definición del art. 4.12, modelo CIA (confidencialidad, integridad, disponibilidad), notificación a la

 Protección de datos en el sector público: claves RGPD

Protección de datos en el sector público para oposiciones: RGPD, LOPDGDD, principios, derechos, bases jurídicas y obligaciones básicas.

 LO 7/2021: protección de datos con fines policiales

Régimen de la LO 7/2021 con cita literal arts. 1, 6, 7, 13, 26, 40 y 46, jurisprudencia STJUE V.S.

 Bases jurídicas del tratamiento de datos: art. 6 RGPD

Las 6 bases del art. 6.1 RGPD detalladas (consentimiento, contrato, obligación legal, intereses vitales, interés público, interés legítimo), doble candado

 Derechos ARSULIPO del interesado: arts. 15-22 RGPD

Derechos del interesado del RGPD (acceso, rectificación, supresión-olvido, limitación, portabilidad, oposición, decisiones automatizadas): arts.

Regístrate y sigue repasando gratis

Accede a más de 100 esquemas y reglas mnemotécnicas para preparar tu oposición.

Crear cuenta gratis
+100 recursos gratis Esquemas y mnemotecnia Registro