Protección de Datos

Sanciones AEPD administraciones públicas

Apercibimientos AEPD a administraciones públicas 2026: ayuntamientos, ministerios, CCAA. Casos, art. 77 LOPDGDD y medidas correctoras obligatorias.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Las administraciones públicas españolas reciben apercibimientos en lugar de sanciones económicas conforme al art. 77 LOPDGDD, con 280 expedientes a ayuntamientos, ministerios y CCAA en 2025, principalmente por videovigilancia, publicación indebida en BOEs locales y deficiencias en accesos a expedientes.

Puntos clave

  • 280 apercibimientos AEPD a administraciones en 2025.
  • Ayuntamientos lideran (52%) — videovigilancia y BOEs municipales.
  • Ministerios y organismos estatales: 25% — accesos a expedientes.
  • CCAA: 18% — sanidad, educación, servicios sociales.
  • Art. 77 LOPDGDD: apercibimiento + medidas correctoras obligatorias + DPO obligatorio.

1. Régimen del art. 77 LOPDGDD

La LOPDGDD art. 77 sustituye la sanción económica por apercibimiento cuando el infractor es:

  • Administraciones públicas (Estado, CCAA, entes locales).
  • Organismos públicos y entidades de derecho público.
  • Autoridades administrativas independientes.
  • Banco de España.
  • Corporaciones de Derecho público con función pública.
  • Fundaciones del sector público.
  • Universidades públicas.
  • Sindicatos y partidos políticos (estos últimos a debate).

El apercibimiento se acompaña de medidas correctoras obligatorias y publicación en el sitio web AEPD.

2. Por qué no hay multas a administraciones

Razón fundamental: principio de eficiencia presupuestaria. Una multa a un ayuntamiento se paga con fondos públicos que afectan al servicio. El apercibimiento + medidas correctoras + responsabilidad disciplinaria del personal causante es considerado más eficaz por el legislador.

3. Ayuntamientos: tipos de apercibimiento más frecuentes

Motivo % expedientes Medida típica
Videovigilancia sin EIPD/cartel 32% Adecuar cartel, eliminar cámaras
Publicación indebida BOE municipal 18% Anonimizar publicaciones
Acceso indebido a expediente 14% Logs + formación
WhatsApp con vecinos 9% Sustituir por canal oficial
Padrón cedido sin base 8% Revisión cesiones
CCTV escolar mal gestionada 7% Cartel + protocolo
Otros 12% Variable

4. Publicación en BOEs municipales

La AEPD ha sancionado masivamente la publicación de:

  • Nóminas con DNI completo.
  • Decretos de personal con datos personales no necesarios.
  • Listas de adjudicatarios con DNI completo (debe truncarse).
  • Sanciones de tráfico con DNI completo.
  • Datos de menores en expedientes escolares.

Regla AEPD: publicar solo lo estrictamente necesario y anonimizar lo demás. DNI truncado conforme a la Disposición adicional séptima LOPDGDD.

5. Acceso a expedientes administrativos

Los funcionarios solo pueden acceder a expedientes con relación competencial directa. Casos sancionados:

  • Funcionario que consulta expediente de famoso.
  • Empleado que revisa multas de pareja o ex.
  • Acceso a padrón sin justificación.

El art. 77 LOPDGDD prevé responsabilidad disciplinaria del funcionario causante además del apercibimiento al ente.

6. CCTV en edificios públicos

Las administraciones deben:

  • EIPD obligatoria para CCTV en espacios con afluencia masiva.
  • Cartel conforme al modelo AEPD.
  • Conservación máxima 30 días.
  • Acceso restringido y trazado.
  • ENS categoría según criticidad.

Reconocimiento facial en accesos: prohibido en la práctica tras el caso Aena (10 M EUR, sanción al ser SME).

7. Casos relevantes 2024-2025

  • Ayuntamiento de Madrid: apercibimiento por CCTV en Plaza Mayor sin cartel adecuado.
  • Ayuntamiento de Barcelona: apercibimiento por publicación de DNI en padrón.
  • Comunidad de Madrid (Salud): apercibimiento por brecha en sistema de citas con 30.000 afectados.
  • Generalitat de Cataluña (Educación): apercibimiento por sistema de notas accesible públicamente.
  • Ministerio del Interior: apercibimiento por SIRDEE con accesos no controlados.

8. Sanidad pública y datos clínicos

Hospitales del SNS reciben apercibimientos por:

  • Accesos a historias clínicas sin relación asistencial (caso típico).
  • Brechas de seguridad por ransomware.
  • Comunicación a familiares sin consentimiento.
  • Publicación de imágenes de pacientes en redes oficiales.

Medida correctora habitual: control de accesos con logs, formación obligatoria, DPO con dedicación exclusiva.

9. Centros educativos públicos

Apercibimientos típicos:

  • Publicación de notas con DNI en tablón.
  • Fotos de alumnos en web sin consentimiento parental.
  • WhatsApp profesor-padres no oficial.
  • Plataforma de gestión escolar sin contrato art. 28 RGPD.
  • Acceso indebido a expediente académico.

Medidas: protocolo de comunicación con familias, plataforma oficial homologada, formación al claustro.

10. DPO obligatorio en administraciones

El art. 37 RGPD y el art. 34 LOPDGDD obligan a designar DPO en TODAS las administraciones públicas. Buenas prácticas:

  • Dedicación exclusiva en entes grandes.
  • DPO compartido entre municipios pequeños (mancomunidad o diputación).
  • Dependencia funcional del órgano de máxima decisión.
  • Reporte anual al Pleno o Junta de Gobierno.

11. Brechas en administraciones

Notificación AEPD en 72 horas obligatoria. Casos típicos:

  • Ransomware en sistemas municipales.
  • Phishing a empleados con compromiso de credenciales.
  • Pérdida de dispositivos con datos.
  • Errores de configuración en webs públicas.

Procedimiento integrado con CCN-CERT obligatorio para administraciones bajo ENS.

12. Cómo cumplir RGPD en administraciones

  • DPO designado con dependencia funcional adecuada.
  • Registro de actividades público accesible (art. 31 LOPDGDD).
  • Checklist RGPD trimestral.
  • ENS categoría adecuada implantado.
  • Protocolo de brechas con notificación 72h.
  • Formación obligatoria al personal con acceso a datos.
  • Auditoría anual interna con muestreo de accesos.

FAQ

¿Por qué no multan a los ayuntamientos?

El art. 77 LOPDGDD sustituye la sanción económica por apercibimiento + medidas correctoras + responsabilidad disciplinaria del funcionario causante.

¿El funcionario que infringe responde personalmente?

Sí. El art. 77 LOPDGDD prevé responsabilidad disciplinaria conforme al régimen aplicable al empleado público.

¿El DPO es obligatorio en todos los ayuntamientos?

Sí. El art. 34 LOPDGDD lo exige en todas las administraciones públicas sin excepción de tamaño.

¿Dónde se publican los apercibimientos AEPD?

En la sección de resoluciones de la web AEPD. Identifican al ente sancionado con nombre completo.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →