En una frase. Un ayuntamiento es responsable del tratamiento y debe cumplir el RGPD y la LOPDGDD como cualquier organización, con tres especialidades: designar delegado de protección de datos es obligatorio (art. 34.1 LOPDGDD), su régimen sancionador se sustancia por apercibimiento en lugar de multa (art. 77 LOPDGDD) y debe equilibrar constantemente la transparencia con la protección de datos.
El sector público local trata volúmenes enormes de datos —padrón, tributos, servicios sociales, policía local, urbanismo— y lo hace bajo un régimen específico. Este artículo resume las obligaciones RGPD de un ayuntamiento en 2026 y las diferencias clave frente al sector privado.
Puntos clave
- El ayuntamiento es responsable del tratamiento; la base jurídica dominante es el cumplimiento de una obligación legal o el interés público (art. 6.1.c y 6.1.e RGPD).
- DPO obligatorio para toda entidad de la administración local (art. 34.1.a LOPDGDD), publicando sus datos de contacto ante la AEPD.
- Régimen sancionador especial: la AEPD no impone multa sino apercibimiento y propuesta de medidas (art. 77 LOPDGDD).
- El padrón y las cesiones entre administraciones tienen base legal, pero no habilitan cualquier uso ni cualquier destinatario.
- Transparencia (publicidad activa) y protección de datos conviven: hay que disociar o limitar los datos personales en lo publicado.
1. Bases jurídicas del tratamiento municipal
Un ayuntamiento casi nunca trata datos por consentimiento. Sus bases habituales son el cumplimiento de obligaciones legales (art. 6.1.c) y el ejercicio de poderes públicos o el interés público (art. 6.1.e), habilitados por normas con rango de ley (Ley 7/1985 de Bases del Régimen Local, Ley General Tributaria, Ley de Servicios Sociales autonómica, etc.). Esto significa que el ciudadano no puede oponerse a que el ayuntamiento gestione su padrón o sus tributos, pero sí conserva el resto de derechos, integrados con los derechos digitales de los arts. 79-97 LOPDGDD.
Toda esta actividad debe reflejarse en el registro de actividades de tratamiento, que en el sector público, además, debe publicarse (art. 31.2 LOPDGDD) y hacerse accesible por medios electrónicos.
2. El padrón municipal y las cesiones
El Padrón de Habitantes es el tratamiento más sensible por su alcance. Los datos padronales solo pueden cederse a otras administraciones que los necesiten para el ejercicio de sus competencias y cuando una ley lo prevea (art. 16.3 Ley 7/1985), o mediando el consentimiento del interesado. La cesión indiscriminada de datos del padrón —a concejalías para fines ajenos, a terceros, o para envíos no amparados— es una de las irregularidades más frecuentes.
| Cesión | ¿Admisible? | Condición |
|---|---|---|
| A la Seguridad Social / AEAT | Sí | Habilitación legal y competencia |
| A la policía en investigación | Sí | Requerimiento con base legal |
| Entre concejalías del propio ayuntamiento | Sí | Misma finalidad o compatible |
| A grupos políticos municipales | Limitada | Solo para funciones de control, no propaganda |
| A empresas para publicidad | No | Sin base jurídica |
3. Transparencia frente a protección de datos
La Ley 19/2013 de Transparencia obliga a publicar mucha información (contratos, subvenciones, retribuciones), pero el art. 5.3 y el art. 15 de esa ley imponen ponderar con la protección de datos. La regla práctica: publicar lo necesario disociando o limitando los datos personales, especialmente si son categorías especiales. Publicar en el tablón o en la web un decreto, un acta o una lista de beneficiarios con el DNI completo, datos de salud o datos de menores es un error recurrente que la AEPD corrige.
4. Videovigilancia municipal
Las cámaras municipales (policía local, tráfico, edificios) se rigen por la LOPDGDD y, cuando persiguen fines de seguridad ciudadana en espacios públicos, por la Ley Orgánica 4/1997 y su reglamento, que exigen autorización de la comisión de garantías. Las reglas generales de cartel informativo, conservación limitada (30 días salvo ilícito) y prohibición de audio se aplican igual; el marco completo está en nuestra guía de videovigilancia y RGPD en España.
5. DPO obligatorio y seguridad (ENS)
El art. 34.1.a LOPDGDD obliga a todos los organismos y entidades públicas —incluidos los ayuntamientos, sin excepción por tamaño— a designar un delegado de protección de datos y a comunicar su identidad a la AEPD. Los municipios pequeños suelen designar un DPO mancomunado o de la diputación.
Además, el sector público debe cumplir el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, que fija medidas de seguridad por niveles y se integra con las obligaciones del art. 32 RGPD.
6. Régimen sancionador especial: el apercibimiento
Aquí está la diferencia más llamativa con el sector privado. Cuando el infractor es una administración pública, la AEPD no impone multa económica: dicta una resolución que declara la infracción, establece las medidas a adoptar y, en su caso, propone la incoación de actuaciones disciplinarias (art. 77 de la LOPDGDD). Esto no significa impunidad: las resoluciones son públicas, exigen medidas correctoras y el incumplimiento reiterado tiene consecuencias. El detalle y los casos reales están en las sanciones AEPD a administraciones públicas.
Automatizar el registro de actividades, la publicación del inventario y la trazabilidad de cesiones es donde una plataforma como Legiscope ayuda a los servicios jurídicos municipales, aunque la responsabilidad última del análisis recae siempre en el DPO.
7. Hoja de ruta para un ayuntamiento
- Registro de actividades de tratamiento publicado y actualizado (art. 31.2 LOPDGDD).
- DPO designado y comunicado a la AEPD.
- Cumplimiento del ENS por niveles.
- Protocolo de cesiones del padrón y control de accesos.
- Ponderación transparencia/datos antes de cada publicación.
- Cláusulas informativas del art. 13 en sedes, formularios y trámites.
- Procedimiento de brechas y coordinación con el CCN-CERT.
Una lista de verificación general adaptable está en la checklist RGPD España, y el reparto de competencias con las autoridades autonómicas se explica en la guía de la AEPD como autoridad de control.
Véase también, para sectores con obligaciones de protección de datos similares: RGPD para agencias de marketing, RGPD para startups y SaaS y RGPD para empresas de construcción.
Preguntas frecuentes
¿Un ayuntamiento puede recibir una multa de la AEPD?
No una multa económica. Frente a las administraciones públicas, el art. 77 LOPDGDD sustituye la sanción pecuniaria por un apercibimiento con medidas correctoras obligatorias y, en su caso, la propuesta de expediente disciplinario al responsable. La resolución es pública.
¿Es obligatorio que un ayuntamiento pequeño tenga DPO?
Sí. El art. 34.1.a LOPDGDD no establece umbral de tamaño: toda entidad pública local debe designar delegado de protección de datos. Los municipios pequeños suelen recurrir a un DPO compartido a través de la diputación o mancomunidad.
¿Puede el ayuntamiento publicar en su web listas con el DNI de los vecinos?
Como regla general, no. La transparencia obliga a ponderar con la protección de datos: se publica lo necesario disociando o limitando los datos personales. Difundir DNI completos, datos de salud o de menores en tablones o web es una irregularidad que la AEPD corrige.
¿Los grupos políticos municipales pueden acceder al padrón?
Solo para el ejercicio de sus funciones de control y representación, y con las cautelas del art. 16 de la Ley 7/1985. No pueden usar esos datos para propaganda o comunicaciones electorales al margen de la normativa específica.
Conclusión
El cumplimiento RGPD municipal se apoya en tres pilares propios del sector público: DPO obligatorio, régimen de apercibimiento en lugar de multa y el equilibrio permanente entre transparencia y protección de datos. Sobre esa base, las obligaciones son las de cualquier responsable: base jurídica por tratamiento, registro publicado, seguridad conforme al ENS y respeto de los derechos de la ciudadanía. Documentar cada cesión y cada publicación es la mejor forma de convertir una gestión rutinaria en una gestión defendible.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial