INFORME nº 1340 de 2019 de Tribunal de Cuentas, 31-10-2019
| Fecha | 31 Octubre 2019 |
| Emisor | Tribunal de Cuentas |
Nº 1.340
INFORME DE FISCALIZACIÓN DE LA
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS,
EJERCICIOS 2016 Y 2017
El Pleno del Tribunal de Cuentas, en el ejercicio de su función fiscalizadora establecida en los
artículos 2.a), 9 y 21.3.a) de la Ley Orgánica 2/1982, de 12 de mayo, del Tribunal de Cuentas, y a
tenor de lo previsto en los artículos 12 y 14 de la misma disposición y concordantes de la Ley
7/1988, de 5 de abril, de Funcionamiento del Tribunal de Cuentas, ha aprobado, en su sesión de
31 de octubre de 2019, el Informe de fiscalización de la Agencia Española de Protección de
Datos, ejercicios 2016 y 2017, y ha acordado su elevación a las Cortes Generales, así como al
Gobierno de la Nación, según lo prevenido en el artículo 28 de la Ley de Funcionamiento.
ÍNDICE
I. INTRODUCCIÓN DEL INFORME ................................................................................................ 9
I.1. INICIATIVA DE LA FISCALIZACIÓN ..................................................................................... 9
I.2. ÁMBITOS SUBJETIVO, OBJETIVO Y TEMPORAL DE LA FISCALIZACIÓN ....................... 9
I.3. NATURALEZA, RÉGIMEN JURÍDICO Y RENDICIÓN DE CUENTAS DE LA AEPD ........... 10
I.4. OBJETIVOS, PROCEDIMIENTOS Y LIMITACIONES DE LA FISCALIZACIÓN .................. 11
I.5. ESTRUCTURA ORGANIZATIVA, FUNCIONES Y PROCEDIMIENTOS DE LA AGENCIA Y
SUS MODIFICACIONES LEGALES ......................................................................................... 12
I.6. PRINCIPALES MAGNITUDES ECONÓMICAS DE LA AGENCIA ....................................... 13
I.7. TRATAMIENTO DE LAS ALEGACIONES ........................................................................... 14
II. ANÁLISIS DE LA REPRESENTATIVIDAD DE LAS CUENTAS ANUALES ............................ 15
II.1. OPINIÓN ............................................................................................................................ 15
II.2. BALANCE Y CUENTA DEL RESULTADO ECONÓMICO PATRIMONIAL ......................... 16
II.3. ESTADO DE LIQUIDACIÓN DEL PRESUPUESTO ........................................................... 20
II.4. MEMORIA DE LAS CUENTAS ANUALES ......................................................................... 21
II.5. CONTROL INTERNO CONTABLE ..................................................................................... 22
III. ANÁLISIS DEL CUMPLIMIENTO DE LA LEGALIDAD ........................................................... 24
III.1. ANÁLISIS DE LA FINANCIACIÓN Y LA GESTIÓN PRESUPUESTARIA DE LA ENTIDAD24
III.2. ANÁLISIS DE LA APLICACIÓN DEL NUEVO RÉGIMEN JURÍDICO ADMINISTRATIVO . 25
III.3. ANÁLISIS DEL FUNCIONAMIENTO Y ORGANIZACIÓN DE LA AGENCIA Y DE LA
GESTIÓN DE PERSONAL ........................................................................................................ 27
III.4. ANÁLISIS DEL CUMPLIMIENTO DE SUS FUNCIONES Y DEL EJERCICIO DE LOS
PODERES ATRIBUIDOS A LA AGENCIA ................................................................................ 32
III.5. ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA EN MATERIA CONTRACTUAL ... 35
III.6. ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA SOBRE IGUALDAD EFECTIVA DE
MUJERES Y HOMBRES Y EN MATERIA DE TRANSPARENCIA. ........................................... 39
IV. ANÁLISIS DE LOS SISTEMAS Y PROCEDIMIENTOS EMPLEADOS Y DE LOS
RESULTADOS OBTENIDOS POR LAS ACTUACIONES DE LA AGENCIA ............................... 43
IV.1. ANÁLISIS DE LA AUTOMATIZACIÓN DE LOS PROCESOS Y DE LOS SISTEMAS
INFORMÁTICOS UTILIZADOS POR LA AGENCIA .................................................................. 43
IV.2. ANÁLISIS DE LA TRAMITACIÓN DE LOS PROCEDIMIENTOS DE LA AGENCIA .......... 46
IV.3. ANÁLISIS DE LOS TIEMPOS DE TRAMITACIÓN DE LOS PROCEDIMIENTOS ............ 52
IV.4. ANÁLISIS DE LA GESTIÓN Y COBRO DE LAS SANCIONES IMPUESTAS.................... 57
V. SEGUIMIENTO DE RECOMENDACIONES ............................................................................. 65
V.1. SEGUIMIENTO DE LAS RECOMENDACIONES FORMULADAS EN EL INFORME DE
FISCALIZACIÓN DE LA ACTIVIDAD DE LA AEPD, EJERCICIO 2009 ..................................... 65
V.2. SEGUIMIENTO DE LOS ACUERDOS DE LA RESOLUCIÓN DE LA COMISIÓN MIXTA DE
21 DE DICIEMBRE DE 2016, A LA VISTA DEL INFORME DE FISCALIZACIÓN DE LA
ACTIVIDAD DE LA AEPD, EJERCICIO 2009 ........................................................................... 67
VI. CONCLUSIONES .................................................................................................................... 68
VI.1. SOBRE LA REPRESENTATIVIDAD DE LAS CUENTAS ANUALES ................................ 68
VI.2. SOBRE EL CUMPLIMIENTO DE LA LEGALIDAD ............................................................ 69
VI.3. SOBRE LOS SISTEMAS Y PROCEDIMIENTOS EMPLEADOS Y LOS RESULTADOS
OBTENIDOS POR LAS ACTUACIONES DE LA AGENCIA ...................................................... 71
VI.4. SOBRE EL SEGUIMIENTO DE RECOMENDACIONES ................................................... 72
VII. RECOMENDACIONES .......................................................................................................... 72
ANEXOS
ALEGACIONES FORMULADAS
RELACIÓN DE SIGLAS Y ABREVIATURAS
AAPP
Administraciones Públicas
AEAT
Agencia Estatal de Administración Tributaria
AEPD
Agencia Española de Protección de Datos
AGE
Administración General del Estado
AT
Expediente admitido a trámite y archivado
BOE
Boletín Oficial del Estado
CC
Consejo Consultivo
CPD
Centro de Proceso de Datos
CTBG
Consejo de Transparencia y Buen Gobierno
EI
Expediente de investigación
Estatuto de 1993
Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el
Estatuto de la Agencia Española de Protección de Datos
ICAC
Instituto de Contabilidad y Auditoría de Cuentas
IGAE
Intervención General de la Administración del Estado
IT
Expediente inadmitido a trámite
LGP
LOIEMH
Ley Orgánica 3/2007, de 22 de marzo, para la Igualdad efectiva de
mujeres y hombres
LOPD de 1992
Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal
LOPD de 1999
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal
LOPD de 2018
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común
de las Administraciones Públicas
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
LTAIBG
Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la
información pública y buen gobierno
PGCP
Plan General de Contabilidad Pública
PGE
Presupuestos Generales del Estado
PPT
Pliego de Prescripciones Técnicas
PS
Procedimientos sancionadores
RGPD
Registro General de Protección de Datos
RPD
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter personal
RPT
Relación de Puestos de Trabajo
RUEPD
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de
27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos
SGID
Subdirección General de Inspección de Datos
SIC
Sistema de Información Contable
SIGRID
Sistema integrado de Gestión de Registro de Inspección de Datos
TIC
Tecnologías de la información y la comunicación
Texto refundido de la Ley de Contratos del Sector Público
UEET
Unidad de Evaluación y Estudios Tecnológicos
RELACIÓN DE CUADROS
Datos de la actividad de la AEPD en 2016 y 2017 ........................................................ 14 Cuadro 1:
Detalle del exceso de valoración del activo “Aplicaciones informáticas” ....................... 17 Cuadro 2:
Efecto neto de los errores contables de los derechos reconocidos por sanciones ........ 19 Cuadro 3:
Detalle de la plantilla de la AEPD por subgrupos de clasificación profesional............... 30 Cuadro 4:
Denuncias, reclamaciones y comunicaciones de brechas de seguridad que tuvieron Cuadro 5:
entrada en la AEPD durante los ejercicios 2016, 2017 y 2018 ...................................................... 47
Entrada de denuncias en 2018 ..................................................................................... 47 Cuadro 6:
Denuncias inadmitidas y archivadas en el periodo 2016-2018 ..................................... 49 Cuadro 7:
Apertura de expedientes de investigación en el periodo fiscalizado y su resolución con Cuadro 8:
independencia del año en que se produce .................................................................................... 50
Actuaciones iniciadas de oficio durante los ejercicios 2016, 2017 y 2018 ..................... 50
Cuadro 9:
Resolución de expedientes de investigación en el periodo fiscalizado con Cuadro 10:
independencia del año en que se hubiese producido su creación ................................................. 51
Tramitación de actuaciones previas en los procedimientos iniciados en el periodo Cuadro 11:
fiscalizado ..................................................................................................................................... 52
Tiempos de inadmisión de las denuncias ................................................................... 53 Cuadro 12:
Tiempos de archivo de las denuncias ......................................................................... 53 Cuadro 13:
Tiempos de resolución de tutelas de derechos ........................................................... 54 Cuadro 14:
Tiempos de tramitación de los procedimientos sancionadores ................................... 55 Cuadro 15:
Tiempos desde la creación de un expediente de investigación hasta la asignación al Cuadro 16:
inspector del mismo ...................................................................................................................... 55
Tiempos de instrucción de un procedimiento sancionador .......................................... 56
Cuadro 17:
Tiempos de tramitación de las distintas fases de instrucción de un procedimiento Cuadro 18:
sancionador .................................................................................................................................. 57
Tiempos de notificación de las resoluciones sancionadoras ....................................... 57 Cuadro 19:
Importe y momento del reconocimiento de los derechos de cobro como consecuencia Cuadro 20:
de los procedimientos sancionadores tramitados por la AEPD ..................................................... 58
Resolución de solicitudes de fraccionamiento en los ejercicios 2016 y 2017 .............. 61 Cuadro 21:
Agencia Protección Datos, 2016-2017 9
I. INTRODUCCIÓN DEL INFORME
I.1. INICIATIVA DE LA FISCALIZACIÓN
1.1. La fiscalización de la Agencia Española de Protección de Datos (AEPD o la Agencia), referida
a los ejercicios 2016 y 2017, se incluyó en el Programa de Fiscalizaciones del Tribunal de Cuentas
para el año 2018, aprobado por el Pleno el 21 de diciembre de 2017, en virtud de la iniciativa
reconocida al propio Tribunal por el artículo 45 de la Ley Orgánica 2/1982, de 12 de mayo
(LOTCu).
1.2. La AEPD ha sido objeto, en los últimos años, de diferentes fiscalizaciones por parte de este
Tribunal. El Pleno aprobó, en su sesión de 22 de diciembre de 2004, un Informe sobre las
actividades realizadas por la Agencia durante el ejercicio 2001; y la Comisión Mixta para las
Relaciones con el Tribunal de Cuentas, en Resolución de 21 de junio de 2005, a la vista de este
Informe instó a la AEPD a adoptar una serie de medidas en relación con las conclusiones y
recomendaciones formuladas en el mismo. Posteriormente, el 28 de febrero de 2013, este
Tribunal aprobó otro Informe de fiscalización sobre la actividad de la AEPD, ejercicio 2009,
referido en especial al seguimiento de las recomendaciones del Tribunal y de las resoluciones de
la Comisión Mixta correspondientes al Informe relativo al ejercicio 2001. En este nuevo Informe se
reiteró una recomendación del informe anterior y se formularon tres nuevas recomendaciones; y la
Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en Resolución de 21 de diciembre
de 2016, a la vista del Informe emitido por este Tribunal instó a la AEPD a adoptar las medidas
pertinentes para la corrección de las debilidades en la gestión puestas de manifiesto en el mismo.
1.3. El tiempo transcurrido desde la aprobación del último Informe referido a la gestión integral de
la AEPD y la importancia cualitativa de la actividad desarrollada por esta Entidad, destinada a
garantizar el derecho fundamental a la protección de los datos de carácter personal, han motivado
el planteamiento de la nueva fiscalización. Además, la presente fiscalización se realiza para dar
cumplimiento a los objetivos específicos 1.2) “Fomentar buenas prácticas de organización, gestión
y control entre las entidades públicas” y 1.4) “Incrementar las fiscalizaciones operativas”, incluidos
en el Plan Estratégico del Tribunal de Cuentas 2018-2021.
1.4. El acuerdo de inicio de esta fiscalización se adoptó por el Pleno del Tribunal de Cuentas el 28
de junio de 2018 y las Directrices Técnicas de la misma fueron aprobadas mediante acuerdo del
Pleno de 25 de octubre de 2018.
I.2. ÁMBITOS SUBJETIVO, OBJETIVO Y TEMPORAL DE LA FISCALIZACIÓN
1.5. La entidad sujeta a fiscalización ha sido la AEPD, a la que la ley atribuye como misión
fundamental la de velar por el cumplimiento de la legislación sobre protección de datos de carácter
personal y controlar su aplicación, en especial en lo relativo a los derechos de información,
acceso, rectificación, oposición, supresión, limitación del tratamiento, oposición a decisiones
automatizadas y portabilidad de datos.
1.6. El ámbito objetivo de esta fiscalización se extiende a toda la actividad de la AEPD durante el
periodo fiscalizado. Comprende tanto su actividad económico-financiera, como los sistemas y
procedimientos utilizados por la entidad para el desarrollo de sus funciones, el ejercicio de sus
competencias y los resultados obtenidos por la misma.
1.7. El periodo fiscalizado comprende los ejercicios 2016 y 2017, sin perjuicio de que para el
adecuado cumplimiento de los objetivos de la fiscalización se analizaron aquellos hechos o
actuaciones, anteriores o posteriores a este periodo, que se consideraron relevantes para la
misma. En esta fiscalización resultan especialmente relevantes los hechos posteriores al periodo
fiscalizado debido a los cambios profundos en la gestión y funcionamiento de la Agencia, que tuvo
que adaptarse a la nueva normativa administrativa y, sobre todo, a un nuevo régimen jurídico
10 Tribunal de Cuentas
sobre protección de datos vigente a partir de 2018. En el análisis que se contiene en el Informe de
las distintas actuaciones de la AEPD durante el periodo fiscalizado se va haciendo referencia a su
situación tras la citada reforma normativa.
I.3. NATURALEZA, RÉGIMEN JURÍDICO Y RENDICIÓN DE CUENTAS DE LA AEPD
1.8. La Constitución Española de 1978 en su artículo 18.4 establece que la ley limitará el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos. En desarrollo de este mandato constitucional el legislador español
aprobó la Ley Orgánica 5/1992, de 29 de octubre, que regulaba el tratamiento automatizado de
datos de carácter personal (LOPD de 1992) y creó la AEPD, como una entidad con personalidad
jurídica propia y plena capacidad de obrar pública y privada que actúa con plena independencia
de las Administraciones Públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a
través del Ministerio de Justicia. La regulación de la AEPD se desarrolló mediante Real Decreto
428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD (Estatuto de 1993), aún
vigente en lo que no se oponga a la regulación actual contenida, fundamentalmente, en la nueva
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales (LOPD de 2018).
1.9. La LOPD de 1992 mantuvo su vigencia hasta la entrada en vigor de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD de 1999), desarrollada
mediante reglamento aprobado por Real Decreto 1720/2007, de 21 de diciembre por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal (RPD). Estas dos normas, junto con el Estatuto de 1993,
fueron la normativa básica vigente durante el periodo fiscalizado. Esta normativa, sin embargo, se
vio afectada, a partir del 25 de mayo de 2018, por la aplicación directa del Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección
de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre
circulación de estos datos (RUEPD), que deroga la Directiva 95/46/CE del Parlamento Europeo y
del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos; y
posteriormente, por el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la
adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de
datos. Finalmente, la LOPD de 1999 y el Real Decreto-ley 5/2018 fueron derogados por la LOPD
de 2018. Los análisis que se contienen en este Informe sobre las distintas actuaciones de la
AEPD durante el periodo fiscalizado tienen en cuenta la normativa vigente en el mismo, si bien a
lo largo del Informe se va haciendo referencia a cómo resultan afectadas estas actuaciones por el
nuevo régimen jurídico en vigor a partir de 2018.
1.10. La AEPD se creó en la LOPD de 1992 y se reguló en su Estatuto de 1993 como un ente
independiente encargado de velar por el cumplimiento de la normativa sobre protección de datos y
que se rige por su legislación específica. En el periodo fiscalizado, además de la normativa
específica sobre protección de datos vigente en ese momento, entraron en vigor la Ley 39/2015,
de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas
aplicables al ejercicio de las competencias de la AEPD. El régimen patrimonial de la Agencia se
rigió por la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas
(disposición adicional 5ª); y su contratación por la normativa de contratación pública, al final del
periodo la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se
transpusieron al ordenamiento jurídico español las Directivas del Parlamento Europeo y del
Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 (artículo 3.1.c). La AEPD también
estuvo sometida a los preceptos aplicables de la Ley 47/2003, de 26 de noviembre, General
Presupuestaria (LGP); y de la Orden EHA/1037/2010, de 13 de abril, por la que se aprueba el Plan
General de Contabilidad Pública. Sus medios personales eran funcionarios de las
administraciones públicas y personal laboral contratado al efecto, según la naturaleza de las
Agencia Protección Datos, 2016-2017 11
funciones asignadas a cada puesto de trabajo; y para cada año cuenta con un presupuesto
integrado, con la debida independencia, en los Presupuestos Generales del Estado (PGE). El
control externo se ejerce por el Tribunal de Cuentas y el interno por la Intervención General de la
Administración del Estado (IGAE) en régimen de control financiero permanente.
1.11. La entrada en vigor de la nueva LOPD de 2018 actualizó la naturaleza y el régimen jurídico
de la AEPD que, durante el periodo fiscalizado, además del sometimiento al régimen jurídico
vigente durante el mismo, ha ido trabajando en su adaptación a la nueva normativa y anticipando
medidas para su aplicación. El artículo 44 de esta nueva ley configura a la Agencia como una
autoridad administrativa independiente de ámbito estatal con personalidad jurídica y plena
capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el
ejercicio de sus funciones. Su denominación oficial es ahora «Agencia Española de Protección de
Datos, Autoridad Administrativa Independiente» y se relaciona con el Gobierno a través del
Ministerio de Justicia. Se rige por la propia LOPD de 2018, el RUEPD y sus disposiciones de
desarrollo (el artículo 45 prevé que el Gobierno, a propuesta de la Agencia, apruebe un nuevo
Estatuto, mediante Real Decreto, que aún no estaba aprobado en el momento de finalización de
estos trabajos de fiscalización). De acuerdo con esta nueva normativa, la Agencia debe elaborar y
aprobar su presupuesto y lo remitirá al Gobierno para que sea integrado, con independencia, en
los PGE; y su personal será funcionario o laboral y se regirá por lo previsto en el texto refundido
de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo
5/2015, de 30 de octubre, y demás normativa reguladora de los funcionarios públicos y, en su
caso, por la normativa laboral. La nueva LOPD de 2018 refleja la existencia de las autoridades
autonómicas de protección de datos y regula la necesaria cooperación entre las autoridades de
control.
1.12. Las cuentas anuales de la AEPD correspondientes a los ejercicios fiscalizados fueron
rendidas al Tribunal de Cuentas, por conducto de la IGAE, en cumplimiento de la obligación
aprobadas a la IGAE, correspondientes a los ejercicios 2016 y 2017, tuvo lugar el 27 de julio de
2017 y el 26 de julio de 2018 respectivamente, dentro del plazo señalado en el artículo 139.1 de la
LGP. Su remisión por la IGAE al Tribunal de Cuentas se produjo los días 4 de agosto de 2017 y 1
de agosto de 2018, respectivamente, también dentro del plazo señalado en el artículo 139.2 de la
LGP. Sin embargo, la publicación en el Boletín Oficial del Estado (BOE) de la información relativa
a las cuentas anuales de la AEPD se produjo los días 12 de septiembre de 2017 y 4 de
septiembre de 2018, excediendo en ocho y tres días, respectivamente, el plazo de un mes desde
que la IGAE presente las cuentas ante el Tribunal de Cuentas, previsto en la regla 38 de la Orden
EHA/2045/2011, de 14 de julio, por la que se aprueba la instrucción de contabilidad para la
Administración Institucional del Estado.
I.4. OBJETIVOS, PROCEDIMIENTOS Y LIMITACIONES DE LA FISCALIZACIÓN
1.13. Se ha llevado a cabo una fiscalización integral de la AEPD referida a los ejercicios 2016 y
2017, con los siguientes objetivos generales:
Comprobar que las cuentas anuales de la AEPD de los ejercicios 2016 y 2017 representan a)
adecuadamente la imagen fiel de la situación financiera, patrimonial y presupuestaria y los
resultados del ejercicio.
Comprobar el cumplimiento de la normativa legal aplicable a la actividad de la AEPD. b)
Evaluar los sistemas y procedimientos de control interno y de gestión aplicados por la entidad; c)
así como las principales actuaciones realizadas por la entidad para el cumplimiento de sus
funciones y los resultados de su gestión.
Seguimiento de las recomendaciones contenidas en el Informe de fiscalización sobre la d)
actividad de la AEPD, ejercicio 2009, aprobado por el Pleno del Tribunal de 28 de febrero de 2013;
12 Tribunal de Cuentas
así como de lo acordado en la Resolución de la Comisión Mixta para las Relaciones con el
Tribunal de Cuentas referente al mismo, aprobada en su sesión del día 21 de diciembre de 2016.
1.14. También se abordaron cuestiones relacionadas con el cumplimiento por la AEPD de la
normativa sobre igualdad efectiva de mujeres y hombres, así como el de las prescripciones
legales en materia de transparencia, en la medida en que guardaban relación con el objeto de las
actuaciones fiscalizadoras.
1.15. Los procedimientos de fiscalización que se utilizaron han incluido todas las comprobaciones
sustantivas y de cumplimiento que se estimaron necesarias para alcanzar los objetivos señalados.
Se analizó la documentación e información solicitada y se hicieron consultas a las aplicaciones y
herramientas informáticas de la AEPD. También se analizaron muestras de expedientes y se
solicitaron de la Agencia listados de expedientes con los datos e información que se consideró
relevante para comprobar su contratación, la tramitación de los procedimientos y el cobro de las
sanciones impuestas.
1.16. En el desarrollo de las actuaciones fiscalizadoras no se han producido limitaciones que
hayan impedido cumplir los objetivos previstos, habiendo prestado adecuadamente su
colaboración los responsables de la AEPD.
1.17. La presente fiscalización se ha realizado de acuerdo con las Normas de Fiscalización del
Tribunal de Cuentas, aprobadas por su Pleno el 23 de diciembre de 2013.
I.5. ESTRUCTURA ORGANIZATIVA, FUNCIONES Y PROCEDIMIENTOS DE LA AGENCIA Y
SUS MODIFICACIONES LEGALES
1.18. Como ya se ha señalado en el punto 1.9, los análisis que se contienen en este Informe sobre
las distintas actuaciones de la AEPD se han realizado de acuerdo con la normativa aplicable en el
momento de su realización; no obstante, se van a ir señalando y teniendo en cuenta a lo largo del
Informe los cambios legales que se han producido y entrado en vigor con posterioridad al periodo
fiscalizado. En relación con la estructura organizativa de la Agencia, vigente en el periodo
fiscalizado, sus actuaciones se desarrollaron a través de los órganos definidos en el Estatuto de
1993: el Director/a; el Consejo Consultivo (CC); y como órganos jerárquicamente dependientes del
Director de la Agencia, el Registro General de Protección de Datos (RGPD), la Subdirección
General de Inspección de Datos (SGID) y la Secretaría General.
1.19. El Estatuto de 1993 recoge las funciones de dirección y de gestión atribuidas al Director de
la Agencia. Su nombramiento corresponde al Gobierno, mediante Real Decreto, de entre quienes
componen el CC y a propuesta del Ministro de Justicia y tiene la consideración de alto cargo con
rango de Subsecretario, siendo su mandato de cuatro años. El CC es un órgano colegiado de
asesoramiento del Director de la Agencia, compuesto en el periodo fiscalizado por diez miembros,
nombrados por el Gobierno a propuesta y en representación de las entidades e instituciones
previstas en el Estatuto de 1993, por un periodo de cuatro años. El RGPD era el órgano que
gestionaba, en el periodo fiscalizado, el registro y publicación de los ficheros de datos de carácter
personal y de los códigos tipo, la instrucción de los expedientes de autorizaciones de
transferencias internacionales de datos, y la atención a las consultas presentadas por los
ciudadanos sobre el ejercicio de sus derechos y recepción de reclamaciones. La SGID es el
órgano al que competía el ejercicio de la función inspectora e instructora relativa a los expedientes
sancionadores; y la Secretaría General ejercía las funciones de apoyo y ejecución incluyendo,
entre otras, la gestión de los medios personales y materiales adscritos a la Agencia y la gestión
económico-administrativa del presupuesto.
1.20. La LOPD de 2018, en vigor desde el 7 de diciembre de 2018, prevé una presidencia de la
AEPD, auxiliada por un Adjunto, que ejercen sus funciones con plena independencia y objetividad
sin estar sujetos a instrucción alguna en su desempeño, nombrados por el Gobierno, a propuesta
del Ministerio de Justicia, mediante real decreto, por un periodo de cinco años que puede ser
Agencia Protección Datos, 2016-2017 13
renovado para otro período de igual duración. El CC se configura como un órgano colegiado de
asesoramiento de la presidencia de la Agencia y la nueva ley prevé una composición más
numerosa. Deberá reunirse cuando así lo disponga la Presidencia de la Agencia y, en todo caso,
una vez al semestre; y sus decisiones no tendrán en ningún caso carácter vinculante. Los cambios
organizativos y de funciones del RGPD, la SGID y la Secretaría General se van a ir señalando a lo
largo del Informe al analizar sus actuaciones durante el periodo fiscalizado.
1.21. En materia de tramitación de procedimientos sancionadores el RUEPD y LOPD de 2018
introdujeron la evolución de un modelo basado en el control del cumplimiento a otro que descansa
en el principio de responsabilidad activa. El nuevo modelo contempla un responsable o encargado
del tratamiento de datos, que debe hacer una valoración previa del riesgo que pudiera generar el
tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que
procedan; así como la figura del delegado de protección de datos, que puede tener un carácter
obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser
tanto una persona física como una persona jurídica. La designación de los delegados de
protección de datos ha de comunicarse a la autoridad de protección de datos competente y, a
partir de la entrada en vigor de la nueva regulación, la AEPD debe mantener una relación pública
y actualizada de los mismos, accesible por cualquier persona. Estos delegados se configuran
como un medio para la resolución amistosa de reclamaciones, pues tanto los interesados como la
AEPD o, en su caso, las autoridades autonómicas de protección de datos, podrán reproducir ante
ellos la reclamación que no sea atendida por el responsable o encargado del tratamiento. A este
nuevo sistema, que no estuvo vigente en el periodo fiscalizado, se irá haciendo referencia al
analizar en este Informe las actuaciones realizadas en 2016 y 2017.
I.6. PRINCIPALES MAGNITUDES ECONÓMICAS DE LA AGENCIA
1.22. A la AEPD compete la ejecución del Programa presupuestario 135 M, “Protección de datos
de carácter personal”, integrado en los PGE de cada año, dentro de la Sección 13, Ministerio de
Justicia, en el apartado de Otros Organismos. Los créditos definitivos de los presupuestos de
gastos se elevaron a la misma cuantía, 14.101,1 miles de euros, en ambos ejercicios fiscalizados.
La AEPD reconoció obligaciones netas por 11.449,1 miles de euros, en 2016; y 11.673,3 miles de
euros en 2017. En el presupuesto de ingresos los derechos reconocidos netos alcanzaron un total
de 19.434,2 miles de euros, en 2016; y 21.760,4 miles de euros, en 2017, prácticamente la
totalidad provenientes del capítulo 3 (Tasas, precios públicos y otros ingresos) en ambos
ejercicios. El desglose por capítulos de las obligaciones y los derechos reconocidos netos de la
Agencia se refleja en el Anexo I de este Informe.
1.23. Los Balances de la AEPD reflejan, a 31 de diciembre de 2016 y 2017, que el activo de la
entidad ascendía a un total de 76.599,6 miles de euros y 81.014,4 miles de euros,
respectivamente. En ambos ejercicios destacaban los saldos de tesorería, que representaban en
torno al 82% del importe total del activo en cada uno de ellos (63.465,9 miles de euros y 66.034,3
miles de euros respectivamente); así como los saldos netos de deudores y otras cuentas a cobrar,
que ascendían al 12% y 14% del activo de cada ejercicio (9.383,1 miles de euros y 11.309,2 miles
de euros, respectivamente). El Anexo II de este Informe contiene el desglose por epígrafes de los
Balances de 2016 y 2017 de la Agencia.
1.24. Las cuentas de resultado económico patrimonial de los ejercicios 2016 y 2017 registraron un
importe total de gastos de gestión ordinaria de 12.105,8 miles de euros; y 12.198,2 miles de euros,
respectivamente. Los ingresos de gestión ordinaria del periodo ascendieron a 19.258.831,49 miles
de euros, en 2016 y 21.422,6 miles de euros en 2017. Esto supone que el resultado de las
operaciones ordinarias ascendió a un ahorro de 7.153,1 miles de euros y 9.224,4 miles de euros
cada uno de esos años. El resultado neto de cada uno de esos ejercicios fue de 5.857,5 miles de
euros; y 6.770,7 miles de euros, tras un resultado de las operaciones financieras negativo por
importe de 1.296,2 miles de euros; y 2.453,7 miles de euros (derivados de la contabilización del
deterioro de valor, bajas y enajenaciones de activos y pasivos financieros). El desglose por
14 Tribunal de Cuentas
epígrafes de las Cuentas de resultado económico patrimonial de 2016 y 2017 se refleja en el
Anexo III de este Informe.
1.25. En las cuentas anuales correspondientes al ejercicio 2017, aprobadas por la Entidad y
rendidas a este Tribunal, se ha ajustado el patrimonio generado del ejercicio 2016 en 2.371,2
miles de euros, como consecuencia de los ajustes por cambios de criterios contables y corrección
de errores. Esta corrección supuso una disminución del resultado neto por el importe citado; y ha
afectado a determinados epígrafes del Balance, en concreto, a deudores por operaciones de
gestión (deudores y otras cuentas a cobrar) del activo corriente, que disminuyó en 2.362,7 miles
de euros, y a Administraciones públicas (acreedores y otras cuentas a pagar) del pasivo corriente,
que aumentó en 8,5 miles de euros.
1.26. El artículo 37 de la LOPD de 1999, vigente durante el periodo fiscalizado, señalaba entre las
funciones de la AEPD la de velar por el cumplimiento de la legislación sobre protección de datos y
controlar su aplicación. La AEPD desarrolló, a través de los procedimientos vigentes durante el
periodo fiscalizado, dos grandes bloques de actividad: a) las reclamaciones de tutela de derechos
(para la información, acceso, rectificación, oposición y cancelación de datos); y b) la resolución de
denuncias por infracciones a las normas legales sobre tratamiento de datos de carácter personal.
Las cifras sobre las principales actuaciones realizadas en estas materias, durante el periodo
fiscalizado, se reflejan en el cuadro 1. En los distintos apartados de este Informe se van a ir
analizando estas actuaciones, haciendo referencia a su situación tras la entrada en vigor del
nuevo régimen jurídico sobre protección de datos, a partir del 25 de mayo de 2018.
DATOS DE LA ACTIVIDAD DE LA AEPD EN 2016 Y 2017 Cuadro 1:
Principales actuaciones de la AEPD
2016
2017
Denuncias y reclamaciones en tramitación al acabar el ejercicio
3.039
2.025
Denuncias y reclamaciones que han tenido entrada durante el ejercicio
10.524
10.661
Denuncias y reclamaciones resueltas
10.446
11.248
Consultas atendidas por el área de atención al ciudadano
236.955
255.908
Ficheros inscritos
4.510.346
4.914.934
Fuente: Ela boración propia del Tribunal de Cuentas a partir de las Memorias anuales de la AEPD de 2016 y 2017 y
datos obtenidos de SIGRID.
I.7. TRATAMIENTO DE LAS ALEGACIONES
1.27. De conformidad con lo previsto en el artículo 44 de la Ley 7/1988, de 5 de abril, de
Funcionamiento del Tribunal de Cuentas, los resultados de las actuaciones fiscalizadoras fueron
puestos de manifiesto para la formulación de alegaciones a la Directora de la AEPD, responsable
actual de la entidad fiscalizada y representante legítima de la misma, que también lo había sido
durante todo el periodo fiscalizado. Las alegaciones fueron presentadas y recibidas dentro del
plazo y se adjuntan al presente Informe. Se han incorporado en el texto del Informe los cambios
que se han considerado oportunos como consecuencia de su examen, ya sea por aceptar su
contenido o para razonar el motivo por el que no se aceptaron.
1.28. Las alegaciones señalan en numerosos casos que los fallos de gestión detectados en la
fiscalización ya están corregidos en la actualidad y solicitan que se exponga así en el Informe. No
obstante, de acuerdo con lo establecido en las Normas del Fiscalización del Tribunal de Cuentas,
en el Informe solo se exponen los casos en los que el Tribunal ha comprobado que la citada
corrección ha tenido lugar. Por otra parte, no han sido objeto de contestación las alegaciones que
constituyen meras explicaciones o aclaraciones de la actividad fiscalizada, de modo que la falta de
contestación a este tipo de alegaciones no debe entenderse como una aceptación tácita de su
contenido. El resultado definitivo de la fiscalización es el expresado en el presente Informe, con
independencia de las consideraciones que se han manifestado en las alegaciones.
Agencia Protección Datos, 2016-2017 15
II. ANÁLISIS DE LA REPRESENTATIVIDAD DE LAS CUENTAS ANUALES
II.1. OPINIÓN
2.1. Las cuentas anuales de la AEPD correspondientes a los ejercicios 2016 y 2017 reflejan
adecuadamente, en sus aspectos más significativos, su situación financiera y patrimonial, el
resultado del ejercicio y la liquidación de su presupuesto, y contienen la información necesaria y
suficiente para su correcta interpretación y comprensión, de acuerdo con los principios, criterios y
normas contables que le eran de aplicación, excepto por las salvedades que se indican en los
puntos 2.2 a 2.8 de este Informe y se desarrollan en los subapartados II.2 a II.5.
2.2. El activo del inmovilizado intangible “Aplicaciones informáticas” se encontraba sobrevalorado
en el balance por un importe de 1.107,0 miles de euros, en 2016; y de 1.208,9 miles de euros, en
2017. En paralelo, los gastos de cada uno de los dos ejercicios están infravalorados por los
importes indicados, y se ven afectados también el estado total de cambios en el patrimonio neto,
el estado de ingresos y gastos reconocidos y el estado de liquidación del presupuesto (véanse los
puntos 2.9 a 2.15).
2.3. La partida “Otro inmovilizado material” se encontraba sobrevalorada en el balance en un
importe de 29,2 miles de euros, en 2016; y en 28,2 miles de euros en el de 2017. En paralelo, los
gastos de amortización de cada uno de los dos ejercicios, así como los de los ejercicios anteriores
están mal contabilizados, y se ven afectados también el estado total de cambios en el patrimonio
neto y el estado de ingresos y gastos reconocidos (como se analiza en el punto 2.16).
2.4. La partida del activo corriente “Deudores por operaciones de gestión” se encontraba
infravalorada en el balance en 25,5 miles de euros, en 2016, por exceso de la dotación de la
provisión para insolvencias de ese año en ese importe. En 2017, el exceso de la dotación de la
provisión para insolvencias fue de 496,5 miles de euros y en esa misma cuantía estaba
infravalorado el activo corriente “Deudores por operaciones de gestión”. Por los mismos motivos,
los resultados de cada uno de los dos ejercicios están infravalorados en los importes indicados
(véanse los puntos 2.17 a 2.20).
2.5. La partida del activo corriente “Deudores por operaciones de gestión” se encontraba
sobrevalorada en el balance en un importe de 97,2 miles de euros en 2016 y en 480,0 miles de
euros en el de 2017, por errores en los reconocimientos de derechos derivados de la imposición
de sanciones. Por el mismo motivo, los resultados de cada uno de los dos ejercicios están
sobrevalorados en los importes indicados, y se ven afectados también el estado total de cambios
en el patrimonio neto, el estado de ingresos y gastos reconocidos y el estado de liquidación del
presupuesto (véase el punto 2.21).
2.6. En el balance de 2017 estaba infravalorado el saldo de la cuenta con imputación
presupuestaria “Derechos reconocidos de presupuestos cerrados” por 296,4 miles de euros; y
sobrevaloradas las partidas con imputación extrapresupuestarias “Deudores a corto plazo por
aplazamiento/fraccionamiento. Operaciones de gestión” en 14,4 miles de euros; y “Deudores a
largo plazo por aplazamiento/fraccionamiento” en 282,0 miles de euros. En paralelo, se ve
afectado el estado de liquidación del presupuesto (véase el punto 2.22).
2.7. El saldo de la cuenta 413 “Acreedores por operaciones pendientes de aplicar a presupuesto”
se encontraba sobrevalorado en 1,9 miles de euros, en 2016; y el saldo de esta misma cuenta,
que pasó a denominarse “Acreedores por operaciones devengadas”, estaba sobrevalorado en 3,5
miles de euros en 2017. En paralelo, se ve afectado el estado de liquidación del presupuesto
(véase el punto 2.23).
2.8. A partir de octubre de 2016 la Agencia pasó a reconocer contablemente los derechos de
cobro derivados de sanciones en el momento en que notificaba los acuerdos de inicio de cada
procedimiento sancionador. Este incorrecto criterio contable generó una sobrevaloración de los
16 Tribunal de Cuentas
derechos reconocidos por sanciones en una cuantía que no ha podido determinarse (véanse los
puntos 2.24 a 2.27).
II.2. BALANCE Y CUENTA DEL RESULTADO ECONÓMICO PATRIMONIAL
2.9. La sobrevaloración señalada en el punto 2.2 del activo del inmovilizado intangible
“Aplicaciones informáticas”, en 1.107,0 miles de euros (el 63,66% de su importe) en el balance de
2016 y en 1.208,9 miles de euros (el 76,91% de su importe) en el de 2017, se debe a la incorrecta
activación de determinados costes que deberían haber sido aplicados como gastos del ejercicio
en el que se produjeron. En efecto, se han activado incorrectamente, como aplicaciones
informáticas, renovaciones anuales de dominios web, licencias anuales de software, costes
devengados por la adaptación del gestor de contenidos de la página web ya existente en el
organismo desde 2014 y los servicios de mantenimiento correctivo y evolutivo de la página web y
de los sistemas NOTA, RENO, REST@ y SIGRID. También se encuentran sobrevalorados tres
elementos de inmovilizado intangible que han finalizado su vida útil hace varios ejercicios y
presentan todavía importes pendientes de amortizar.
2.10. Para el cálculo de la sobrevaloración señalada en al punto anterior se ha considerado
incorrecta la activación como aplicaciones informáticas de las renovaciones anuales de dominios
web y de las licencias anuales de software, dado que las renovaciones son derechos de uso
anuales, caducan en un año y no cumplen los requisitos que establece el Plan General de
Contabilidad Pública (PGCP) para ser activadas como inmovilizado. Ni los dominios ni las
licencias pueden ser usados durante más de un ejercicio económico, porque han sido contratados
reservándose el suministrador la facultad de revocarlos al inicio de la siguiente anualidad en caso
de que no se efectúe de nuevo su contratación y pago.
2.11. En segundo lugar, de acuerdo con la norma sexta 5.3 de registro y valoración del
inmovilizado intangible, dictada por Resolución de 28 de mayo de 2013, del Instituto de
Contabilidad y Auditoría de Cuentas (ICAC), ninguno de los costes devengados por la adaptación
del gestor de contenidos de la página web debería haber sido activado como inmovilizado, ya que
la página web se encontraba dentro de la estructura operativa del organismo desde 2014. No
deberían de haberse activado como aplicaciones informáticas costes como el mantenimiento
actualizado de software, ni el soporte técnico o de consultoría, ni el desarrollo de la página con el
fin de anunciar los nuevos servicios que ofrecía la AEPD.
2.12. En tercer lugar, la activación errónea de los servicios de mantenimiento correctivo y evolutivo
de los sistemas NOTA, RENO, REST@ y SIGRID se debe a que incluye dos tipos de costes que
obedecen a distintos conceptos (unos activables y otros no). Estos costes deberían haber estado
diferenciados en la contratación y en las facturas que los soportan para poder considerar como
aplicaciones informáticas a los que podrían ser activables.
2.13. El desarrollo correctivo de una página web o de un sistema de información es un
mantenimiento que tiene como objetivo solventar deficiencias en algún componente (puede ser
software o documental), entendiendo deficiencia como algo que debería funcionar o estar correcto
y que no lo está. De acuerdo con la norma de reconocimiento y valoración 5ª.4 del PGCP sobre
las aplicaciones informáticas y la norma sexta 5.3.d) de registro y valoración del inmovilizado
intangible dictada por Resolución de 28 de mayo de 2013, del ICAC, en ningún caso podrán
figurar en el activo los gastos de mantenimiento de una aplicación informática. El desarrollo o
mantenimiento evolutivo, por el contrario, es aquel que pretende modificar algo que funcionaba o
estaba correcto, con el objeto de aumentar, disminuir o cambiar las funcionalidades del sistema,
ya sea por las necesidades de los usuarios o por otras causas como pueden ser, por ejemplo,
cambios normativos. La norma sexta de registro y valoración del inmovilizado intangible, dictada
por la citada Resolución del ICAC, recoge en el punto 5.3.a) que este tipo de desarrollos nunca
pueden ser considerados como inmovilizado, por ser costes devengados como consecuencia de
la modificación o modernización de aplicaciones o sistemas informáticos o páginas web, ya
Agencia Protección Datos, 2016-2017 17
existentes dentro de la estructura operativa de la entidad, salvo que se pudieran identificar de
forma específica o individualmente como ampliaciones o mejoras del citado activo. La entidad no
ha separado en su contratación y en las facturas que soportan estos gastos entre costes
correctivos y evolutivos, por lo que no se pueden identificar de forma específica las ampliaciones o
mejoras evolutivas que se hubieran podido incorporar como mayor valor del activo “Aplicaciones
informáticas”.
2.14. Por último, tres elementos del activo, inventariados y contabilizados como “Aplicaciones
informáticas”, ya habían finalizado su vida útil varios ejercicios atrás; y, sin embargo, presentaban
todavía importes pendientes de amortizar. La situación en la que se encontraban estos elementos
era la misma a 31 de diciembre de 2016 y de 2017; y su valoración, por un importe de 346,1 miles
de euros, pendiente de amortizar, da lugar a una sobrevaloración por esa cuantía del activo
“Aplicaciones informáticas”.
2.15. El siguiente cuadro 2 refleja el cálculo del exceso de valoración del activo del inmovilizado
intangible “Aplicaciones informáticas” en el balance de la entidad, clasificado según el motivo que
dio lugar a la valoración incorrecta, para cada uno de los dos ejercicios fiscalizados:
DETALLE DEL EXCESO DE VALORACIÓN DEL ACTIVO “APLICACIONES INFORMÁTICAS” Cuadro 2:
en euros
Motivo del exceso de valoración
31/12/2016
31/12/2017
Renovación de licencias ALFRESCO
43.517,02
0,00
Renovación de licencias MCAFEE
14.333,62
12.033,58
Renovación de licencias PDQ
1.931,38
2.566,93
Renovación de licencias MYSQL
8.027,84
8.956,74
Renovación de licencias PHOTOSHOP Y ADOBE INDESIGN
713,58
1.323,24
Renovación de licencias ORACLE
149.597,81
152.195,11
Total renovación de licencias de software
218.121,25
177.075,60
Total renovaciones anuales de dominios WEB
921,22
875,47
Total adaptación del gestor de contenidos al Plan estratégico de la AEPD
41.114,41
86.634,66
Total desarrollo correctivo y evolutivo de sistemas Nota, Reno y REST@
113.453,21
56.726,60
Total desarrollo y mantenimiento correctivo y evolutivo SIGRID
387.295,88
541.545,04
Total valor pendiente de amortizar de elementos que han finalizado su vida útil
346.086,90
346.086,90
Total exceso de valoración
1.106.992,87
1.208.944,27
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID, SIC y datos entregados por la
AEPD.
2.16. La sobrevaloración de la partida “Otro inmovilizado material”, señalada en el punto 2.3,
deriva de que la cuenta 216 “Mobiliario” contenía, el 31 de diciembre de 2016, 109 elementos
registrados como mobiliario que deberían haberse contabilizado en la cuenta 217 de “Equipos
para procesos de información”. Esta circunstancia dio lugar a la modificación de la vida útil de 91
de estos elementos que deberían haber sido registrados con una vida útil de ocho años (de
acuerdo con la resolución de 14 de diciembre de 1999 de la IGAE), en lugar de los veinte años
que se han aplicado. En el balance, la sobrevaloración de la partida “Otro inmovilizado material”, a
31 de diciembre de 2016, ascendía a 29,2 miles de euros (debido a que 62 de estos elementos ya
tendrían que estar amortizados y al defecto de dotación de amortización y amortización
acumulada de los 29 elementos restantes). La sobrevaloración de la partida “Otro inmovilizado
material”, a 31 de diciembre de 2017, ascendía a 28,2 miles de euros (debido a que 87 de estos
elementos deberían estar amortizados y los cuatro restantes deberían haberse amortizado más
rápidamente).
2.17. El exceso de la dotación de la provisión para insolvencias de 2016 (por importe de 25,5
miles de euros) señalado en el punto 2.4, resulta de saldar la cuantía de 428,2 miles de euros,
18 Tribunal de Cuentas
correspondientes a diez sanciones que se debieron provisionar ese año y no se tuvieron en
cuenta en el cálculo de la dotación de la provisión para insolvencias, con el importe de 453,8 miles
de euros, correspondientes a nueve sanciones que se provisionaron por esa cuantía y, sin
embargo, no debieron de haberse provisionado. Los detalles de estas operaciones figuran en los
dos puntos siguientes.
2.18. En 2016, diez sanciones por importe de 428,2 miles de euros, se debieron de haber incluido
en el cálculo de la dotación de la provisión para insolvencias de ese año, de acuerdo con el punto
3.a de la Resolución de la IGAE, de 26 de noviembre de 2003. Seis de estas sanciones, por
importe de 77,1 miles de euros, eran sanciones impuestas a entidades extranjeras, cuya gestión
de cobro no se había asumido por la Agencia Estatal de Administración Tributaria (AEAT) que
habían superado la antigüedad prevista para su prescripción, y en las que no se había podido
identificar a ningún responsable. Otras dos, también con esa antigüedad, procedían de una
revisión de sentencias realizada tras la entrada en vigor la Ley 2/2011, de 4 de marzo, de
economía sostenible, que puso de manifiesto la existencia de dos sanciones que estaban siendo
gestionadas por la AEAT pero no estaban contabilizadas en la AEPD (por importe de 30,6 miles
de euros). El importe restante que se debió provisionar en 2016 (320,5 miles de euros) proviene
de otras dos sanciones que reunían los requisitos para su provisión (una impuesta en 2005 que
había sido objeto de múltiples suspensiones y otra en 2015). En 2017 se ingresó el importe de una
de las sanciones mencionadas (por 20,0 miles de euros) y se dotó provisión por insolvencias para
las nueve restantes. En 2018 se anuló otra de estas sanciones (por importe de 300,5 miles de
euros), y en el ejercicio 2019 está prevista la cancelación por prescripción de las ocho restantes.
2.19. Por el contrario, en 2016 no se debieron provisionar nueve sanciones provenientes de
expedientes del ejercicio 2015 (por importe de 453,8 miles de euros), de acuerdo con el punto
3.a.1 de la citada Resolución de la IGAE, por no haber transcurrido el plazo de un año desde el
momento en el que se inició la vía ejecutiva. Estas nueve sanciones tenían fecha de vencimiento
del periodo voluntario de pago en el mismo ejercicio 2016, lo que hace imposible que a 31 de
diciembre de ese año llevaran ya más de un año de tramitación en vía ejecutiva.
2.20. En 2017, cuatro procedimientos sancionadores que figuraban provisionados (por importe de
170,0 miles euros) dentro de los deudores de sanciones con más de un año en vía ejecutiva no se
encontraban ya en la relación de deudores pendientes de cobro, a 31 de diciembre de 2017.
Además, tampoco se debieron provisionar, en 2017, otras doce sanciones provenientes de
expedientes del ejercicio 2016 (por importe de 326,5 miles de euros), de acuerdo con el punto
3.a.1 de la citada Resolución de la IGAE, por no haber transcurrido el plazo de un año desde el
momento en el que se inició la vía ejecutiva. Los derechos de cobro derivados de estas doce
sanciones se habían reconocido de contraído previo en noviembre y diciembre de 2016, lo que
hace imposible que a 31 de diciembre de 2017 llevaran ya más de un año de tramitación en vía
ejecutiva. El exceso total de la dotación de la provisión para insolvencias, en 2017, ascendió por
tanto a 496,5 miles de euros, como se ha indicado en el punto 2.4.
2.21. La sobrevaloración, señalada en el punto 2.5, de la partida del activo corriente “Deudores
por operaciones de gestión”, por importe de 97,2 miles de euros en el balance de 2016 y de 480,0
miles de euros en el de 2017, deriva de la existencia de procedimientos sancionadores que dieron
lugar al reconocimiento de derechos varias veces, o por importes inferiores o superiores a los
señalados en los acuerdos de inicio o de resolución de esos procedimientos. Los saldos que
afectan a los ejercicios fiscalizados resultan de errores en el reconocimiento de derechos de tres
procedimientos de 2016 y dos de 2017 cuyo detalle se desarrolla en el cuadro 3.
Agencia Protección Datos, 2016-2017 19
EFECTO NETO DE LOS ERRORES CONTABLES DE LOS DERECHOS RECONOCIDOS POR
Cuadro 3: SANCIONES
en euros
Nº PS
Error en los deudores por derechos reconocidos
31/12/2016
31/12/2017
31/12/2018
PS/047/16
Reconocimiento de derecho duplicado
60.000,00
60.000,00
60.000,00
PS/074/17
Reconocimiento de derecho duplicado
-
20.000,00
20.000,00
PS/455/16
Exceso en el reconocimiento del derecho
40.000,00
40.000,00
-
PS/575/16
Defecto en el reconocimiento del derecho
-2.800,00
-
-
PS/575/16
Exceso en el reconocimiento del derecho
-
-
2.000,00
PS/301/17
Exceso en el reconocimiento del derecho
-
360.000,00
-
Efecto neto sobre los deudores por derechos reconocidos
97.200,00
480.000,00
82.000,00
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID, SIC y datos entregados por la
AEPD.
2.22. La infravaloración en el balance de 2017 del saldo de la cuenta con imputación
presupuestaria “Derechos reconocidos de presupuestos cerrados”, por 296,4 miles de euros, y la
correspondiente sobrevaloración de las partidas con imputación extrapresupuestaria “Deudores a
corto plazo por aplazamiento/fraccionamiento. Operaciones de gestión” en 14,4 miles de euros, y
“Deudores a largo plazo por aplazamiento/fraccionamiento” en 282,0 miles de euros, señalada en
el punto 2.6, deriva de errores en la contabilización de la desestimación de una solicitud de
aplazamiento/fraccionamiento de una sanción (SF/00006/2017 en relación con el PS/00156/2016).
Aunque esta solicitud fue desestimada se contabilizó como estimada en octubre de 2017 dando
lugar a la anulación de los derechos reconocidos de las cuotas que no vencían en el ejercicio, por
importe de 296,4 miles de euros (infravaloración de “Derechos reconocidos de presupuestos
cerrados”) y el reconocimiento de los deudores extrapresupuestarios correspondientes a corto
(14,4 miles de euros) y largo plazo (282,0 miles de euros). Aunque este error se corrigió en enero
de 2018, a 31 de diciembre de 2017 estaba infravalorada la cuenta presupuestaria y
sobrevaloradas las extrapresupuestarias señaladas anteriormente.
2.23. La sobrevaloración señalada en el punto 2.7, del saldo de la cuenta 413 “Acreedores por
operaciones pendientes de aplicar a presupuesto” en el balance de 2016, en 1,9 miles de euros,
fue consecuencia de un error en la contabilización de la factura nº 0007714111, de fecha 31 de
diciembre de 2016. El importe de dicha factura debió imputarse en el mismo ejercicio 2016 a la
cuenta 400 “Acreedores por obligaciones reconocidas Presupuesto de gastos corriente”. No
obstante, este error en la imputación contable no da lugar a una modificación en el saldo final del
epígrafe VI ”Acreedores y otras cuentas a pagar” del balance de 2016. La sobrevaloración por 3,5
miles de euros en el balance de 2017, señalada en el mismo punto, del saldo de la cuenta 413,
que pasó a denominarse “Acreedores por operaciones devengadas”, fue consecuencia de un error
en la contabilización de la factura nº S1762347, de fecha 5 de noviembre de 2017. El importe de
dicha factura debió imputarse en el mismo ejercicio 2017 a la cuenta 400 “Acreedores por
obligaciones reconocidas. Presupuesto de gastos corriente”. No obstante, este error de imputación
contable no da lugar a una modificación en el saldo final del epígrafe VI “Acreedores y otras
cuentas a pagar” del balance de 2017.
2.24. A partir de la entrada en vigor de la LPAC (2 de octubre de 2016), la AEPD pasó a reconocer
los derechos de cobro en el momento en que se producía la notificación del acuerdo de inicio de
cada procedimiento sancionador, en lugar de hacerlo en el de la notificación de la resolución
sancionadora. Este cambio de criterio supuso el incumplimiento de la normativa que regula la
contabilización de estos derechos, como se analizará en detalle en los tres puntos siguientes. El
reconocimiento de los derechos de cobro por el importe total de la sanción prevista y en el
momento del inicio del procedimiento sancionador, dio lugar a que se adelantase indebidamente
su contabilización y se produjese un incremento relevante, pero inadecuado, de su cuantía.
20 Tribunal de Cuentas
Además dio lugar a importes relevantes de anulaciones de liquidaciones como consecuencia del
cobro anticipado con reducciones del 40% de las sanciones ya reconocidas por su totalidad, así
como de los procedimientos instruidos que concluían sin sanción (pero para los cuales ya se
había reconocido el derecho a cobrarla). Por ello, los importes contabilizados como derechos de
cobro en 2016 y 2017 están afectados por la falta de homogeneidad en los criterios contables
aplicados y están sobrevalorados. La cuantificación concreta de esta salvedad no resulta posible,
ya que obligaría al análisis de la terminación de cada procedimiento en el que se reconocieron los
derechos de cobro con el acuerdo de inicio, para poder determinar así el exceso de los derechos
reconocidos y de las anulaciones de liquidaciones a que dieron lugar. Pero en cualquier caso, al
afectar a todos los procedimientos sancionadores iniciados a partir de octubre de 2016, tiene un
efecto significativo sobre los estados financieros de la Entidad. El importe de los derechos
reconocidos por procedimientos sancionadores contabilizados con el acuerdo de inicio ascendió a
28.984,5 miles de euros en el periodo fiscalizado.
2.25. Los documentos de principios contables públicos aprobados por la Comisión de principios y
normas contables públicas (actual Comisión de Contabilidad Pública) recogen los principios y
criterios contables a aplicar, entre otros, a los derechos, obligaciones, endeudamiento y otros. De
ellos, el documento nº 2 “Derechos a cobrar e ingresos”, en su punto 3.8 “Multas y sanciones
pecuniarias”, establece que el reconocimiento contable de las sanciones pecuniarias se debe
efectuar cuando se recauden estas o cuando en el ente que tenga atribuida la potestad para su
imposición surja el derecho a cobrarlas. Aclara que el nacimiento de este derecho de cobro se
produce cuando el ente impositor cuente con un título legal ejecutivo con que hacer efectivo dicho
derecho de cobro. Este mismo documento considera título ejecutivo al acto de imposición de la
sanción siempre que legalmente se establezca el carácter ejecutivo de este desde el momento en
que se dicte; e incluso un momento posterior cuando este acto no tenga carácter ejecutivo
(transcurrido el plazo de recurso o por resolución confirmatoria del acto de imposición tras el
último recurso posible).
2.26. También establece que la imputación de los derechos de cobro derivados de sanciones
habrá de efectuarse al presupuesto del ejercicio en el que se reconozcan, esto es, cuando el ente
impositor cuente con un título ejecutivo legal para exigirlas, o bien, si el cobro es anterior,
simultáneamente, en el momento de su recaudación. Por lo tanto, el reconocimiento contable de
los derechos de cobro en el momento en el que se notifican los acuerdos de inicio del
procedimiento sancionador, como se viene haciendo por la AEPD, no cumple con estos principios
y no refleja adecuadamente ni las cuantías de derechos reconocidos por sanciones ni las de
anulaciones de liquidaciones.
2.27. En este mismo sentido se manifiesta la Consulta 3/2011 (PGCP), de 26 de septiembre, a la
IGAE, sobre el tratamiento contable del momento en que deben ser reconocidos los derechos de
cobro derivados de las sanciones impuestas por un organismo. Esta consulta confirma los criterios
señalados en los dos puntos anteriores, que no amparan la forma de reconocimiento contable de
los derechos de cobro que viene realizando la AEPD.
II.3. ESTADO DE LIQUIDACIÓN DEL PRESUPUESTO
2.28. La sobrevaloración de la cuenta de activo “Aplicaciones informáticas”, expuesta en el punto
2.2 y explicada en los puntos 2.9 a 2.15, implica que en el estado de liquidación del presupuesto
están sobrevaloradas las obligaciones reconocidas en el capítulo VI (inversiones reales) del
presupuesto de gastos e infravaloradas las del capítulo II (gastos corrientes en bienes y servicios)
al haberse imputado obligaciones reconocidas en el primero de ellos que deberían haberlo sido en
el segundo.
2.29. La sobrevaloración de la partida del activo corriente “Deudores por operaciones de gestión”,
expuesta en el punto 2.5 y explicada en el punto 2.21, implica que están sobrevalorados los
Agencia Protección Datos, 2016-2017 21
derechos reconocidos brutos en un importe de 97,2 miles de euros en 2016 y de 480,0 miles de
euros en 2017.
2.30. La infravaloración del saldo de la cuenta presupuestaria del balance “Derechos reconocidos
de presupuestos cerrados” por 296,4 miles de euros, señalada en el punto 2.6, y explicada en el
punto 2.22, fue consecuencia de un error en la contabilización de la desestimación de un
fraccionamiento, e implica que están infravalorados los derechos reconocidos netos en un importe
de 296,4 miles de euros, en 2017, al haberse anulado indebidamente los derechos reconocidos
por fraccionamiento por el citado importe.
2.31. Las obligaciones reconocidas netas correspondientes al capítulo 2 “Gastos corrientes en
bienes y servicios” se encuentran infravaloradas en 1,9 miles de euros en el ejercicio 2016, como
consecuencia del error en la contabilización de la factura por ese importe al que se refieren los
puntos 2.7 y 2.23; y, por lo tanto, están sobrevaloradas por ese importe en el ejercicio 2017 al no
haberse imputado el importe de esta factura en el presupuesto del ejercicio 2016.
2.32. Las obligaciones reconocidas netas correspondientes al capítulo 6 “Inversiones reales” se
encuentran infravaloradas en 3,5 miles de euros en el ejercicio 2017 como consecuencia del error
en la contabilización de la factura al que se refieren los puntos 2.7 y 2.23; y, por lo tanto, están
sobrevaloradas por ese importe en el ejercicio 2018 al no haberse imputado el importe de esta
factura en el presupuesto del ejercicio 2017.
II.4. MEMORIA DE LAS CUENTAS ANUALES
2.33. Las memorias, tanto la del ejercicio 2016 como la de 2017, ofrecen información discrepante
sobre el remanente de tesorería en dos apartados distintos, sin explicar esa discrepancia. En el
apartado uno de cada memoria se explica la situación del remanente de tesorería a 31 de
diciembre de ese año, y se calcula, para cada uno de ellos, el “remanente de libre disposición”
(que ascendía a 71.107,7 miles de euros, en 2016, y 75.784,4 miles de euros en 2017). En el
apartado VI.9.b) de las memorias, bajo el epígrafe estado del remanente de tesorería, se ofrece
otra cuantía de “remanente de tesorería no afectado” (72.281,6 miles de euros, en 2016; y
76.908,6 miles de euros, en 2017). La diferencia entre estas dos magnitudes, que deberían
coincidir porque se refieren al mismo concepto, no se explica en la memoria. El motivo por el que
la cifra de “remanente de tesorería no afectado” sea más elevada consiste en que para su cálculo
no se resta la provisión por devolución de ingresos, mientras que esta provisión sí se resta para
calcular el “remanente de libre disposición”.
2.34. La provisión por devolución de ingresos se dota el 31 de diciembre de cada año para cubrir
la estimación de las posibles devoluciones de ingresos en que podría incurrir la Agencia, en el
ejercicio siguiente, por las sanciones liquidadas y cobradas recurridas por los sancionados
mientras estuviera pendiente la resolución del recurso. Se integra en la cuenta 585 “Provisión a
corto plazo para devoluciones de ingresos” del PGCP 2010, y su cuantía ascendió a 1.173,8 miles
de euros en 2016, y a 1.173,8 miles de euros en 2017. Este importe no se resta para el cálculo del
estado del remanente de tesorería recogido en el PGCP, que se calcula automáticamente por la
aplicación informática contable que utiliza la Agencia (SIC). Es esta circunstancia, junto con
errores aritméticos en el cálculo manual del remanente de libre disposición en 2017, lo que dio
lugar a que se ofreciese información diferente sobre el remanente de tesorería del que puede
disponer libremente la entidad con los límites legalmente establecidos, en dos apartados de la
memoria, sin que en esta se incluyese la explicación de las diferencias mencionadas.
2.35. La Memoria de 2016 en el punto en el que informa sobre las “transferencias y subvenciones”
concedidas, no hace referencia a la concesión de la XIX edición del Premio Protección de Datos
Personales de Investigación ni del Premio de Comunicación de Protección de Datos Personales
que, en ese ejercicio, se concedieron por importe de 12,0 miles de euros. La Memoria de 2017 ya
22 Tribunal de Cuentas
incluye la información sobre la concesión de estos premios que también ascendieron, en ese
ejercicio, a 12,0 miles de euros.
II.5. CONTROL INTERNO CONTABLE
2.36. Existen en los dos ejercicios fiscalizados diferencias de conciliación entre el importe de las
cuentas de inmovilizado registrado en contabilidad y el importe que figura en el inventario de los
elementos patrimoniales. Las diferencias del balance con el inventario ascendían el 31 de
diciembre de 2016 a un importe neto de 2,2 miles de euros en negativo (se imputaron al ejercicio
corriente gastos por 1,5 miles de euros procedentes de ejercicios anteriores en la cuenta de
“Aplicaciones informáticas”; y hubo errores en el importe registrado como amortización acumulada
en varias cuentas de inmovilizado por 3,6 miles de euros en negativo). En 2017, estas diferencias
ascendían a un importe neto de 18,83 miles de euros en negativo (habiéndose registrado
diferencias en la cuenta de inversiones sobre activos utilizados en régimen de arrendamiento, por
importe de 3,5 miles de euros, por la anulación de un gasto por obras realizadas en la sede en el
ejercicio 2017; y errores en la amortización acumulada de varias cuentas de inmovilizado por
importe de 3,5 miles de euros en negativo).
2.37. Como se ha señalado en el punto 2.16, la cuenta 216 “Mobiliario” contenía, el 31 de
diciembre de 2016, 109 elementos registrados como mobiliario que deberían haberse
contabilizado en la cuenta 217 “Equipos para procesos de información”. Estos elementos, cuyo
valor neto contable en esa fecha ascendía a 111,0 miles de euros, eran los siguientes: 28
teléfonos móviles, 17 fotocopiadoras digitales, 17 telefax, diez blackberry, nueve cámaras de fotos
digitales, cinco DVD, cuatro GPS, dos fax, tres lectores de DVD, tres cámaras o monitores de
videovigilancia, dos walkietalkie, dos emisoras de radio, dos video proyectores, un terminal de
videoconferencias, una impresora de tarjetas identificativas, un lector de código de barras, una
grabadora digital y un ipad. Algunos de estos elementos, además de estar contablemente mal
clasificados, estaban obsoletos, en desuso y almacenados, aunque a 31 de diciembre de 2017
tenían un valor neto contable global de 93,4 miles de euros.
2.38. También existen partidas en los inventarios que carecen de suficiente detalle para la
correcta identificación de cada uno de los elementos. Así, 128 de los 154 elementos registrados
en el inventario como aplicaciones informáticas, a 31 de diciembre de 2016; y 22 equipos para
procesos de información de los 1.383 registrados, no recogían la marca, ni el modelo, ni el número
de serie. Además, 416 de los 3.107 elementos registrados a 31 de diciembre de 2016 como
mobiliario no contienen información sobre la marca, ni el modelo, ni el número de serie; ni siquiera
una pequeña descripción del elemento que pudiera facilitar su identificación.
2.39. Durante los dos ejercicios fiscalizados se ha producido la baja en inventario de un elemento
de inmovilizado. Por otra parte, había elementos registrados en los inventarios con valor neto
contable nulo; y algunos de ellos, por obsolescencia, llevaban años depositados en almacenes
dentro de la Agencia. No obstante, a la fecha de cierre contable del ejercicio 2018, de acuerdo con
las Resoluciones firmadas por la Directora de la AEPD el 8 de enero de 2018 y el 12 de
septiembre de 2018, se procedió a la baja en los inventarios y en contabilidad de determinado
mobiliario y de las impresoras, monitores y ordenadores obsoletos que se encontraban
almacenados. Además, la cuarta parte de los elementos registrados en la cuenta 206
“Aplicaciones informáticas”, a 31 de diciembre de 2016, tenían una antigüedad superior a diez
años y se encontraban obsoletos, por ser licencias antiguas o software que ya no se utilizaba. La
Agencia no ha depurado ni previsto la desafectación y retirada de los inventarios de este tipo de
elementos intangibles obsoletos que no ocupan espacio físico.
2.40. En el activo del balance de la AEPD el epígrafe correspondiente a tesorería es la magnitud
más significativa (con saldos de 63.465,9 y 66.034,3 miles de euros, respectivamente, a 31 de
diciembre de 2016 y 2017, de modo que la tesorería representa más del 80% del total del activo
Agencia Protección Datos, 2016-2017 23
de la entidad). Sin embargo, la AEPD no cuenta con una planificación y gestión adecuada de la
tesorería ni tiene plan o protocolo alguno de inversión para rentabilizar estos saldos.
2.41. La AEPD tenía en el periodo fiscalizado cinco cuentas bancarias, una en el Banco de
España y el resto en una entidad financiera nacional. Las cuentas operativas en la entidad
financiera se clasificaban, según su finalidad, en cuenta de sanciones, cuenta de gastos, cuenta
de nóminas y cuenta de anticipos de caja fija. La cuenta en el Banco de España presentaba en el
periodo fiscalizado un pequeño saldo y sus movimientos apenas fueron el cargo de intereses
negativos durante el periodo. Este Tribunal considera que deberían utilizarse cuentas divisionarias
de la 571 (“Bancos e instituciones de crédito. Cuentas operativas”), según los distintos tipos de
cuentas bancarias que tiene la Agencia, para favorecer su seguimiento y control.
2.42. El número de las personas autorizadas para la disposición de fondos de las citadas cuentas,
aunque a partir de 2018 se redujo, ha sido excesivo en algunos momentos del periodo fiscalizado
(hasta ocho personas en alguna cuenta) y las comunicaciones a las entidades financieras de las
autorizaciones y bajas de firmas de esas personas, en algunos casos, se ha dilatado mucho en el
tiempo con respecto al alta o la baja del empleado público en su puesto.
2.43. No se han realizado con la suficiente periodicidad conciliaciones de la contabilidad con las
cuentas de los bancos. Por eso, en algunos casos, también se ha demorado excesivamente la
contabilización de liquidaciones de intereses (por ejemplo, intereses liquidados en febrero de 2016
y cobrados en marzo no se contabilizaron hasta el mes de julio de ese año).
2.44. Los arqueos de caja se emiten por el propio cajero pagador, sin que exista ningún otro
control sobre los mismos. A cierre de los ejercicios 2016 y 2017, según los arqueos solicitados y
emitidos por el cajero, no existía importe alguno en caja.
2.45. Existieron debilidades en el seguimiento, control y contabilización tanto de las concesiones
como de las devoluciones de anticipos reintegrables al personal. También existían debilidades en
los procedimientos de solicitud y tramitación de estos anticipos. En el periodo fiscalizado se
concedió un anticipo reintegrable por un plazo superior a los doce meses que no fue contabilizado
como a largo plazo en la parte correspondiente. En la tramitación de las solicitudes de estos
anticipos se exigió la presentación de documentos y la realización de trámites que no estaban
previstos en la Resolución de la AEPD, de fecha 2 de enero de 2001, que regula su tramitación.
En el momento de la realización de los trabajos de esta fiscalización se encontraba en elaboración
una nueva resolución para regular el procedimiento de solicitud de estos anticipos al personal.
2.46. Hubo errores en la contabilización de una devolución anticipada realizada por un trabajador
y en el reflejo en las nóminas de los planes de devolución de los créditos al personal. El error en la
contabilización ya se produjo en 2016 y no fue corregido posteriormente, dando lugar a que el
saldo de la cuenta 544 “Créditos a corto plazo al personal” se encontrase sobrevalorada, si bien
en un importe poco significativo (0,3 miles de euros). Los gastos financieros contabilizados en
2016 y 2017 como consecuencia de las liquidaciones negativas de la cuenta que tiene la Agencia
en el Banco de España se han imputado a un concepto presupuestario erróneo, aunque también
por una mínima cuantía y dentro del mismo capítulo (en el 352 “Intereses de demora” en lugar del
359 “Otros gastos financieros”). Estos pequeños errores contables no se han detectado ni
corregido en ejercicios posteriores.
2.47. En los supuestos descritos en el punto 2.23 (imputación de facturas al ejercicio siguiente) la
AEPD no ha seguido el procedimiento establecido en el Real Decreto 612/1997, de 25 de abril de
desarrollo del artículo 63 del entonces vigente texto refundido de la LGP (antecedente inmediato
Medidas de Disciplina Presupuestaria, para la imputación de créditos al ejercicio corriente de
obligaciones generadas en ejercicios anteriores como consecuencia de compromisos de gastos
adquiridos de conformidad con el ordenamiento para los que hubiera crédito disponible en el
ejercicio de procedencia. Del mismo modo, la Agencia tampoco ha seguido el procedimiento
24 Tribunal de Cuentas
establecido en el Real Decreto 612/1997 para la imputación de 36 facturas correspondientes al
ejercicio 2015 en el ejercicio 2016. De estas facturas, 28 dieron lugar a un ajuste en el Patrimonio
generado, como consecuencia de corrección de errores, que se explica en la memoria del
ejercicio 2016.
III. ANÁLISIS DEL CUMPLIMIENTO DE LA LEGALIDAD
III.1. ANÁLISIS DE LA FINANCIACIÓN Y LA GESTIÓN PRESUPUESTARIA DE LA ENTIDAD
3.1. El artículo 35 de la LOPD de 1999, vigente durante el periodo fiscalizado, identificaba entre
los recursos de la Agencia para el cumplimiento de sus fines: a) las asignaciones que se
estableciesen con cargo a los Presupuestos Generales del Estado; b) los bienes y valores que
constituyan su patrimonio, así como los productos y rentas del mismo; y c) cualesquiera otros que
legalmente puedan serle atribuidos. La nueva LOPD de 2018 prevé como medios económicos de
la Agencia: a) las asignaciones que se establezcan con cargo a los Presupuestos Generales del
Estado; b) los bienes y valores que constituyan su patrimonio; y c) los ingresos, ordinarios y
extraordinarios derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de
las potestades establecidas en el artículo 58 del RUEPD. Por lo tanto, la nueva ley ya prevé
expresamente, entre los recursos de la Agencia, los ingresos que genere en el ejercicio de su
potestad sancionadora, que no estaban expresamente previstos en la normativa anterior.
3.2. Una de las singularidades más relevantes de la entidad fiscalizada es que financia su
actividad y funcionamiento, prácticamente de manera exclusiva, con los ingresos generados en el
ejercicio de su potestad sancionadora. Es decir, los recursos de la AEPD en el periodo fiscalizado
fueron los importes de las sanciones que impuso, que reconoce como derechos propios y cobra
en periodo voluntario. Apenas se produjeron, en estos ejercicios, productos y rentas de los bienes
y valores que integran su patrimonio; y tampoco se obtuvieron asignaciones con cargo a los
Presupuestos Generales del Estado.
3.3. Esta forma de financiación de la AEPD tuvo consecuencias relevantes en la gestión
presupuestaria de la entidad. La mayoría de sus magnitudes presupuestarias se repitieron en los
presupuestos de los dos ejercicios fiscalizados. La dotación presupuestaria total ascendió, en
ambos ejercicios, a 14.101,1 miles de euros. Las principales previsiones del presupuesto de
ingresos se repitieron en los dos ejercicios fiscalizados y, en casi todos los casos, se repitieron
también los créditos iniciales del presupuesto de gastos. La partida más relevante del presupuesto
de ingresos, las previsiones de ingresos derivados de sanciones, ascendió a de 9.000,0 miles de
euros tanto en 2016 como en 2017 (igual que lo había hecho en 2015 y en 2014).
3.4. La AEPD previó adecuadamente, para cada año, los créditos para gastos, cuyas principales
magnitudes se mantuvieron en los ejercicios fiscalizados. La ejecución de los presupuestos de
gastos fue elevada y muy similar en ambos ejercicios. Sin embargo, los presupuestos de ingresos
no reflejaron adecuadamente la realidad de los mismos. Los ingresos presupuestados se hicieron
coincidir con los gastos; sin embargo, los ingresos reales derivados de las sanciones que impuso
la AEPD, con los que financiaba su actividad y funcionamiento, superaron ampliamente las
previsiones realizadas.
3.5. En efecto, los derechos reconocidos netos por sanciones superaron, en un 208% y en un
238%, respectivamente en cada año fiscalizado, a las previsiones de ingresos por este concepto.
Como ya se ha señalado, las previsiones de ingresos derivados de sanciones se cuantificaron en
9.000,0 miles de euros cada año. En los ejercicios fiscalizados los derechos reconocidos netos por
sanciones ascendieron a 18.742,3 miles de euros y 21.393,8 miles de euros, respectivamente. La
recaudación efectiva por sanciones fue de 11.105,7 miles de euros, en 2016, y 14.111,6 miles de
euros, en 2017.
Agencia Protección Datos, 2016-2017 25
3.6. Además, no se incluyeron entre las previsiones de ingresos de la entidad cuantías por
recargos e intereses de demora, pese a ser conceptos de ingresos recurrentes y de posible
cuantificación. Aunque no estaban previstos en los presupuestos de ingresos, los derechos
reconocidos netos por recargos ascendieron a 644,1 miles de euros, en 2016, y 300,6 miles de
euros en 2017. Los derechos reconocidos netos por intereses de demora ascendieron a 19,8
miles de euros, en 2016, y 29,2 miles de euros en 2017. Se cobraron 201,8 miles de euros y 212,1
miles de euros por recargos cada ejercicio fiscalizado; y 19,8 miles de euros y 29,2 miles de euros
por intereses de demora en cada uno de ellos.
3.7. La forma de financiación de la AEPD y los datos señalados en los puntos anteriores explican
las principales magnitudes económicas y contables de la entidad. Las cuantías de tesorería y
derechos pendientes de cobro suponen más del 95% del total del activo de la entidad (que carece
de sede propia y de otro inmovilizado material relevante). Como se ha señalado, la actividad de la
Agencia se financia con los ingresos derivados de las sanciones que impone que, en el periodo
fiscalizado, han excedido ampliamente a los gastos presupuestados. De este modo, los saldos de
tesorería son muy importantes y pasaron de 63.465,9 miles de euros, en 2016, a 66.034,3 miles
de euros en 2017. La rentabilidad de estos saldos apenas alcanzó 6,3 miles de euros en 2016 y
4,4 miles de euros en 2017. Los derechos pendientes de cobro también ascendieron de casi
nueve millones y medio de euros en 2016 a más de once millones y medio en 2017.
3.8. Esta misma estructura económica de la entidad ya se puso de manifiesto en los anteriores
Informes de fiscalización de este Tribunal de Cuentas. El último de ellos, referente al ejercicio
2009, ya insistía en sus recomendaciones en la necesidad de mejorar la gestión de la tesorería y
su rentabilidad. Los activos líquidos de la entidad ya eran entonces de 34.971,7 miles de euros en
2008, y 39.539,1 miles de euros en 2009; y casi se duplicaron en el periodo fiscalizado como se
señala en el punto anterior. En atención a estos saldos, el presupuesto de ingresos de 2016
preveía unos ingresos por intereses de cuentas bancarias de 800,0 miles de euros, que se
quedaron finalmente en 6,3 miles de euros. El presupuesto de 2017 ya ajustó esta previsión,
justificándolo en las dificultades del mercado financiero, a solo 7,0 miles de euros, que se
quedaron únicamente en 4,4 miles de euros a final de año.
3.9. Por lo tanto, la entidad fiscalizada tiene unos excedentes de tesorería muy relevantes de los
que apenas obtiene rentabilidades financieras, mientras el Tesoro Público se debe financiar a
costes mucho más elevados. Tampoco elabora un presupuesto monetario que le permita adecuar
los flujos de cobros y pagos que realiza; y carece de personal para realizar una gestión
presupuestaria de los cobros que debe realizar y de la tesorería que posee. Una posible
alternativa al modo de financiación de la AEPD descrito en los puntos anteriores, y ajustada a la
normativa que la regula, consiste en que la Agencia se financie, principalmente, con una
transferencia de los Presupuestos Generales del Estado, compatible con la posibilidad de generar
una reserva con un porcentaje de los ingresos que genere, en la cuantía que anualmente se
señale. De este modo se podría obtener una gestión más rentable de los fondos públicos, ajustar
mejor a los gastos el presupuesto de ingresos de la entidad, y disminuir los medios tanto
personales como económicos que la entidad destina a la gestión presupuestaria y a los cobros de
las sanciones que impone. El Tesoro Público sería el encargado de los cobros de las sanciones
impuestas por la AEPD en periodo voluntario y, con independencia de la evolución de estos
importes, se garantizaría anualmente una financiación ajustada de la entidad, basada en la
correspondiente asignación de los Presupuestos Generales del Estado, sin menoscabo de su
independencia y compatible con la constitución de una reserva con un porcentaje de sus ingresos,
como prevé la nueva LOPD de 2018.
III.2. ANÁLISIS DE LA APLICACIÓN DEL NUEVO RÉGIMEN JURÍDICO ADMINISTRATIVO
3.10. Durante el periodo fiscalizado entró en vigor el nuevo régimen jurídico administrativo
resultaba aplicable a la AEPD, estableciendo un complejo sistema de entrada en vigor y distintos
26 Tribunal de Cuentas
plazos para ir adaptándose a la nueva normativa después de su vigencia. Algunas disposiciones
de las nuevas leyes entraron en vigor al día siguiente de su publicación, aunque con carácter
general las dos leyes entraron en vigor al año de su publicación; y en muchas materias se
establecieron plazos más amplios para la adaptación al nuevo régimen (por ejemplo, tres años
desde su entrada en vigor para la conversión de la forma jurídica de las entidades que, como la
AEPD, lo precisasen). Este cambio del régimen jurídico administrativo coincidió, durante el periodo
fiscalizado, con el cambio de la normativa sobre protección de datos y la propia de la Agencia, que
ya se ha descrito en otras partes del Informe. En los puntos siguientes se va a analizar la
aplicación de la nueva estructura normativa en la actividad y el funcionamiento de la AEPD.
3.11. La disposición final quinta de la LPAC establecía el plazo de un año, a partir de la entrada en
vigor de la Ley, para que las normas reguladoras de los distintos procedimientos que fueran
incompatibles con lo previsto en la misma se adaptasen a ella. La AEPD no aprobó expresamente
instrucciones o normas destinadas a la adaptación de sus procedimientos a la nueva normativa;
sin embargo, durante el periodo fiscalizado se fueron aplicando las novedades más relevantes de
la nueva regulación, sobre todo en materia de pago voluntario de las sanciones y reconocimiento
de la responsabilidad. Otros aspectos relevantes de la nueva regulación ya estaban previstos en
la tramitación de los procedimientos de la Agencia y no precisaron adaptación.
3.12. Así, la LPAC no establece un plazo para la tramitación del procedimiento sancionador,
fijando una caducidad general de tres meses. Este plazo resulta excesivamente breve para los
procedimientos que tramita la AEPD. Sin embargo, las normas específicas reguladoras de estos
procedimientos ya establecen plazos de caducidad adecuados (seis meses para las actuaciones
de investigación y doce para la instrucción de los procedimientos), por lo que no se hizo ni resultó
precisa adaptación alguna. Lo mismo sucede con la regulación de las propuestas de resolución de
los procedimientos. La LPAC configura su formulación y notificación como un trámite esencial, de
manera que en todos los procedimientos sancionadores deberán formularse propuestas de
resolución y notificarse por ser derechos y garantías mínimos de los sancionados. La normativa
propia de la AEPD ya prevé estas propuestas, que se realizaron y notificaron en todos los
expedientes analizados, por lo que tampoco resultó precisa adaptación alguna en esta materia.
3.13. De acuerdo con el artículo 96 de la LPAC, en el caso de procedimientos de naturaleza
sancionadora, el órgano competente para iniciar el procedimiento podrá adoptar su tramitación
simplificada cuando considere que, de acuerdo con lo previsto en su normativa reguladora, existen
elementos de juicio suficientes para calificar la infracción como leve, sin que quepa la oposición
expresa a este tipo de tramitación por parte del interesado. El plazo para resolver estos
procedimientos simplificados es de treinta días y se configura en la LPAC como una opción que
puede adoptar el órgano administrativo competente, pero no está obligado a implantar este tipo de
tramitación. La AEPD no ha contemplado esta posibilidad para la tramitación de los
procedimientos sancionadores que son de su competencia.
3.14. El artículo 63.3 de la LPAC introdujo expresamente como novedad en la regulación del inicio
de los procedimientos sancionadores que “no se podrán iniciar nuevos procedimientos de carácter
sancionador por hechos o conductas tipificadas como infracciones en cuya comisión el infractor
persista de forma continuada, en tanto no haya recaído una primera resolución sancionadora, con
carácter ejecutivo”. La AEPD no aplicó debidamente esta previsión normativa durante el periodo
fiscalizado, ya que no se han dado instrucciones ni previsto criterios al respecto; y tampoco
existen alertas en las aplicaciones informáticas utilizadas para la gestión de los procedimientos de
la Agencia que permitan la aplicación de esta novedad legislativa.
3.15. La AEPD ha ido introduciendo las previsiones de la LPAC sobre pago voluntario de las
sanciones en la tramitación de sus procedimientos sancionadores. El artículo 85 de la LPAC
exige, para que se pueda hacer uso de esta opción, que las reducciones estén determinadas en la
notificación de inicio del procedimiento y vayan acompañadas del desistimiento o renuncia a
cualquier acción o recurso en vía administrativa. La AEPD, a partir de la entrada en vigor de la
Agencia Protección Datos, 2016-2017 27
LPAC, ha adaptado el contenido de los acuerdos de inicio de sus procedimientos sancionadores
para posibilitar el pago voluntario previsto en la ley.
3.16. El análisis del contenido de los acuerdos de inicio de los procedimientos sancionadores, tras
la aplicación de la LPAC, ha puesto de manifiesto que la AEPD procedió a identificar, en todos los
casos analizados, la posible infracción cometida y la cuantía de la sanción correspondiente. Los
acuerdos de inicio conceden una reducción del 20% sobre la cuantía de la sanción por el
reconocimiento de la responsabilidad dentro del mes siguiente a su notificación (plazo para
formular alegaciones); y otra reducción del 20% por el pago voluntario de la sanción propuesta,
siempre que se realice en cualquier momento anterior a la resolución del correspondiente
procedimiento sancionador. Los acuerdos de inicio reflejan expresamente que ambas reducciones
son compatibles si se reconoce la responsabilidad y se anticipa el pago y establecen las cuantías
de cada una de ellas y de los pagos que deben hacerse para servirse de ellas. En todos los casos
analizados los acuerdos de inicio exigían el desistimiento o renuncia a cualquier acción o recurso
en vía administrativa para utilizar estas previsiones.
3.17. Otra novedad derivada de la aplicación del nuevo sistema de pago voluntario por el presunto
responsable en los procedimientos sancionadores previsto en la LPAC, cuyas consecuencias
sobre la representatividad de los estados financieros han sido analizadas en el punto 2.24, fue que
la AEPD pasó a reconocer contablemente los derechos de cobro derivados de sanciones en el
momento en el que se notificaban los acuerdos de inicio y por el importe total de la sanción que
pudiera corresponder y que se señalaba en ellos.
3.18. La disposición adicional cuarta de la LRJSP establece que todas las entidades y organismos
públicos que integran el sector público estatal deberán adaptarse al contenido de la misma en el
plazo de tres años a contar desde su entrada en vigor. La LOPD de 2018, en vigor desde el 7 de
diciembre de 2018, transformó a la AEPD dentro del plazo previsto en una autoridad
administrativa independiente de ámbito estatal, sometida a las disposiciones de la LRJSP que
regulan este nuevo tipo de entidades.
III.3. ANÁLISIS DEL FUNCIONAMIENTO Y ORGANIZACIÓN DE LA AGENCIA Y DE LA
GESTIÓN DE PERSONAL
3.19. El Estatuto de 1993 y la LOPD de 1999, aplicables en el periodo fiscalizado, contemplaban
como órganos de la Agencia al Director, detallando sus funciones de dirección y de gestión, y al
CC, como un órgano colegiado de asesoramiento del Director. El artículo 11 del Estatuto de 1993
también hace referencia al RGPD, la SGID y la Secretaría General, como órganos
jerárquicamente dependientes del Director de la Agencia. Durante el periodo fiscalizado también
tuvo relevancia en el funcionamiento y organización de la Agencia la Unidad de Apoyo a la
Dirección, si bien se trataba de un órgano no previsto legalmente y sin asignación formal de
atribuciones en la normativa propia de la Agencia. La nueva LOPD de 2018 atribuye a la AEPD
naturaleza de autoridad administrativa independiente y solo hace referencia a un Presidente, un
Adjunto y el CC, del que establece una nueva composición y funciones.
3.20. En el presente subapartado se expone el resultado del análisis de la organización y
funcionamiento de la AEPD durante el periodo fiscalizado, desde la perspectiva del cumplimiento
de la normativa que los regula, así como su situación actual tras la reforma legislativa. En
particular han sido objeto de examen el funcionamiento y la situación actual de:
La dirección de la Agencia.
El Consejo Consultivo.
La unidad de apoyo a la dirección.
El Registro General de Protección de Datos.
La Subdirección General de Inspección de Datos.
El cumplimiento de la normativa en materia de personal.
28 Tribunal de Cuentas
3.21. De acuerdo con la normativa vigente durante el periodo fiscalizado el nombramiento del
Director de la Agencia corresponde al Gobierno, mediante real decreto, de entre quienes
componen el CC, a propuesta del Ministro de Justicia. El Director de la Agencia tiene la
consideración de alto cargo, con rango de Subsecretario, y la duración de su mandato es de
cuatro años. La Directora de la Agencia en 2016 y 2017 fue nombrada de acuerdo con este
procedimiento y en los distintos apartados de este Informe se analiza el ejercicio que realizó de las
funciones y potestades que tenía atribuidas en ese periodo. Sin embargo, la LOPD de 2018, en
vigor desde el 7 de diciembre de 2018, configura a la Agencia como una autoridad administrativa
independiente de ámbito estatal, y prevé una presidencia también nombrada por el Gobierno, a
propuesta del Ministerio de Justicia, mediante real decreto, por un periodo de cinco años que
puede ser renovada para otro período de igual duración. Dos meses antes de producirse la
expiración del mandato, el Ministerio de Justicia ordenará la publicación en el BOE de la
convocatoria pública de candidatos. A la fecha de aprobación de este Informe no se había
producido la publicación de la convocatoria ni el nombramiento y mantenía su cargo la Directora
de la Agencia, nombrada de acuerdo con la normativa derogada y cuyo mandato concluiría, de
acuerdo con las normas por las que fue nombrada, en julio de 2019.
3.22. El CC es el órgano colegiado de asesoramiento del Director de la Agencia, establecido en el
artículo 38 de la LOPD de 1999 para emitir informe en todas las cuestiones que este le someta y
formular propuestas en temas relacionados con las materias de competencia de la AEPD. Durante
el periodo fiscalizado se rigió en su funcionamiento por el Estatuto de 1993 y, a partir de su
entrada en vigor, por lo dispuesto en la LRJSP (capítulo II, sección 3ª de esta ley). Estaba
compuesto, de acuerdo con la normativa vigente en 2016 y 2017, por diez miembros, nombrados
en representación de las entidades e instituciones previstas en el Estatuto de 1993, por un periodo
de cuatro años, actuando como presidente el Director de la Agencia y como secretario, con voz y
sin voto, el titular de la Secretaría General.
3.23. El Estatuto de 1993 desarrolla las funciones y composición del CC, los plazos de los
nombramientos, las vacantes y su renovación, así como lo referente al número de miembros
necesario para que quede válidamente constituido y la forma con la que se adoptan los acuerdos.
No obstante, el Estatuto de 1993 no concreta si el voto del Presidente es dirimente en caso de
empate a efectos de adoptar acuerdos, ni tampoco el régimen de los suplentes de los vocales en
caso de ausencia o de enfermedad. El artículo 22.5 del Estatuto de 1993 establece que el CC se
reunirá cuando así lo decida el Director de la Agencia que, en todo caso, lo convocará una vez
cada seis meses. También prevé que se reunirá cuando así lo solicite la mayoría de sus
miembros.
3.24. En los ejercicios fiscalizados el CC se convocó en dos ocasiones para cada uno de los años,
en todos los casos a solicitud de la Directora. Por lo tanto, las convocatorias cumplieron
estrictamente con la periodicidad prevista, sin que se produjera ninguna convocatoria a solicitud
de la mayoría de los miembros del órgano. Este régimen de funcionamiento cumple formalmente
con las exigencias del artículo 22.5 del Estatuto de 1993 de celebrar sesiones cada seis meses. El
artículo 18 del Estatuto de 1993 señala que el CC emitirá informes en todas las cuestiones que le
someta el Director de la Agencia y podrá formular propuestas en temas relacionados con las
materias de competencia de esta. En el periodo fiscalizado la Directora de la Agencia no solicitó
informe alguno al CC y este tampoco formuló ninguna propuesta. Los únicos acuerdos adoptados
por el CC en el periodo fiscalizado fueron los relativos a los beneficiarios de los premios de
protección de datos convocados por la Agencia, al ser el CC parte del Jurado. Estos hechos
ponen de manifiesto la necesidad de profundizar en el ejercicio de las funciones de
asesoramiento, control y apoyo a la toma de decisiones que corresponden al CC en la línea
marcada por su nueva regulación en la LOPD de 2018.
3.25. El Estatuto de 1993 en su artículo 22.6 establece que el Secretario convocará las reuniones
del CC, por orden del Director, y trasladará la convocatoria a los miembros del Consejo. El análisis
de las actas de las reuniones celebradas en los ejercicios 2016 y 2017 y en la primera
Agencia Protección Datos, 2016-2017 29
correspondiente al año 2018 puso de manifiesto que, en la reunión del CC de 24 de enero de
2018, un vocal debidamente convocado no acudió justificando su ausencia por compromisos
ineludibles y señaló a otra persona que asistió en su nombre a la reunión del órgano, aunque el
Estatuto de 1993 no regula el régimen de sustitución de los miembros del CC. La convocatoria
para la reunión del día 20 de julio de 2017 incluyó a una vocal que para la fecha de la reunión aún
no había sido nombrada formalmente (su nombramiento se produjo por Orden JUS/1047/2017, de
20 de octubre, por la que se publica el Acuerdo del Consejo de Ministros de 20 de octubre de
2017). No obstante, el acta de la reunión refleja la asistencia de esta persona como invitada. En
las reuniones analizadas no se distinguió entre las convocatorias a los miembros del Consejo y las
invitaciones que se pudieran cursar, aunque en la mayoría de los casos las invitaciones no fueron
acompañadas de notificaciones formales a los interesados.
3.26. No se aplicó ninguna de las novedades previstas en la LRJSP sobre el funcionamiento de
los órganos colegiados. Esta ley, ya en vigor desde octubre de 2016, permite que las sesiones se
celebren a distancia, utilizando para ello medios electrónicos. Esta posibilidad resulta
especialmente interesante teniendo en consideración la nueva composición del CC, recogida en el
artículo 49 de la LOPD de 2018 y que prevé que formarán parte del mismo, entre otros,
representantes de cada Comunidad Autónoma que haya creado una Autoridad de protección de
datos en su ámbito territorial. Asimismo, la LRSJP establece que las convocatorias, salvo que no
resulte posible, se remitirán a los miembros del órgano colegiado a través de medios electrónicos,
haciendo constar en la misma el orden del día junto con la documentación necesaria para su
deliberación cuando sea posible, las condiciones en las que se va a celebrar la sesión, el sistema
de conexión y, en su caso, los lugares en que están disponibles los medios técnicos necesarios
para asistir y participar en la reunión. En los ejercicios fiscalizados todas las convocatorias a las
reuniones del CC analizadas se han realizado en papel y todas las sesiones celebradas se han
realizado de forma presencial.
3.27. Tampoco se aplicaron en el funcionamiento del CC las novedades normativas de la LRJSP
que prevén la posibilidad de poder grabar las sesiones que celebre el órgano colegiado, lo que
permite no tener que hacer constar los puntos principales de las deliberaciones en las actas de las
sesiones. De acuerdo con esta normativa el fichero resultante de la grabación, junto con la
certificación expedida por el Secretario de la autenticidad e integridad del mismo, y cuantos
documentos en soporte electrónico se utilizasen en la sesión, podrán acompañar al acta de la
sesión celebrada. De todas las reuniones del CC celebradas en el periodo fiscalizado se levantó
acta por el Secretario, con el visto bueno del Presidente, que fueron aprobadas por los miembros
del CC en las reuniones siguientes a aquella a que se refieren. Las actas levantadas
correspondientes a las sesiones celebradas en los ejercicios 2016 y 2017 no se encuentran
visadas en cada una de sus páginas por la Presidenta del Consejo, lo que garantizaría un mayor
grado de integridad de su contenido. Los números de referencia asociados a cada acta (se
componen del número de reunión más el año) no se corresponden con los años en los que se
celebran las correspondientes reuniones del CC en los casos de las reuniones celebradas en
enero de cada ejercicio fiscalizado.
3.28. El artículo 19 de la LRJSP establece que los miembros del órgano colegiado deberán recibir,
con una antelación mínima de dos días, la información sobre los temas que figuren en el orden del
día de las reuniones. El análisis del contenido de las actas de las reuniones celebradas por el CC
en el periodo fiscalizado pone de manifiesto que la información sobre la actividad de la Agencia se
facilitó a los distintos miembros del CC mediante la entrega de un dossier a cada uno de ellos en
el mismo acto de la reunión que se celebraba.
3.29. El RGPD es el órgano que gestionaba, en el periodo fiscalizado, el registro y la publicación
de los ficheros de datos de carácter personal y de los códigos tipo, la instrucción de los
expedientes de autorizaciones de transferencias internacionales de datos, y la atención a las
consultas presentadas por los ciudadanos sobre el ejercicio de sus derechos y recepción de
reclamaciones. Tras el cambio del régimen jurídico sobre protección de datos, a partir del 25 de
30 Tribunal de Cuentas
mayo de 2018, se estableció la figura de los responsables o encargados del tratamiento de datos,
así como la de los delegados de protección de datos, y la obligación de mantener una relación
pública y actualizada de los delegados de protección de datos. Desde entonces se suprimió la
obligación de notificación de los ficheros para su inscripción en el RGPD. En consecuencia,
perdieron actualidad los análisis sobre las actuaciones de este órgano, que se modificaron
totalmente tras la entrada en vigor del nuevo régimen jurídico.
3.30. La plantilla de la AEPD se componía, a 31 de diciembre de 2016, de 143 empleados; y a 31
de diciembre de 2017, de 157. Este personal de la entidad estaba constituido por funcionarios de
carrera de las Administraciones Públicas y personal laboral. El cuadro 4 refleja, según su
clasificación profesional, la distribución de estos empleados y su incremento en el periodo
fiscalizado.
DETALLE DE LA PLANTILLA DE LA AEPD POR SUBGRUPOS DE CLASIFICACIÓN Cuadro 4: PROFESIONAL
Subgrupo profesional
31.12.2016
31.12.2017
Incremento (2016-2017)
Alto Cargo
1
1
-
Funcionarios Subgrupo A1
30
38
8
Funcionarios Subgrupo A2
42
48
6
Funcionarios Subgrupo C1
21
20
-1
Funcionarios Subgrupo C2
43
44
1
Laborales
6
6
-
Total
143
157
14
Fuente: Elaboración propia del Tribunal de Cuentas a partir de la información suministrada por la AEPD.
3.31. La Relación de Puestos de Trabajo (RPT) de la AEPD, tanto para el ejercicio 2016 como
para el ejercicio 2017, no cumplía todas las exigencias relativas a su contenido establecidas en la
Orden de 2 de diciembre de 1988, sobre relaciones de puestos de trabajo de la Administración
General del Estado (AGE). La RPT de la AEPD, publicada en su página web, no reflejaba la
formación específica ni la titulación exigida para cada puesto de funcionario. Tampoco para los
puestos de trabajo de los laborales se señalaba la titulación académica, los méritos específicos ni
los cometidos de cada puesto. La organización formal de la Agencia, descrita de manera tan
general en la RPT, no reflejaba la organización real ni el contenido y requisitos de los puestos de
trabajo concretos desarrollados por muchas personas durante el periodo fiscalizado1.
3.32. Al final de cada ejercicio fiscalizado existían en la RPT de la entidad un total de 165 y 180
puestos, respectivamente. A final de 2016, de los 23 puestos no ocupados, seis se encontraban
con reserva de puesto de trabajo. Esta cifra aumentó en el año 2017 hasta 17 puestos con
reserva, de los 24 no ocupados, lo que suponía ya casi un 10% del total de puestos de la AEPD, y
podría estar teniendo una repercusión negativa sobre la organización del trabajo.
3.33. En la Unidad de Apoyo existían dos puestos de trabajo (jefe/a de prensa y comunicación y
adjunto al jefe de prensa) provistos mediante contratos de interinidad sujetos al Estatuto de los
Trabajadores. Estos puestos fueron ocupados durante el periodo fiscalizado por personas
contratadas, respectivamente, el 3 de octubre de 2008 y el 16 de diciembre de 2013. El artículo 4
del Real Decreto 2720/1998, de 18 de diciembre, por el que se desarrolla el artículo 15 del
Estatuto de los Trabajadores, al referirse al contrato de interinidad lo define como “el celebrado
para sustituir a un trabajador de la empresa con derecho a la reserva del puesto de trabajo en
1 La AEPD sostiene en sus alegaciones que la RPT cumplía el contenido mínimo exigido e n el Estatuto Básico del
Empleado Público y argumenta sobre la no inclusión en la misma de las titulaciones y los cuerpos o escalas de
adscripción de los puestos. No obstante, en este punto del Informe se analiza el con tenido que tenía la RPT en relación
con la Orden de 2 de diciembre de 1988, sobre relaciones de pu estos de trabajo de la Administración General del
Estado (AGE), y con la organización real de la Agencia.
Agencia Protección Datos, 2016-2017 31
virtud de norma, convenio colectivo o acuerdo individual. El contrato de interinidad se podrá
celebrar, asimismo, para cubrir temporalmente un puesto de trabajo durante el proceso de
selección o promoción para su cobertura definitiva”. Las funciones correspondientes a estos
puestos no aparecían descritas suficientemente en la RPT (ver punto 3.31) y los contratos de
interinidad tenían ya una antigüedad de once y seis años, respectivamente, cuando se analizaron
en esta fiscalización, por lo que no respondían a una situación de temporalidad ni a ninguna de las
demás finalidades previstas por la ley.
3.34. La AEPD tramitó, entre 2004 y 2018, sucesivos contratos para la prestación del servicio de
grabación de datos en relación con la inscripción de los ficheros obligatorios que imponía la
normativa entonces vigente. Los sucesivos contratos celebrados en este periodo preveían la
subrogación del personal que venía prestando sus servicios en la AEPD, con el objeto de que las
mismas personas continuaran prestando sus servicios con independencia de cuál fuese la
empresa adjudicataria del contrato (materia que se analizará, desde el punto de vista del análisis
del cumplimiento de la normativa de contratos, en los puntos 3.62 y 3.63). En 2018 este servicio
de grabación de datos no fue objeto de nueva contratación por no ser necesario tras la nueva
regulación de esta materia. En el momento de la realización de los trabajos de esta fiscalización
existía un conflicto con algunas de las personas que venían prestando estos servicios y que
habían interpuesto distintas reclamaciones administrativas y judiciales, pidiendo el reconocimiento
de una relación laboral con la AEPD y, en algunos casos, que se declarase una cesión ilegal de
trabajadores.
3.35. La Resolución de 28 de diciembre de 2012, de la Secretaría de Estado de Administraciones
Públicas, por la que se dictan instrucciones sobre jornada y horarios del personal al servicio de la
AGE y sus organismos públicos, señala en su apartado 2.2 que los organismos públicos deberán
haber aprobado, para el día 28 de febrero de cada año, los calendarios laborales
correspondientes a sus respectivos ámbitos, con aplicación para todos los servicios y unidades
bajo su dependencia orgánica. La AEPD ha aprobado el calendario laboral para los ejercicios
2016 y 2017 el 3 de junio de 2016 y el 16 de marzo de 2017, respectivamente, fuera por tanto del
plazo establecido. Una vez aprobado el calendario laboral ha sido debidamente puesto a
disposición de los trabajadores a través de la intranet de la Agencia.
3.36. Las convocatorias de puestos de trabajo, tanto en modalidad de concurso como de libre
designación, se publicaron en el BOE y en la página web de la Agencia. Asimismo se publicaron
las resoluciones por las que se resolvieron dichas convocatorias. En relación con los
nombramientos realizados en el ejercicio 2016 no existe documentación alguna justificativa de la
selección de los nombrados. En las libres designaciones efectuadas en 2017, únicamente en un
supuesto se elaboró un documento firmado por el jefe del Departamento correspondiente, en el
que se relacionaba el nombre de los solicitantes de la plaza y se proponía el nombramiento de
uno de ellos, sin justificación alguna del motivo de la elección de esa persona.
3.37. La AEPD ha comenzado con la aplicación de un programa de teletrabajo mediante
Resolución de la Directora, de 24 de noviembre de 2016, por la que se implantaba un programa
piloto de teletrabajo, previsto inicialmente para diecisiete trabajadores, siguiendo, entre otros, el
“Manual para la implantación de programas piloto de teletrabajo en la Administración General del
Estado”, redactado de conformidad con la Orden APU/1981/2006, de 21 de junio. En ambos
documentos señalados se establecen una serie de requisitos para poder desarrollar el teletrabajo
y de medidas de control sobre el mismo. Uno de estos requisitos consiste en que cada trabajador
seleccionado para el programa puede elegir uno o dos días a la semana para teletrabajar, pero
estos días deben ser fijos para todas las semanas. Asimismo, el teletrabajador debe estar
conectado o disponible para la Oficina y contestar cualquier llamada de carácter laboral durante
las horas consideradas de presencia obligatoria. Cada trabajador debe contar con el certificado
electrónico reconocido en la tarjeta criptográfica proporcionada por la Agencia, que le permita
autentificarse frente al sistema informático.
32 Tribunal de Cuentas
3.38. El análisis de la aplicación del programa ha puesto de manifiesto que los trabajadores tienen
disponibilidad semanal sobre los días en los que teletrabajan de manera que, en la práctica,
pueden variar estos días de semana en semana. Además, de acuerdo con el Manual citado en el
punto anterior, debería haberse determinado en el programa de teletrabajo el órgano encargado
del control y los criterios para llevarlo a cabo, así como el sistema de evaluación del trabajo
desarrollado de forma no presencial por cada trabajador. En relación con esta evaluación se
realiza un control de tareas y trabajos por parte del supervisor designado por el responsable de la
unidad correspondiente pero, al margen de este control y del Acuerdo de Teletrabajo, no se han
desarrollado otros criterios para ejercer dicho control ni sistemas de evaluación del desempeño del
trabajo. Tras finalizar el programa piloto de teletrabajo se plasmó en un documento el estudio
pormenorizado de la adaptación de los trabajadores a esta modalidad de trabajo, haciéndose
constar la valoración tanto de los propios trabajadores como de los supervisores. La valoración
resultante fue positiva por ambas partes. Mediante Resolución de la Directora, de 21 de
noviembre de 2018, se aprobó el régimen de teletrabajo para el año 2019, ascendiendo ya el
número de trabajadores acogido a este régimen a 80, más de la mitad de la plantilla de la
Agencia.
3.39. La AEPD ha venido pagando un complemento de productividad a sus trabajadores aplicando
una serie de indicadores por los que se procedió al reparto de la bolsa de productividad entre los
distintos departamentos. Mediante Instrucción de la Directora de la Agencia, de 12 de junio de
2017, se aprobó el modelo de reparto para la aplicación del sistema de productividad por
cumplimiento de objetivos para su personal funcionario pero, al margen de esta instrucción, no se
han aprobado indicadores con objetivos concretos para el reparto de productividad.
III.4. ANÁLISIS DEL CUMPLIMIENTO DE SUS FUNCIONES Y DEL EJERCICIO DE LOS
PODERES ATRIBUIDOS A LA AGENCIA
3.40. En el presente subapartado se exponen los resultados del análisis del ejercicio de las
funciones y poderes atribuidos a la AEPD durante el periodo fiscalizado, desde la perspectiva del
cumplimiento de la normativa que las regula y reflejando el nuevo régimen legal (posterior al
periodo fiscalizado) de las actuaciones que se comprobaron. Únicamente se hace referencia al
ejercicio de las siguientes funciones de la Agencia:
El ejercicio del derecho de los ciudadanos a consultar los ficheros inscritos.
La realización de requerimientos de adopción de medidas concretas a los responsables de
ficheros y encargados de los tratamientos de datos.
La realización de actuaciones de inmovilización de ficheros.
La inscripción de oficio de ficheros de titularidad pública y la autorización de la
conservación de datos para fines históricos, estadísticos o científicos.
Las autorizaciones de transferencias internacionales de datos y el cumplimiento de las
demás obligaciones de la Agencia en esta materia.
La inscripción y publicidad de códigos tipo.
Las actuaciones de coordinación y de intercambio de información con los órganos de
protección de datos de las Comunidades Autónomas.
3.41. El artículo 14 de la LOPD de 1999 reconocía a cualquier persona el derecho a recabar
información, ante la AEPD, sobre la existencia de tratamientos de datos de carácter personal, sus
finalidades y la identidad del responsable del tratamiento, mediante la consulta pública y gratuita
del RGPD. Durante el periodo fiscalizado apenas se han recibido y contestado consultas por
escrito ante el RGPD sobre estas cuestiones. En 2016, aunque había 4.510.346 ficheros inscritos
en el RGPD con derecho a ser consultados, únicamente se tramitaron 37 consultas de este tipo,
seis de ellas recibidas por correo postal y otras 31 a través de peticiones en la sede electrónica.
En 2017, con 4.914.934 ficheros inscritos en el RGPD con derecho a ser consultados, se
tramitaron 55 consultas, tres de ellas recibidas por correo postal y otras 52 a través de peticiones
en la sede electrónica. El derecho de consulta al registro se ejerció, fundamentalmente, mediante
Agencia Protección Datos, 2016-2017 33
la consulta al catálogo de ficheros inscritos en el RGPD a través de la web de la AEPD. Tras la
entrada en vigor del RUEPD ha sido suprimida la obligación de notificación de los ficheros de
datos de carácter personal a las autoridades de control. El RGPD dejó de estar operativo, a partir
de mayo de 2018, para esta función de inscripción de ficheros, perdiendo su contenido este
derecho de consulta de los ficheros inscritos.
3.42. El artículo 37.f) de la LOPD de 1999 establece que la Agencia debe requerir a los
responsables y los encargados de los tratamientos la adopción de las medidas necesarias para la
adecuación del tratamiento de datos a las disposiciones de la Ley y, en su caso, puede ordenar la
cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a esas
disposiciones. Durante el periodo fiscalizado no se hicieron requerimientos de adopción de
medidas concretas ni se ordenó la cesación de los tratamientos o la cancelación de ficheros a sus
responsables.
3.43. Los artículos 49 de la LOPD de 1999 y 121 del RPD regulan la potestad de inmovilización de
ficheros en casos de infracción muy grave. En estos casos el Director de la Agencia puede
requerir a los responsables de esos ficheros o tratamientos de datos de carácter personal la
cesación en la utilización o cesión ilícita de los datos; y, si el requerimiento fuera desatendido,
acordar la inmovilización de tales ficheros o tratamientos. Esta medida de inmovilización o aviso
de inmovilización no se ha usado en el periodo fiscalizado.
3.44. El artículo 63.1 del RPD prevé la inscripción de oficio de ficheros de titularidad pública en
supuestos excepcionales con el fin de garantizar el derecho a la protección de datos de los
afectados. Durante el periodo de fiscalización la AEPD no ha hecho uso alguno de la facultad de
inscribir de oficio ficheros de titularidad pública prevista en este precepto. Los artículos 157 y 158
del RPD establecen que la Agencia podrá autorizar la conservación de datos para fines históricos,
estadísticos o científicos. Durante los ejercicios 2016 y 2017 tampoco se dictó resolución alguna
sobre conservación de datos para fines históricos, estadísticos o científicos.
3.45. El artículo 37.c) de la LOPD de 1999 recogía, entre las funciones de la AEPD, dictar, en su
caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para
adecuar los tratamientos de datos personales a los principios de la ley. La AEPD no dictó
instrucción alguna en el periodo fiscalizado. Antes de la aprobación del RPD de 2007, la AEPD
había elaborado distintas instrucciones sobre aspectos concretos, como el ejercicio de los
derechos de acceso, rectificación, cancelación y oposición; los ficheros de información sobre
solvencia patrimonial y crédito; y normas y procedimientos relativos a transferencias
internacionales de datos. Estas instrucciones fueron sustituidas por la regulación sistemática de
todos estos aspectos junto con otros novedosos en el RPD de 2007. Posteriormente, a raíz de
consultas formuladas a la Agencia sobre la correcta aplicación de la regulación contenida en la
propia LOPD de 1999 y el RPD de 2007, la AEPD elaboró diversas guías con el fin de explicar
cómo aplicar a situaciones concretas dicha normativa, aunque sin dictar instrucciones al respecto.
Tras la entrada en vigor del RUEPD y la nueva LOPD de 2018 se elaboraron nuevas guías sobre
su aplicación, aunque tampoco se dictaron instrucciones para ello.
3.46. La regulación de las transferencias internacionales de datos que establecía la LOPD de
1999 exigía la autorización previa de la AEPD para poder realizarlas (artículo 37.1.l) de la LOPD
de 1999) cuando no tuvieran por destino un país o territorio declarado de nivel adecuado de
protección, o se fundaran en alguna de las excepciones recogidas en el artículo 34 de la LOPD de
1999, en cuyo caso se habían de notificar a la AEPD para su inscripción en el correspondiente
fichero. De acuerdo con el artículo 66 del RPD, para la transferencia internacional de datos sería
necesaria la autorización del Director de la Agencia, que se debería otorgar en caso de que el
exportador aporte las garantías adecuadas de respeto a la protección de la vida privada de los
afectados y a sus derechos y libertades fundamentales y se les garantice el ejercicio de sus
derechos (artículo 70 RPD). No sería precisa autorización cuando las normas aplicables al Estado
en que se encontrase el importador ofreciesen un nivel adecuado de protección (artículo 67 RPD)
34 Tribunal de Cuentas
previendo este artículo que el Director de la Agencia acordase la publicación de la relación de
países cuyo nivel de protección haya sido considerado adecuado. De acuerdo con este precepto
esta lista se publicará y mantendrá actualizada a través de medios informáticos o telemáticos. El
artículo 69 RPD faculta al Director de la Agencia para acordar la suspensión temporal de la
transferencia de datos hacia un importador ubicado en un tercer Estado del que se haya declarado
la existencia de un nivel adecuado de protección en los supuestos regulados.
3.47. En 2016, la AEPD recibió 737 solicitudes de transferencias internacionales de datos; y, en
2017, 325 solicitudes. La directora de la AEPD dictó resoluciones acordando el archivo de 111
solicitudes de 2016, bien por no atender los solicitantes a los requerimientos para la subsanación
de defectos, o bien por el desistimiento de los mismos. También se inadmitieron 113 solicitudes de
las presentadas en 2016. En 2017, la directora de la AEPD dictó resoluciones acordando el
archivo de 43 solicitudes de autorizaciones para realizar transferencias internacionales de datos y
se inadmitieron 41 de las solicitudes presentadas en ese año. El resto de las solicitudes de
transferencias de datos internacionales del periodo fiscalizado fueron autorizadas y se consideró
que reunían las garantías necesarias para ello.
3.48. Durante el periodo de fiscalización la AEPD no adoptó ninguna resolución de suspensión
temporal de transferencias internacionales de datos de las previstas en el artículo 69 del RPD.
Tampoco aprobó listas con la relación de países cuyo nivel de protección haya sido considerado
adecuado por la propia Agencia. Utilizó listas de los países y territorios que la Comisión Europea
ha declarado como de nivel de protección adecuado, publicando en la web de la Agencia las
relaciones de estos países y territorios, y actualizando estos listados conforme se adoptaron
decisiones de la Comisión Europea en esta materia.
3.49. El artículo 77.1 del RPD establece que los códigos tipo deberán ser depositados e inscritos
en el RGPD o, cuando corresponda, en el registro que fuera creado por las comunidades
autónomas, que darán traslado para su inclusión en el RGPD. De acuerdo con el artículo 150.1
del mismo reglamento será el Director de la Agencia quien resuelva sobre la procedencia o
improcedencia de la inscripción del código tipo; y el artículo 77.3 del RPD dispone que la Agencia
dará publicidad a los códigos tipo inscritos, preferentemente a través de medios informáticos o
telemáticos.
3.50. En 2016 se presentaron cuatro solicitudes relacionadas con códigos tipo; y, en 2017, cinco
solicitudes. Tras la tramitación de los correspondientes expedientes estas solicitudes dieron lugar
a distintas resoluciones, algunas de ellas ya en 2018. Hubo resoluciones de inscripción (código
tipo de protección de datos para organizaciones sanitarias privadas; código tipo del fichero de
prevención del fraude en seguros de ramos diversos; código de conducta para el tratamiento de
datos de carácter personal por organizaciones de investigación de mercados, social y de la
opinión y del análisis de datos; y código tipo de la universidad nacional de educación a distancia);
otras resoluciones acordaron la modificación de inscripciones (del código tipo del fichero histórico
de seguros del automóvil; y código tipo del fichero de seguros de automóviles por pérdida total,
robo e incendios); resoluciones de cancelación de la inscripción (código tipo de la agrupación
catalana de establecimientos sanitarios); y otras resoluciones de archivo de la solicitud (sobre el
código tipo de la universidad nacional de educación a distancia; y el código tipo del fichero de
indemnizaciones a perjudicados en accidentes de tráfico).
3.51. De conformidad con lo establecido en el artículo 77.3 del RPD la Agencia ha dado publicidad
a los códigos tipo inscritos en su página web. Tras la aplicación del RUEPD las competencias de
la Agencia como autoridad de control en relación con los códigos de conducta son las de alentar la
elaboración de códigos de conducta (con arreglo al artículo 40 apartado 1 del RUEPD); dictaminar
y aprobar los códigos de conducta que den suficientes garantías (con arreglo al artículo 40,
apartado 5 del RUEPD); elaborar y publicar los criterios para la acreditación de organismos de
supervisión de los códigos de conducta (artículo 41 del RUEPD); efectuar la acreditación de
organismos de supervisión de los códigos de conducta con arreglo al artículo 41 del RUEPD; y
Agencia Protección Datos, 2016-2017 35
mantener un registro accesible por medios electrónicos interconectado con los de las autoridades
autonómicas y coordinado con el gestionado por el Comité Europeo de Protección de Datos.
Desde la fecha de entrada en aplicación del RUEPD, el 25 de mayo de 2018, hasta la aprobación
de este Informe, no se habían aprobado criterios ni adoptado medidas para el desarrollado de las
competencias señaladas.
3.52. El artículo 41 de la LOPD de 1999 establecía que el Director de la Agencia podría convocar
regularmente a los órganos correspondientes de las comunidades autónomas a efectos de
cooperación institucional y coordinación de criterios o procedimientos de actuación; y podrían
solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones. El artículo
64 del RPD señala que el Director de la Agencia podría celebrar con los directores de las
autoridades de control de las comunidades autónomas los convenios de colaboración o acuerdos
que estime pertinentes, a fin de garantizar la inscripción en el RGPD de los ficheros sometidos a la
competencia de dichas autoridades autonómicas.
3.53. Apenas se han realizado estas actuaciones de cooperación y coordinación institucional
durante el periodo fiscalizado. La última reunión de seguimiento con los registros de protección de
datos de la Autoridad Catalana en Protección de Datos y la Agencia Vasca en Protección de
Datos (a través de videoconferencia) se celebró el 16 de junio de 2016. Las actuaciones de
coordinación con estas agencias se realizaban a través de la materialización de un “Protocolo de
intercambio de datos sobre ficheros”. Este intercambio de información se realizaba de forma
automática a través del empleo de un Web Service diseñado al efecto, y su problemática se
resolvía a través del correo electrónico. Además, se mantenían con carácter semestral reuniones
con los registros de ficheros de las otras dos autoridades hasta la última, de 16 de junio de 2016,
en la que, al margen de repasar la normalidad en la ejecución del protocolo de intercambio de la
información registral, se centraron los temas en la aprobación del RUEPD. Tampoco tras la
entrada en vigor del mismo y la reforma legislativa sobre protección de datos se aprobaron nuevos
protocolos de intercambio de información ni procedimientos de coordinación con estas agencias2.
III.5. ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA EN MATERIA CONTRACTUAL
3.54. La AEPD ha remitido al Tribunal de Cuentas dos relaciones certificadas de contratos
celebrados en los ejercicios 2016 y 2017, que incluían en total 29 contratos, en cumplimiento del
artículo 40.2 de la Ley de Funcionamiento del Tribunal de Cuentas. A su vez, ha remitido cuatro
expedientes de contratación, correspondientes a los contratos cuya cuantía excede los importes
señalados en el artículo 29 del Texto Refundido de la Ley de Contratos del Sector Público
(TRLCSP), en cumplimiento del mismo. No obstante, la AEPD no ha incluido en las relaciones los
contratos patrimoniales celebrados durante los ejercicios fiscalizados, ni los tres convenios de
contenido económico celebrados por la Entidad durante los ejercicios 2016 y 2017 (por ejemplo, el
Convenio para la prestación de los servicios asociados a la utilización de la aplicación nómina
estándar de la AGE), ni las dos encomiendas de gestión con la Fábrica Nacional de Moneda y
Timbre, Real Casa de la Moneda; incumpliendo los puntos II.1.2, II.1.3 y II.1.4 de la Instrucción
general relativa a la remisión telemática al Tribunal de Cuentas de los extractos de los
expedientes de la contratación y de las relaciones de contratos, convenios y encomiendas de
gestión celebrados por la entidades del Sector Público Estatal y Autonómico, aprobada por el
Pleno del Tribunal de Cuentas el 28 de noviembre de 2013.
3.55. Ha sido seleccionada para su análisis en esta fiscalización una muestra de 42 contratos
celebrados en los ejercicios 2016 y 2017, con un importe global de 6.175,5 miles de euros, lo que
representa el 80% del importe total contratado en los citados ejercicios. La muestra ha sido
seleccionada teniendo en cuenta el importe de los contratos, el procedimiento de adjudicación, la
2 La AEPD señala en sus alegaciones distintas actuaciones de coordinación e intercambio de información con las
agencias autonómicas, aunque no son las actuaciones previstas en la normativa señalada en el punto 3.52 y cu yo
cumplimiento se analiza en este punto del Informe.
36 Tribunal de Cuentas
naturaleza del contrato y evaluando las áreas de riesgos específicos que pudieran hacer
aconsejable la selección de determinados expedientes en particular.
3.56. En ninguno de los expedientes examinados se incluyeron, entre las actuaciones
preparatorias del contrato, informes económicos, estudios de costes o estudios de mercado que
avalaran razonadamente los importes presupuestados para la contratación.
3.57. El contrato con número de expediente 010/2016 para el suministro de energía eléctrica en la
sede de la AEPD fue tramitado mediante procedimiento abierto, y no mediante el procedimiento
de contratación centralizada que correspondía de acuerdo con la Orden EHA/1049/2008, de 10 de
abril, de declaración de bienes y servicios de contratación centralizada. Esta Orden, en su artículo
1, declara de contratación centralizada los contratos de suministros de energía eléctrica (con
exclusión de aquellos suministros que puedan tramitarse mediante contrato menor). El suministro
de electricidad de 2016 no fue contratado siguiendo este procedimiento, si bien el 6 de mayo de
2017 no se prorrogó dicho contrato pese a estar prevista esta posibilidad para otro año, y pasó a
tramitarse el nuevo suministro a través de la Dirección General de Racionalización y
Centralización de la Contratación (contrato 063/2017).
3.58. La AEPD no siempre ha acreditado en el expediente los motivos que justifican el empleo del
procedimiento negociado de contratación con la extensión y rigurosidad que exige el recurso a
esta figura. Los contratos con número de expediente 011/2016 y 054/2017 no contienen mención
alguna en la memoria que justifique esta forma de contratación. Además, este procedimiento de
contratación ha de ajustarse escrupulosamente a los supuestos legalmente establecidos para ello,
y en los expedientes señalados anteriormente no se menciona el supuesto habilitante que
justifique que la AEPD puede emplear este procedimiento. Igualmente, en los contratos con
número de expediente 032/2016, 042/2016, 072/2016, 053/2017, 055/2017, 073/2017 y 094/2017,
aunque consta memoria de necesidad en la que se señala que la forma de contratación a utilizar
será el procedimiento negociado, tampoco se concreta ni acredita qué concreto supuesto de los
previstos en la ley concurre para justificar su uso.
3.59. El contrato con número de expediente 052/2016, tramitado como procedimiento negociado
sin publicidad, no contiene memoria para la contratación y, por lo tanto, tampoco consta que se
haya justificado en modo alguno la forma de contratar seleccionada.
adjudicación recaerá en el licitador justificadamente elegido por el órgano de contratación, tras
efectuar consultas con diversos candidatos y negociar las condiciones del contrato con uno o
varios de ellos. Sin embargo, en la mayor parte de los expedientes tramitados por la AEPD
mediante este procedimiento, en los que han concurrido una pluralidad de licitadores, no se ha
llevado a cabo negociación alguna, sino que se ha procedido como si de un procedimiento abierto
se tratara, clasificando las ofertas en función del precio, o aplicando criterios de valoración y
adjudicación evaluables de forma automática mediante fórmulas, lo que ha conducido a la
ausencia de negociación. Actualmente, y para los ejercicios 2018 y 2019, la AEPD ya ha
prescindido de utilizar el procedimiento negociado como medio de contratación.
3.61. Sin embargo, en el periodo fiscalizado, los contratos con número de expediente 011/2016,
032/2016, 052/2016, 060/2016, 072/2016, 054/2017, 055/2017, 073/2017 y 094/2017, adjudicados
mediante procedimiento negociado, establecían que las proposiciones se presentaran en tres
sobres (el primero de documentación administrativa, el segundo de criterios no cuantificables
económicamente y el tercero con criterios cuantificables económicamente), y se actuó como si de
un procedimiento abierto se tratara, hasta el punto de rechazarse las ofertas consideradas
anormales o desproporcionadas y no debidamente justificadas. Igualmente, en los contratos con
número de expediente 052/2016 y 054/2017, se ha previsto una puntuación mínima exigible en el
sobre B de criterios no cuantificables automáticamente para la apertura del sobre C, que contenía
Agencia Protección Datos, 2016-2017 37
los criterios cuantificables automáticamente. En ambos expedientes se excluyó a uno de los
licitadores con motivo de no haber alcanzado dicha puntuación mínima.
3.62. El pliego de prescripciones técnicas (PPT) del contrato 071/2016, cuyo objeto era el servicio
de grabación de datos, y que fue tramitado mediante procedimiento abierto, exigía en el punto 3.3
que la empresa adjudicataria aportase el personal necesario para la realización de los servicios
subrogando al personal de la empresa que resultó adjudicataria del contrato anterior. Para ello,
anexaba la relación del personal que venía prestando sus servicios en la AEPD con el objeto de
que las mismas personas continuaran prestando sus servicios con independencia de cuál fuese la
empresa adjudicataria del contrato. En idénticos términos se elaboraron los PPT del contrato
072/2016 y del contrato 094/2017, ambos con objeto de contratar servicios de ensobrado,
reprografía y labores auxiliares, que fueron tramitados mediante procedimiento negociado. Sin
embargo, el artículo 120 del TRLCSP únicamente prevé una obligación de información, a cargo
del órgano de contratación, sobre las condiciones de los contratos de los trabajadores afectados
por la contratación. La jurisprudencia ha concretado, en numerosas ocasiones, que la obligación
de subrogación, en casos como este, no constituye un ámbito de decisión del órgano de
contratación, de manera que no lo puede exigir a los licitadores, debiéndose limitar en los pliegos
a suministrar la información que considere necesaria.
3.63. La sucesión de contratos que estuvieron vigentes desde 2008 hasta 2018 para la prestación
del servicio de grabación de datos, en los que estaba prevista la subrogación de los trabajadores
en cada contrato dio lugar a que las mismas personas continuaran prestando sus servicios para la
AEPD durante esos años, aunque fuese a través de distintas empresas de trabajo temporal. El
contrato con número de expediente 071/2016, para la prestación del servicio de grabación de
datos, finalizó el 31 de diciembre de 2017; y este servicio no fue objeto de nueva contratación por
no ser necesario tras la nueva regulación de esta materia. Algunas personas que venían
prestando estos servicios interpusieron distintas reclamaciones administrativas y judiciales,
pidiendo el reconocimiento de una relación laboral con la AEPD y, en algunos casos, que se
declarase una cesión ilegal de trabajadores, como se ha señalado en el punto 3.34 de este
Informe. En cuanto a la prestación de servicios de ensobrado, reprografía y labores auxiliares, en
el ejercicio 2018 se ha tramitado un nuevo contrato con este objeto, adjudicado mediante
procedimiento abierto, pero que ya no contenía en el PPT mención alguna acerca de la obligación
de subrogación de los trabajadores por la empresa adjudicataria.
3.64. Algunos expedientes examinados presentaban incidencias en relación con la regulación y
constitución de las garantías por los adjudicatarios. Los pliegos de cláusulas administrativas
particulares de los contratos con número de expediente 041/2016, 059/2016, 071/2016, 011/2016,
046/2017, 070/2017, 053/2017, 054/2017 y 055/2017 preveían la constitución por los licitadores
de una garantía provisional del 3% del presupuesto de licitación, pero no justificaban en los
expedientes las razones de su exigencia. La garantía provisional tiene como finalidad garantizar la
seriedad de las ofertas presentadas y lograr la formalización del contrato por quien resulta
provisional en todos los contratos, el artículo 103 requiere, en caso de que se exija, que el órgano
de contratación justifique suficientemente en el expediente las razones de su exigencia, lo que no
se ha cumplido en los expedientes señalados.
3.65. El archivo de la documentación correspondiente a la contratación se realiza en la AEPD
mediante un sistema de archivo electrónico, a través de la aplicación informática SOROLLA; así
como mediante un archivo físico de los expedientes. El archivo electrónico incluye documentos en
distintos formatos. Además de esta falta de uniformidad, cuando el formato elegido es Word, es
posible introducir modificaciones en los documentos archivados. En el contenido de los
expedientes electrónicos se han encontrado documentos almacenados sin firma alguna, ni
manuscrita, ni electrónica; y falta de documentación en muchos de ellos (en concreto, con carácter
general, no se incluyen las ofertas de los licitadores, constando en la mayoría de los expedientes
exclusivamente la oferta del adjudicatario final del contrato). También algún archivo físico en
38 Tribunal de Cuentas
formato papel estaba incompleto (en el expediente 041/2016 falta una oferta presentada por una
de las empresas que se menciona en el acta de la mesa).
3.66. En esta fiscalización se ha comprobado si los contratos fiscalizados incluían alguna previsión
en relación con medidas de gestión medioambiental, de acuerdo con el apartado 1 del artículo 9
de la LOTCu, que extiende la función fiscalizadora del Tribunal de Cuentas a verificar el
sometimiento de la actividad económico-financiera del sector público al principio de sostenibilidad
ambiental. La AEPD ha dado cumplimiento a las previsiones establecidas, con carácter
potestativo, en el artículo 118 del TRLCSP, en relación con las obligaciones medioambientales a
cumplir por las empresas licitadoras; y ha incluido en los Pliegos de Cláusulas Administrativas
Particulares de los contratos examinados las previsiones establecidas para orientar la celebración
de los contratos hacia los objetivos de sostenibilidad y política medioambiental.
3.67. Las relaciones comprensivas de los contratos menores celebrados por la AEPD durante los
ejercicios 2016 y 2017, que fueron facilitadas por la entidad en soporte informático, presentan
errores que ponen de manifiesto que los controles sobre estas bases de datos son insuficientes
para asegurar el adecuado tratamiento de la información. Por ejemplo, contienen errores en la
calificación de un contrato en la categoría “Otros gastos” (número de expediente 093/2016); y
errores en el importe de adjudicación de otro (número de expediente 085/2017).
3.68. Durante el periodo fiscalizado la AEPD ha celebrado cuatro contratos menores que debieron
ser adjudicados mediante un procedimiento que garantizase los principios de publicidad y
concurrencia, ya que superaron el importe máximo previsto en el artículo 138.3 del TRLCSP. Tres
contratos menores (números de expediente: 039/2016, 045/2016 y 062/2017) se celebraron por
importe de 18,0 miles de euros, IVA excluido (el artículo 138.3 del TRLCSP señala literalmente
que deben tener “un importe inferior a 18,0 miles de euros, IVA excluido”). Otro contrato, con el
número de expediente 093/2016, para la renovación de licencias Alfresco 2017, se celebró como
contrato menor pese a tener un importe de 21,0 miles de euros, IVA excluido.
3.69. El artículo 86 del TRLCSP prohíbe el fraccionamiento de un contrato con la finalidad de
disminuir la cuantía del mismo y eludir así los requisitos de publicidad o los relativos al
procedimiento de adjudicación que correspondan. No obstante, el citado artículo señala, en su
apartado 3, que cuando el objeto del contrato admita fraccionamiento, y así se justifique
debidamente en el expediente, podrá preverse la realización independiente de cada una de sus
partes mediante su división en lotes, siempre que estos sean susceptibles de utilización o
aprovechamiento separado y constituyan una unidad funcional, o así lo exija la naturaleza del
objeto. A su vez, en el artículo 109.2 del TRCLSP se señala que “el expediente deberá referirse a
la totalidad del objeto del contrato, sin perjuicio de lo previsto en el apartado 3 del artículo 86
acerca de su eventual división en lotes, a efectos de la licitación y adjudicación”.
3.70. En la contratación de la AEPD existen supuestos en los que se pueden apreciar indicios de
haberse producido un posible fraccionamiento del objeto del contrato, por tratarse de contratos
menores vinculados entre sí por una misma finalidad y adjudicados a la misma empresa, cuyo
importe conjunto supera el límite máximo cuantitativo previsto en el artículo 138.3 del TRLCSP
para este tipo de contratación. Se pueden señalar los siguientes, de los cuales los cuatro primeros
fueron adjudicados al mismo contratista y los dos últimos también a un sola empresa:
Expediente número 086/2016 Mantenimiento software HP 2017. 17.979,55€, IVA excluido.
Expediente número 087/2016 Mantenimiento hardware HP 2017. 17.897,35€, IVA excluido.
Expediente número 111/2017 Mantenimiento software HP 2018. 17.990€, IVA excluido.
Expediente número 112/2017 Mantenimiento hardware HP 2018. 17.998€, IVA excluido.
Expediente número 034/2017 Adquisición de once ordenadores portátiles. 16.684,25€, IVA
excluido.
Agencia Protección Datos, 2016-2017 39
Expediente número 092/2017 Adquisición de catorce ordenadores portátiles. 17.245,20€, IVA
excluido.
En estos supuestos, el fin único de las contrataciones, unido a la similitud de las prestaciones y al
carácter necesario, reiterado y previsible de las mismas, hubiera requerido una planificación más
racional de las necesidades y de las actuaciones para cubrirlas.
3.71. En relación con el contenido de los expedientes de los contratos menores, en la fiscalización
se han llevado a cabo actuaciones para verificar si en los expedientes figuraban, aparte de su
contenido obligatorio, otras informaciones o documentos. En ninguno de los analizados se incluía
justificación de la necesidad de contratar, ni documento alguno que estableciese el “valor
estimado” del contrato (necesario para la elección del procedimiento de adjudicación). Ninguno de
los expedientes analizados contenía documentación acreditativa de la capacidad de obrar ni de la
habilitación empresarial o profesional necesaria para la realización de la actividad o prestación
objeto del contrato; ni tampoco existe documentación del cumplimiento por las empresas
contratistas de la solvencia económica, financiera y técnica o profesional para la correcta
ejecución de aquel. Por último, ninguno de los expedientes analizados contenía documentación
que permitiese verificar que se hubiesen llevado a cabo actuaciones para confirmar extremos tales
como la adecuación de la oferta al precio general del mercado. En escasos expedientes se ha
encontrado memoria de valoración de las ofertas económicas presentadas; y en los pocos casos
en los que se ha elaborado dicho documento, la justificación de la elección de adjudicatario era
muy limitada e insuficiente.
3.72. En dos expedientes se ha detectado la ausencia de una previa oferta comercial (número de
expediente 039/2016. Servicio traducción, interpretación y asesoramiento lingüístico; y número de
expediente 096/2017. Adquisición papel fotocopiadora). En otros casos se argumenta que se han
presentado tres ofertas, pero estas no constan en el expediente de los contratos a los que se ha
tenido acceso a través de la aplicación SOROLLA (por ejemplo, número de expediente 086/2017.
Revisión de inventario).
III.6. ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA SOBRE IGUALDAD EFECTIVA DE
MUJERES Y HOMBRES Y EN MATERIA DE TRANSPARENCIA.
III.6.1. ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA EN MATERIA DE IGUALDAD
3.73. La Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres
(LOIEMH), tiene por objeto combatir todas las manifestaciones subsistentes de discriminación,
directa o indirecta, por razón de sexo y promover la igualdad real de mujeres y hombres. En la
misma, se establecen principios de actuación para los poderes públicos, previendo medidas
destinadas a eliminar y prevenir las conductas discriminatorias por razón del sexo. Las
obligaciones establecidas en esta Ley son plenamente aplicables a la AEPD, de acuerdo con el
artículo 2.2 de la misma.
3.74. El artículo 33 de la LOIEMH establece que las Administraciones Públicas (AAPP), a través
de sus órganos de contratación, podrán establecer condiciones especiales con el fin de promover
la igualdad efectiva de mujeres y hombres en el mercado de trabajo. Sin embargo, los contratos
de la Agencia analizados en esta fiscalización no han incluido condiciones especiales de ejecución
que contengan consideraciones de tipo social para fomentar la igualdad de género, como por
ejemplo, criterios de desempate en favor de las proposiciones presentadas por empresas que
apliquen medidas de carácter social y laboral para favorecer la igualdad de oportunidades entre
mujeres y hombres.
3.75. Los artículos 45 a 48 de la LOIEMH, así como la disposición adicional 7ª del texto refundido
de la Ley del Estatuto Básico del Empleado Público, disponen que las AAPP deberán elaborar y
aplicar un plan de igualdad a desarrollar en el convenio colectivo o acuerdo de condiciones de
40 Tribunal de Cuentas
trabajo del personal funcionario que sea aplicable. Estos planes de igualdad deberán fijar los
concretos objetivos de igualdad a alcanzar por la entidad y las estrategias y prácticas a adoptar
para su consecución, así como establecer sistemas eficaces de seguimiento y evaluación de los
objetivos fijados. Aunque la AEPD está incluida dentro del ámbito de aplicación del “II Plan para la
igualdad entre mujeres y hombres en la AGE y en sus organismos públicos”, aprobado mediante
Resolución de la Secretaría de Estado de Administraciones Públicas, de 26 de noviembre de
2015, no se adoptaron, en todos los ámbitos previstos, las medidas de adaptación a la propia
entidad de este II Plan de Igualdad; y durante 2016, careció de mecanismos de seguimiento de su
aplicación.
3.76. El artículo 51.c) de la LOIEMH y el Eje 3 del II Plan de Igualdad de la AGE disponen que las
AAPP deberán fomentar la existencia de planes y programas de formación, seminarios y cursos
para sensibilizar y formar al personal de la Entidad en el objetivo de promover la igualdad de
género. En la AEPD no se realizaron este tipo de cursos o seminarios en 2016, y fue el Plan de
Formación de 2017 el que introdujo, por primera vez, un curso sobre igualdad de género.
3.77. Los artículos 51.d), 52 y 54 de la LOIEMH regulan el principio de presencia equilibrada de
mujeres y hombres en la composición de: a) órganos directivos de la AGE y de los organismos
públicos; y b) representantes en órganos colegiados, comités de personas expertas o comités
consultivos, nacionales o internacionales. La disposición adicional 1ª de la LOIEMH establece que,
a los efectos de esta Ley, se entenderá por composición equilibrada la presencia de mujeres y
hombres de forma que, en el conjunto a que se refiera, las personas de cada sexo no superen el
sesenta por ciento ni sean menos del cuarenta por ciento. El puesto de Director de la AEPD, único
puesto dentro de la Agencia con la consideración de alto cargo, con rango de Subsecretario, fue
ocupado por una mujer durante el periodo fiscalizado. El CC estuvo compuesto durante el periodo
fiscalizado por seis mujeres y tres hombres, quedando vacante el puesto que debía ser nombrado
a propuesta del Consejo de Universidades. Por lo tanto, no se ha cumplido en el CC el principio de
presencia equilibrada de mujeres y hombres en los porcentajes que exige la disposición adicional
1ª de la LOIEMH.
3.78. Los artículos 51.e) y 62 de la LOIEMH regulan los protocolos de acoso sexual y acoso por
razón de sexo. Según estos preceptos las AAPP negociarán con la representación legal de los
trabajadores un protocolo que comprenderá al menos los principios señalados en la normativa. La
AEPD no dispuso de mecanismos específicos de denuncia ante situaciones de acoso sexual ni de
discriminación por razón de sexo durante el periodo fiscalizado.
3.79. Los artículos 51.g) y 63 de la LOIEMH regulan criterios para la evaluación de la igualdad en
el empleo público. Aunque la AEPD ha elaborado, tanto para el año 2016 como para el año 2017,
documentos Excel con la denominación “Derechos y políticas laborales” que contienen pestañas
específicas en relación a la situación en la que se encuentra la Agencia y las medidas adoptadas
en materia tanto de igualdad de género como de conciliación, estos documentos no contenían
toda la información que la Ley exige que se remita a los Ministerios de Trabajo y Asuntos Sociales
y de Administraciones Públicas.
ANÁLISIS DEL CUMPLIMIENTO DE LA NORMATIVA EN MATERIA DE III.6.2.
TRANSPARENCIA
3.80. La Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen
gobierno (LTAIBG), tiene entre sus objetivos el de ampliar y reforzar la transparencia de la
actividad pública y regular y garantizar el derecho de acceso a la información derivada de dicha
actividad (artículo 1 de la ley). Para cumplir con dicho objetivo, como señala la Resolución
R/0219/2015, de 19 de octubre, del Consejo de Transparencia y Buen Gobierno (CTBG) en su
fundamento tercero, la LTAIBG regula en su título I en dos capítulos diferenciados y desde una
doble perspectiva: a) la publicidad activa; y b) el derecho de acceso a la información pública.
Agencia Protección Datos, 2016-2017 41
Estas previsiones son plenamente aplicables a la AEPD, desde la entrada en vigor de la LTAIBG,
de acuerdo con lo establecido en el artículo 2.1.c) de esa ley.
3.81. El artículo 5.4 de la LTAIBG concreta que la información sujeta a las obligaciones de
transparencia deberá ser publicada en las correspondientes sedes electrónicas o páginas web de
una manera clara, estructurada y entendible para los interesados y, preferiblemente, en formatos
reutilizables. También se establecerán los mecanismos adecuados para facilitar la accesibilidad, la
interoperabilidad, la calidad y la reutilización de la información publicada, así como su
identificación y localización.
3.82. La AEPD tiene creado dentro de su página web un sitio denominado “portal de
transparencia” al que se puede acceder de dos formas distintas desde la propia página. Sin
embargo, no se han podido verificar, durante los trabajos de fiscalización, las condiciones de
accesibilidad de la página web según la norma UNE 139803 2012 y el Real Decreto 1112/2018,
de 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles
del sector público, ya que la propia página no tiene acreditados estos principios de accesibilidad.
No obstante, la Agencia ha formalizado el 13 de diciembre de 2018, después del periodo
fiscalizado, un contrato para el desarrollo y mantenimiento de sus portales web, con un plazo de
ejecución de 24 meses a contar desde el 1 de enero de 2019. En este contrato ya está prevista la
revisión y adaptación de la accesibilidad de los contenidos web de la Agencia, aunque aún no
estaba operativo a la fecha de terminación de los trabajos de esta fiscalización.
3.83. La AEPD cumple, con carácter general, las disposiciones sobre publicidad activa de su
información institucional, organizativa y de planificación establecidas en el artículo 6 de la LTAIBG,
si bien se han detectado algunas incidencias. La Agencia ofrece en su portal de transparencia
información sobre su marco normativo en un apartado referente a su organización y régimen
jurídico aplicable. Esta información estaba incompleta al no incluir la LOPD de 2018, ni la Ley
34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, ni
la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, que regulan las competencias de la
Agencia en materia de protección de datos. Se ha comprobado que estas leyes aparecían
reflejadas en la página web de la Agencia en otros sitios, por un lado, fuera del propio portal de
transparencia y, por otro lado, dentro del portal de transparencia pero en un apartado distinto al
citado denominado “relevancia jurídica”, lo que llevaba a confusión y dificultaba el acceso y
entendimiento de la información para el ciudadano. En el ejercicio 2019 la AEPD ha procedido a
corregir esta incidencia mediante la actualización del marco jurídico con la introducción de la
normativa referida.
3.84. La Agencia tiene publicado en el portal de transparencia el organigrama de la entidad,
identificando a los diferentes órganos y a sus responsables. La estructura que reflejaba hasta el
primer semestre de 2019 es la que aún se viene manteniendo, conforme a la normativa vigente
con anterioridad a la LOPD de 2018 (véase el subapartado III.3 de este Informe), sin referencia
alguna a la nueva estructura y naturaleza de la Agencia tras la entrada en vigor de esta ley.
También está publicado el plan estratégico de la entidad correspondiente al periodo 2015-2019,
sus actuaciones, cronograma e informe de cumplimiento por años o periodos plurianuales, de
acuerdo con el artículo 6.2 de la LTAIBG. No obstante, los informes de cumplimiento y el propio
plan estratégico carecían de indicadores adecuados de medida y valoración que permitiesen el
seguimiento y valoración de su eficacia. Únicamente reflejaban, como elementos de valoración,
los plazos para la realización de las actuaciones previstas. La desactualización de la información
relativa a la naturaleza de la Agencia ha sido corregida al haberse actualizado el portal de
transparencia en el primer semestre de 2019, adaptándolo a la nueva normativa.
3.85. El artículo 8 de LTAIBG obliga a publicar determinada información de gestión administrativa
que tiene repercusiones económicas o presupuestarias. En primer lugar, la AEPD daba
cumplimiento a su obligación de proporcionar información sobre contratos mediante un enlace
directo desde su portal de transparencia a la plataforma de contratación del Estado. Sin embargo,
esta forma de dar cumplimiento a la obligación impuesta por la LTAIBG no se ajusta
42 Tribunal de Cuentas
suficientemente a lo previsto en el apartado 4.5 del artículo 8 de dicha Ley, que determina que la
información deberá publicarse de manera clara, estructurada y entendible para el ciudadano. La
Resolución R/0095/2015, de 30 de junio, del CTBG, en su fundamento jurídico séptimo, entiende
que la remisión a la plataforma de contratación del Estado no es suficiente para dar la información
clara que se exige, ya que en dicha plataforma existe una amplia información sobre
contrataciones, perfiles de contratantes, licitaciones, normativa, enlaces de interés,
procedimientos, formularios de acceso, guías, anexos, noticias, e incluso hasta cursos de cómo
utilizarla, de manera que la búsqueda de información clara y estructurada que exige la norma, a
través de este sistema, implicaría una carga desproporcionada para el ciudadano. Por tanto, si la
AEPD pretende cumplir con esta obligación de información a través de un enlace con la
plataforma de contratación del Estado, debería al menos, de acuerdo con los criterios establecidos
por el CTBG, indicar en su portal de transparencia las palabras clave que debe introducir el
ciudadano en el buscador web para encontrar información sobre su actividad contractual. En el
primer semestre de 2019 la Agencia ha actualizado la información sobre contratación publicada en
el portal de transparencia, proporcionándola de una forma más clara, estructurada y entendible
para el ciudadano.
3.86. Respecto a la publicación de los datos estadísticos, referentes al porcentaje en volumen
presupuestario de contratos adjudicados a través de cada uno de los procedimientos previstos en
la legislación de contratos del sector público, a que obliga el citado artículo 8 de la LTAIBG, la
Agencia no ha publicado este tipo de información en el periodo fiscalizado. En el ejercicio 2019 ha
subsanado esta incidencia incluyendo en el apartado de “Gestión
presupuestaria” información relativa al volumen presupuestario de cada tipo de contrato en los
años 2014 a 2018.
3.87. En relación con la información publicada sobre convenios suscritos y encomiendas de
gestión, en el momento de la consulta la Agencia tenía publicados en su portal de transparencia
los convenios suscritos y vigentes en 2019, distinguiendo los que tienen contenido económico del
resto, y recogiendo la información prevista en el apartado 1.b) del artículo 8 de la LTAIBG. En
cuanto a las encomiendas de gestión, si bien la única existente ha sido publicada por la Agencia
en su portal de transparencia, en el periodo fiscalizado no se han cumplido todas las obligaciones
previstas en el artículo 8.1.b) de la LTAIBG, dado que no se indicaba su duración, ni el
procedimiento seguido para su adjudicación; y sobre las obligaciones económicas convenidas solo
se indicaba su existencia pero no la cláusula en la que se encuentran. En el ejercicio 2019 el
portal de transparencia de la Agencia ya incluye las obligaciones de información sobre las
encomiendas de gestión que establece la LTAIBG.
3.88. En relación con la publicación de información presupuestaria, prevista en el artículo 8.1.d) de
la LTAIBG, la Agencia ha publicado en su portal de transparencia este tipo de información, salvo
en lo relativo al estado de ejecución de los presupuestos, del que publica el estado de liquidación
del presupuesto de gastos por subconceptos, pero no el de ingresos. La liquidación del
presupuesto de ingresos, además, constituye una información muy relevante en una entidad como
la AEPD que se financia, en gran medida, con el importe de las sanciones que impone (véase el
subapartado III.1 de este Informe).
3.89. La AEPD cumple, con carácter general, la obligación de publicidad activa de sus cuentas
anuales, al tener publicado en su portal de transparencia las rendidas en los últimos cinco
ejercicios cerrados. No obstante, en relación al ejercicio 2013 solo estaba publicada la memoria
anual correspondiente a ese ejercicio y el informe de auditoría de las cuentas anuales, pero
faltaban el resto de estados que integran las cuentas anuales de la entidad. En relación a la
publicación de los informes de fiscalización realizados por los órganos de control externo, no
estaba publicado el informe que el Pleno del Tribunal de Cuentas aprobó, en su sesión de 22 de
diciembre de 2004, sobre las actividades realizadas por la Agencia durante el ejercicio 2001.
Agencia Protección Datos, 2016-2017 43
3.90. La Agencia tiene publicado en su portal de transparencia el importe bruto de retribuciones de
su Directora e indica que no existen indemnizaciones con ocasión del abandono del cargo, dando
cumplimiento a lo que se establece en el artículo 8.1.f) de la LTAIBG. Sin embargo, la AEPD no
tiene publicado en su portal listado alguno de empleados públicos con resolución de autorización o
Incompatibilidades del Personal al Servicio de las Administraciones Públicas, como requiere el
artículo 8.1.g) de la LTAIBG. Tampoco ofrecía en el periodo fiscalizado información alguna en el
portal de transparencia sobre si tiene en propiedad u ostenta algún derecho real sobre bienes
inmuebles, requerida por el apartado 3) del artículo 8 de la LTAIBG; aunque esta falta de
información fue subsanada en 2019, especificando en el Portal, en el apartado “patrimonio”,
dentro de la sección de “información económica, presupuestaria y estadística”, la inexistencia de
bienes inmuebles propiedad de la AEPD.
3.91. El artículo 12 de la LTAIBG establece que todas las personas tienen derecho a acceder a
determinada información pública de las entidades, en los términos previstos en el artículo 105.b)
de la Constitución Española, y en los términos desarrollados por la propia Ley. La AEPD no
publica en su portal de transparencia normas sobre las formas de acceso a esa información, ni
sobre los distintos medios para su solicitud, según lo establecido en el capítulo III Secciones 1ª y
2ª de la LTAIBG.
3.92. Por último, la LTAIBG crea el CTBG, y como un órgano de este, la Comisión de
Transparencia y Buen Gobierno, en la que debe participar un representante de la Agencia (dando
cumplimiento a lo dispuesto en el artículo 36.1.f) de la citada Ley). La función de la AEPD en esta
materia no se limita a la participación de este miembro de la Comisión en los trabajos de la misma
sino que, además, de conformidad con lo establecido en la disposición adicional 5ª, corresponderá
a la AEPD y al CTBG la adopción conjunta de los criterios de aplicación de las reglas contenidas
en el artículo 15 de la propia Ley, en particular en lo que respecta a la ponderación del interés
público en el acceso a la información y la garantía de los derechos de los interesados cuyos datos
se contuviesen en la misma. A lo largo de 2016 y 2017 se celebraron, respectivamente, ocho y
cuatro reuniones de la Comisión del Consejo en las que participó el representante de la AEPD. En
ninguna de ellas se adoptaron criterios conjuntos por la AEPD y el CTBG para dar cumplimiento a
la normativa señalada anteriormente y para la aplicación de las reglas contenidas en el artículo 15
de la LTAIBG.
IV. ANÁLISIS DE LOS SISTEMAS Y PROCEDIMIENTOS EMPLEADOS Y DE LOS
RESULTADOS OBTENIDOS POR LAS ACTUACIONES DE LA AGENCIA
IV.1. ANÁLISIS DE LA AUTOMATIZACIÓN DE LOS PROCESOS Y DE LOS SISTEMAS
INFORMÁTICOS UTILIZADOS POR LA AGENCIA
4.1. Los sistemas de información han evolucionado mucho y aumentado sus necesidades e
importancia dentro de la AEPD desde la última fiscalización realizada por el Tribunal de Cuentas.
Sin embargo, la Agencia disponía, al finalizar los trabajos de esta fiscalización, únicamente de
once efectivos TIC (tecnologías de la información y la comunicación) propios, de los que
aproximadamente la mitad eran de reciente incorporación. Esta carencia de personal TIC propio
ha dificultado su especialización técnica y funcional y obligado a acudir a un nivel muy elevado de
externalización provocando una pérdida de conocimiento y capacidad para adaptar rápidamente
sus sistemas de información.
4.2. Se han detectado carencias en la implantación técnica del Esquema Nacional de Seguridad
(ENS) que se manifiestan en los siguientes aspectos:
No se monitoriza proactivamente el tráfico de red y los servidores para detectar
comportamientos anómalos, ni se ha instalado un sistema de gestión de información y
eventos de seguridad (SIEM) que permita analizar y correlacionar los eventos de seguridad
44 Tribunal de Cuentas
para alertar de comportamientos peligrosos. Existe carencia de personal técnico
especializado en seguridad, necesario dada la importancia de la seguridad en la Agencia y
el carácter transversal de esta actividad.
El tráfico interno de las aplicaciones SIGRID y Alfresco (Gestor documental) no está
cifrado.
Las impresoras no controlan el acceso a los papeles impresos. Está pendiente de instalar
un sistema “Follow Me” que necesite un código para imprimir los documentos y fuerce la
presencia física de la persona que envió el documento a imprimir.
Debido al impacto que tiene en la actividad de la agencia el sistema SIGRID, que contiene
información interna de procedimientos administrativos sancionadores, se considera
necesario catalogar el sistema como nivel medio en el ENS y, por tanto, realizar auditorías
externas de seguridad sobre el mismo.
No se controla la seguridad de dispositivos móviles mediante sistemas MDM (Mobile
Device Management) que aseguren el cumplimiento de unas políticas de seguridad.
El personal TIC de la Agencia no ha recibido formación específica y transversal suficiente
sobre seguridad informática que aumente su especialización; y la entidad no cuenta con un
funcionario especializado en la implantación técnica de la seguridad informática que
coordine y apoye todas las acciones técnicas trasversales en todos los sistemas de
información.
4.3. La accesibilidad web de la página de la Agencia presenta las siguientes deficiencias:
El contraste de colores en la sede electrónica y la página web hace difícil leer los textos a
personas con capacidad visual disminuida.
En la sede electrónica los formularios carecen de información que describa su contenido, y
este no se redimensiona según el dispositivo.
Los contenidos en multiidioma no están actualizados en todos los casos, mezclando varios
idiomas en la misma página.
Los filtros de fecha del buscador no funcionan correctamente. En las búsquedas no se
muestra información relevante como el tamaño del documento, el formato o la fecha del
documento.
4.4. No se ha actualizado el inventario de inmovilizado dando de baja y gestionando los equipos
informáticos que ya han finalizado su vida útil. Por lo tanto, el inventario de inmovilizado no refleja
la situación real de los equipos; y, en el control de los mismos, se han detectado asignaciones de
varios ordenadores a la misma persona que tampoco reflejaban su situación real.
4.5. En el periodo fiscalizado, los pliegos de contratación de aplicaciones informáticas, y después
las facturas correspondientes, no distinguían ni cuantificaban económicamente de manera
adecuada los mantenimientos de corrección de errores (gastos del ejercicio) y los nuevos
desarrollos (inversiones activables, mantenimientos evolutivos o nuevas funcionalidades a utilizar
en varios ejercicios). Por ello, todos los gastos generados en esos contratos se activan en la
contabilidad y se van amortizando en varios ejercicios como si fuesen inversiones activables,
alterando el resultado y la valoración del activo de la entidad (véanse los puntos 2.2 y 2.9 a 2.15
de este Informe).
4.6. Las aplicaciones desarrolladas por la AEPD no organizan su código fuente en un espacio de
nombres que las identifique claramente. Aunque el código fuente es propiedad de la AEPD, en las
aplicaciones desarrolladas por la Agencia para su actividad el espacio de nombres de las clases
java (NameSpace) hace referencia a la empresa desarrolladora y no a la propia Agencia. Además,
la Agencia trabaja con las empresas que desarrollan sus aplicaciones, fundamentalmente, en
modo factoría de software (en remoto), y estas empresas realizan su propia gestión del código
fuente, por lo que la Agencia tiene el riesgo de no poder controlar adecuadamente la última
versión del mismo.
Agencia Protección Datos, 2016-2017 45
4.7. La aplicación SIGRID es la principal aplicación de la Agencia, utilizada para gestionar la
inspección e instrucción de los procedimientos sancionadores por el personal de la AEPD y para
obtener información sobre las reclamaciones presentadas, los documentos generados durante la
tramitación de los expedientes administrativos, y las notificaciones y sanciones impuestas. Sin
embargo, no proporciona una visión única de un expediente administrativo, sino que funciona
como tres aplicaciones distintas que dan servicio a tres actuaciones diversas. De este modo, el
mismo expediente posee números de referencia distintos cuando cambia de pestaña/
departamento (según la situación o actuación en la que se encuentre: a) entradas; b)
procedimientos; y c) notificaciones y sanciones). Este funcionamiento genera debilidades de
control, porque dificulta el seguimiento e impide la visión global de un expediente administrativo
único. Esta falta de número único de expediente también puede generar problemas de notificación
y comunicación a las entidades, que podrían recibir comunicaciones referenciadas a un código
interno diferente en cada comunicación, generado de manera distinta en cada fase aunque se
refiera al mismo expediente administrativo.
4.8. La aplicación SIGRID no genera un número de expediente por denunciado, sino que asigna
un número de expediente por cada denuncia/reclamación con independencia del número de
denunciados. Esta circunstancia ha dificultado el manejo de la información obtenida en los
supuestos en los que en la misma reclamación unos denunciados se consideraron infractores y
otros no. Dificulta el conocimiento de forma segura del número de resoluciones sancionadoras, así
como el conocimiento y seguimiento de los infractores, en los casos en los que una misma
resolución contiene infractores y no infractores de la normativa sobre protección de datos.
4.9. En la aplicación SIGRID, a la que se ha hecho referencia, se cargan ficheros de texto de
cobros realizados por la AEAT y se generan ficheros de texto para notificar asientos contables al
SIC de la IGAE. El tratamiento es manual y, cuando hay constancia de cambios, se deben generar
bajo demanda del usuario. No está suficientemente automatizado o formalizado el proceso para
evitar, en lo posible, los errores humanos al sincronizar SIGRID con el cobro de sanciones y su
reflejo en la contabilidad.
4.10. Se han detectado en SIGRID expedientes muy antiguos que aún no estaban cerrados en la
aplicación, seguramente porque se gestionaron en papel, lo que provoca incoherencias en la
información ofrecida por la base de datos. La generalización de la tramitación totalmente
electrónica de los expedientes se produjo a partir del 25 de mayo de 2018, pero no se actualizaron
los datos en todos los procedimientos por lo que, en ocasiones, se produjo la terminación de su
tramitación en papel sin actualizar los cambios posteriores en la aplicación. No se han depurado
en la base de datos SIGRID todos los registros para garantizar que reflejan la situación real de los
expedientes administrativos asociados.
4.11. La aplicación SIGRID no muestra los criterios de filtrado que aplica por defecto en cada
pestaña, ni todos los campos disponibles en el listado, por lo que no existe uniformidad en los
campos y se dificulta el seguimiento de la información que contiene. Algunos campos, como el
número de registro de entrada, no se trasladan adecuadamente cuando el procedimiento cambia
de fase. Además, tanto en la tramitación como en los campos de búsqueda el NIF/CIF del infractor
aparece como criterio fundamental y se refleja su nombre. En ocasiones, un mismo interviniente
(NIF/CIF) tiene atribuidos varios nombres por la forma de escribir el mismo, existiendo
consecuentemente problemas de homologación con el criterio fundamental que utiliza la AEAT
para la identificación de los deudores. Todo lo anterior da lugar a debilidades de control en el
seguimiento de los expedientes administrativos.
4.12. La pestaña de plazos de la aplicación SIGRID no recoge la situación real de plazos
vencidos, porque no todos los usuarios de la plataforma realizan el control de plazos a través de la
aplicación. No existen protocolos y mecanismos de coordinación para que el control de plazos
refleje la situación real de los expedientes administrativos.
46 Tribunal de Cuentas
4.13. La AEPD dispone de dos pequeños Centros de Proceso de Datos (CPDs) con necesidades
de mejora en ambos. El informe CORA (Comisión para la Reforma de las Administraciones
Públicas) ya recomendaba para la racionalización de recursos la consolidación de este tipo de
CPDs cuando fuera posible. La AEPD no ha consolidado ni adecuado o reformado estos dos
CPDs; ni utiliza, en este ámbito, medios compartidos en la AGE para evitar posibles riesgos y
racionalizar la utilización de infraestructuras.
4.14. La anonimización de documentos por la AEPD es un proceso manual bastante susceptible
de error humano, ya que depende de que el usuario formatee correctamente los textos y los
escriba siempre exactamente igual. Lo mismo sucede con el necesario proceso de revisión
posterior, que también tiene carácter manual. La AEPD no ha incorporado revisiones automáticas
a estos procesos, que permitan comprobar que todo o parte del nombre de los intervinientes
recogidos en la base de datos de SIGRID, y asociados al expediente, no se encuentran en
ninguna parte del documento. Tampoco existen procesos automáticos de revisión previos a la
publicación de los documentos en la web, que permitan comprobar la anonimización del
documento antes de su publicación y no cuando ya se encuentra publicado.
4.15. Tras la entrada en vigor del RUEPD la AEPD dejó de publicar su carta de servicios en la
sede electrónica de la entidad, por no estar suficientemente actualizada a la nueva normativa
sobre la materia. En la fecha de realización de los trabajos de revisión de la sede electrónica en
esta fiscalización (abril de 2019), seguía sin estar publicada la carta de servicios de la entidad,
pese a ser un requisito obligatorio del contenido de la sede electrónica por reflejar los
compromisos que la entidad adquiere con los ciudadanos. La Agencia no ha actualizado ni
publicado su carta de servicios tras la reforma legislativa sobre protección de datos.
IV.2. ANÁLISIS DE LA TRAMITACIÓN DE LOS PROCEDIMIENTOS DE LA AGENCIA
4.16. Las unidades de la AEPD que intervinieron en la gestión y tramitación de los procedimientos
sobre protección de datos han sido: a) la SGID; b) el Área de Notificaciones de la Secretaría
General, que se encargó del traslado o notificación a los intervinientes en los expedientes
sancionadores; y c) el Servicio de Gestión Presupuestaria de la Secretaría General, que realiza el
seguimiento de todos los aspectos relacionados con las sanciones. En los puntos siguientes se
recoge el análisis de la tramitación de los procedimientos de la Agencia desde la perspectiva del
cumplimiento de la normativa, la adecuación de los sistemas y procedimientos empleados y los
resultados obtenidos. En concreto, han sido objeto de análisis:
Las novedades introducidas tras la entrada en vigor del RUEPD, el 25 de mayo de 2018.
La tramitación de tutelas de derechos durante el periodo fiscalizado.
El inicio de los procedimientos durante el periodo fiscalizado.
La realización de actuaciones de oficio por la Agencia.
La terminación de los procedimientos durante el periodo fiscalizado.
La tramitación de procedimientos sin actuaciones previas.
4.17. Hasta la entrada en vigor del RUEPD, el 25 de mayo de 2018, la AEPD trataba de forma
separada las denuncias y las reclamaciones de tutelas de derechos, de acuerdo con el artículo 18
de la LOPD de 1999, vigente durante el periodo fiscalizado. Durante este periodo, la comunicación
de brechas de seguridad era una obligación, únicamente, de los operadores de
telecomunicaciones (por exigencia de la Ley General de Telecomunicaciones de 2014). A partir de
la entrada en vigor del RUEPD las denuncias y las reclamaciones de tutelas de derechos pasaron
a tramitarse de forma conjunta como reclamaciones (la nueva normativa no ofrece soporte para
dos procedimientos distintos). Además, el artículo 33 del RUEPD generalizó la obligación de
comunicar las brechas de seguridad, imponiendo a los responsables del tratamiento de los datos
personales la obligación de notificar a la AEPD las quiebras de seguridad que sufran. El cuadro 5
refleja los procedimientos iniciados en la AEPD durante los ejercicios 2016, 2017 y 2018.
Agencia Protección Datos, 2016-2017 47
4.18. Como ya se ha señalado, a partir de la entrada en vigor del RUEPD la AEPD comenzó a
tramitar, tanto las denuncias como las tutelas de derechos, de forma conjunta como
reclamaciones. No obstante, este cambio de procedimientos no se completó a la entrada en vigor
del RUEPD, y continuó iniciándose la tramitación de denuncias y tutelas de derechos después de
su vigencia. Desde el 25 de mayo de 2018, hasta el 31 de diciembre de ese año, se dieron de alta
en SIGRID 1.601 denuncias que ya deberían haberse tramitado como reclamaciones. En esas
mismas fechas, se dieron de alta 22 reclamaciones de tutelas de derechos que también deberían
haberse tramitado ya como reclamaciones, de acuerdo con el RUEPD. Además, el análisis de los
procedimientos iniciados en 2018 puso de manifiesto la tramitación de una reclamación, con fecha
de entrada en SIGRID de 11 de mayo de 2018, anterior a la entrada en vigor del RUEPD, pese a
que estos procedimientos deberían ser posteriores a la misma. El cuadro 6 refleja la forma gradual
en la que se fue adaptando la tramitación de las denuncias desde la entrada en vigor del RUEPD.
DENUNCIAS, RECLAMACIONES Y COMUNICACIONES DE BRECHAS DE SEGURIDAD QUE Cuadro 5:
TUVIERON ENTRADA EN LA AEPD DURANTE LOS EJERCICIOS 2016, 2017 Y 2018
Entradas
2016
2017
2018
Denuncias
7.938
8.005
5.313
Reclamaciones de tutela de derechos
2.586
2.656
1.346
Reclamaciones
N/A
N/A
6.346
Total
10.524
10.661
13.005
Quiebras de seguridad
8
17
553
- Entradas por Notificaciones de quiebra
5
11
6
- Entradas por documento Nota interior
1
3
4
- Entrada como denuncia
2
3
543
Casos procedentes de otras AC europeas
N/A
N/A
594
Fuente: SIGRID (Sistema Integrado de Gestión de Registro de Inspección de Datos)
ENTRADA DE DENUNCIAS EN 2018 Cuadro 6:
ENTRADAS DE DENUNCIAS 2018
Número
Denuncias hasta 24/05/2018
3.712
Denuncias resto mayo y junio 2018
1.417
Denuncias julio 2018
181
Denuncias agosto 2018
1
Denuncias diciembre 2018
2
Total 2018
5.313
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.19. El número de comunicaciones de brechas de seguridad que se producían al año era muy
reducido durante el periodo fiscalizado, antes de la entrada en vigor del RUEPD (ocho en 2016 y
diecisiete en 2017), ya que, como se ha señalado, era una obligación exclusiva de los operadores
de telecomunicaciones. Con el régimen jurídico vigente en el periodo fiscalizado, estas
comunicaciones de quiebras de seguridad originaban un expediente de investigación que permitía
recabar más información; y, en su caso, podían dar lugar a un procedimiento sancionador. Tras la
entrada en vigor del RUEPD, los responsables del tratamiento de los datos personales tienen
también la obligación de notificar a la AEPD las quiebras de seguridad, por lo que se produjo un
gran incremento de las mismas a partir del 25 de mayo de 2018 (553 comunicaciones en 2018).
48 Tribunal de Cuentas
4.20. Tras la reforma, el sistema implantado por la Agencia para el control y seguimiento de las
quiebras de seguridad consiste en que la Unidad de Evaluación y Estudios Tecnológicos (UEET)
se encarga de realizar un análisis de la información recibida y mantener un registro de todas las
brechas notificadas. Las que se estiman pertinentes de iniciar una investigación se deben
trasladar a la SGID junto con una nota de la Directora ordenando investigarlas. A partir de este
momento se deben registrar en SIGRID, como una entrada más, e iniciar los trámites propios de
cualquier reclamación. El análisis de este nuevo procedimiento puso de manifiesto que, tras el
estudio, clasificación y registro por la UEET de las 553 comunicaciones recibidas, únicamente
dieciséis de ellas se habían remitido a la SGID, por apreciar la existencia de riesgo alto para los
derechos y libertades de los ciudadanos o considerar que se requería una investigación adicional
para determinar la existencia de dicho riesgo. Además, de las dieciséis brechas de seguridad que
se habían remitido, únicamente cuatro contaban con el registro en SIGRID de la correspondiente
nota interior de la Directora ordenando investigarlas. Por otra parte, la Agencia ha tratado de
consolidar el formulario de “notificación de brechas de seguridad”, publicado en su sede
electrónica, como el único canal de entrada de estas comunicaciones para garantizar que se
aporte toda la información necesaria para su gestión (desde la entrada en vigor del RUEPD, hasta
la fecha de realización de estos trabajos, 479 comunicaciones se habían hecho de esta manera).
4.21. La mayoría de las tutelas de derechos tramitadas durante el periodo fiscalizado han sido
inadmitidas o desestimadas. En torno a la mitad de las reclamaciones de tutela de derechos
fueron inadmitidas sin dar lugar a otra actuación de la AEPD. En relación con los procedimientos
de tutela de derechos inadmitidos durante el periodo fiscalizado, la aplicación informática que
utiliza la Agencia para la gestión de los procedimientos (SIGRID) reflejaba en distintas situaciones
(no terminados) un procedimiento que había sido inadmitido en 2016; y otros dos inadmitidos en
2017. En 2018, había 137 procedimientos en los que se habían dictado resoluciones de
inadmisión que SIGRID reflejaba en distintas situaciones no terminadas. La Agencia ha explicado
que se trata de procedimientos con resoluciones de inadmisión pendientes de notificar o de recibir
el acuse de recibo de la notificación. Sin embargo, esta circunstancia no puede explicar todos los
casos, ya que los datos fueron obtenidos el 8 de marzo de 2019, y 34 de estos procedimientos
inadmitidos que seguían abiertos en SIGRID se habían inadmitido el primer semestre de 2018, y
103 en el segundo semestre (solo diez en diciembre), por lo que la incidencia no se puede
considerar justificada por el retraso en las notificaciones (véanse los puntos 4.25 y 4.30).
4.22. El punto anterior y otros de este Informe (véanse los puntos 4.25 y 4.30) ponen de
manifiesto que una parte relevante del retraso en la tramitación de los procedimientos que realiza
la Agencia se debe a incidencias en la práctica de las notificaciones. Durante el periodo fiscalizado
aún no se había podido implantar, totalmente, la práctica de notificaciones por vía electrónica
prevista en la LPAC. La mala calidad de los datos de los intervinientes en los procedimientos
incorporados a los sistemas de la Agencia era una causa principal que dificultaba la práctica de
las notificaciones e imposibilitaba el seguimiento, a través de los NIF de los sancionados o
investigados, de la práctica de los trámites en los procedimientos en los que intervenían. El fichero
de intervinientes que se utilizaba durante el periodo fiscalizado no conservaba la información
necesaria de los mismos que permitiese un seguimiento adecuado de la tramitación de los
procedimientos en relación con cada uno de los intervinientes ni la coordinación de los
expedientes en SIGRID.
4.23. Un porcentaje relevante de las denuncias tramitadas, en cada año fiscalizado, han sido
inadmitidas (situación que la AEPD identifica en sus registros con las siglas IT) sin dar lugar a
investigación ni procedimiento alguno (4.681 en 2016 y 4.750 en 2017). Otro número muy
relevante (949 en 2016 y 1.159 en 2017) han sido admitidas a trámite y archivadas después por
desistimiento del denunciante tras haber solicitado la Agencia su subsanación o aportación de
documentos sin haberse realizado (AT). Las denuncias que han superado estos trámites dieron
lugar a algún tipo de investigación en el periodo fiscalizado (véase el punto 4.26 y el cuadro 9). El
cuadro 7 refleja los datos sobre inadmisión y archivo de las denuncias en los ejercicios 2016, 2017
y 2018.
Agencia Protección Datos, 2016-2017 49
DENUNCIAS INADMITIDAS Y ARCHIVADAS EN EL PERIODO 2016-2018
Cuadro 7:
Denuncias inadmitidas a trámite (IT)
2016
2017
2018
Presentadas antes del RUEPD
4.681
4.750
2.019
Presentadas con el nuevo RUEPD
N/A
N/A
3.534
Denuncias admitidas a trámite y archivadas (AT)
949
1.159
1.705
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.24. La aplicación informática SIGRID reflejaba en distintas situaciones de tramitación cuatro
denuncias inadmitidas (IT) en 2016 (una en estado abierto, otra en fase de apertura, y dos en
revisión de calificación), y otra inadmitida en 2017 en estado abierto, en todos los casos por
errores de los responsables de su tramitación. Otros cuatro procedimientos archivados en 2016
por desistimiento del denunciante al no realizar las subsanaciones o las aportaciones de
documentos requeridas (AT) presentaban incidencias sobre su correcto reflejo en SIGRID (dos de
ellos estaban en fase de apertura y otros dos en fase de admisión a trámite). En este punto, y
otros de este Informe, se señalan incidencias sobre el correcto reflejo de los estados y fases de
los procedimientos en SIGRID. Los estados erróneos de tramitación en el sistema durante el
periodo fiscalizado derivan del uso del papel como principal soporte de la tramitación en aquella
época y de no haber grabado los responsables de su tramitación el cambio de fase del
procedimiento. La pluralidad de fases y estados de los procedimientos en SIGRID era otra de las
causas que dificultan el control interno y la gestión de los mismos en la aplicación, que dieron
lugar a estos supuestos en los que no están debidamente actualizados los estados y fases de los
procedimientos en SIGRID.
4.25. Tras la entrada en vigor del RUEPD, el 25 de mayo de 2018, los expedientes admitidos a
trámite y archivados (AT) se corresponden con traslados a delegados, encargados o responsables
de protección de datos con resultado corregido de la denuncia, a las autoridades de control de las
CCAA, o a autoridades de control europeas por ser las competentes en el procedimiento. De 2018
había quince resoluciones archivadas (AT) en estado abierto y otras ocho en fase de apertura.
También en relación con los procedimientos en estado abierto la Agencia ha explicado que se
trata de procedimientos con resoluciones de archivo pendientes de notificar o de recibir el acuse
de recibo de la notificación. Sin embargo, esta circunstancia tampoco puede explicar todos los
supuestos, ya que los datos fueron obtenidos el 13 de marzo de 2019, y a esa fecha uno de estos
procedimientos archivados que seguían abiertos en SIGRID era del primer semestre de 2018, y
los otros catorce del segundo semestre (solo cuatro de diciembre), por lo que la incidencia no se
puede considerar justificada por el retraso en las notificaciones (véanse los puntos 4.21 y 4.30).
4.26. Las denuncias que no fueron inadmitidas o archivadas (IT y AT) dieron lugar a la apertura de
los correspondientes expedientes de investigación (EI), que constituyen las actuaciones previas
de los procedimientos instruidos por la Agencia. Estas investigaciones concluyen en archivo o en
la tramitación de alguno de los procedimientos aplicados por la Agencia: a) procedimientos de
apercibimiento; b) procedimientos sancionadores; y c) procedimientos de infracción de las AAPP.
En 2016 se iniciaron 1.638 investigaciones de las que se archivaron 859 y dieron lugar a
procedimiento 733 (163 procedimientos de apercibimiento, 521 procedimientos sancionadores y
49 procedimientos de infracción de las AAPP). En 2017 se iniciaron 1.270 investigaciones de las
que se archivaron 681 y dieron lugar a procedimiento 531 (143 procedimientos de apercibimiento,
329 procedimientos sancionadores y 59 procedimientos de infracción de las AAPP). El cuadro 8
refleja las investigaciones iniciadas en la Agencia en virtud de las denuncias presentadas en el
periodo fiscalizado y la forma en la que concluyeron.
50 Tribunal de Cuentas
APERTURA DE EXPEDIENTES DE INVESTIGACIÓN EN EL PERIODO FISCALIZADO Y SU
Cuadro 8: RESOLUCIÓN CON INDEPENDENCIA DEL AÑO EN QUE SE PRODUCE
EI iniciados con independencia de la fecha de resolución
2016
2017
2018
AT que no se archivan y pasan a EI
1.638
1.270
968
- EI archivados
859
681
390
- EI que dan lugar a procedimiento
733
531
174
- EI que dan lugar a estimación de investigación de tutela de derechos
0
0
3
- EI con archivo e interesadas otras autoridades de control europeas
0
0
5
- EI con resultado admisión a trámite
0
0
7
- EI acumulados a otras entradas o procedimientos con estado cerrado
10
4
3
- EI no archivados que han quedado en diversos estados
36
54
386
Apertura de procedimientos de apercibimiento
163
143
39
Apertura de procedimientos sancionadores
521
329
113
Apertura de procedimientos de infracción de las AAPP
49
59
22
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.27. Además de las actuaciones iniciadas por la Agencia en virtud de denuncia durante el periodo
fiscalizado, otras se han iniciado de oficio en virtud de notas interiores y de la ejecución de los
planes de actuaciones de oficio aplicables en el periodo fiscalizado. Entre estas actuaciones de
oficio ya se encontraba una brecha de seguridad en 2016, y otras cinco en 2017, referidas a
empresas que no eran de telecomunicaciones (la obligación de comunicar brechas de seguridad
únicamente afectaba entonces a los operadores de telecomunicaciones, véase el punto 4.20). El
cuadro 9 refleja estas actuaciones iniciadas de oficio durante los ejercicios 2016, 2017 y 2018.
ACTUACIONES INICIADAS DE OFICIO DURANTE LOS EJERCICIOS 2016, 2017 Y 2018 Cuadro 9:
Actuaciones de oficio realizadas por la AEPD
2016
2017
2018
Actuaciones de oficio con registro de entrada
5
1
1
- Correspondientes a planes de oficio
1
1
0
- Resto
4
0
1
Actuaciones de oficio pasadas directamente a procedimiento
27
17
29
- Correspondientes a planes de oficio
6
5
1
- Resto
21
12
28
Total
32
18
30
Investigaciones iniciadas de oficio
2016
2017
2018
Como consecuencia de planes de oficio
7
6
1
Resto de actuaciones de oficio
25
12
29
Total
32
18
30
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.28. Además de analizar las actuaciones iniciadas por la Agencia durante el periodo fiscalizado
(en virtud de denuncia o de oficio) se ha analizado la forma en la que se han ido terminando los
distintos procedimientos que tramita. Los expedientes y procedimientos concluidos en el periodo
fiscalizado no se corresponden con los iniciados durante el mismo ya que, por un lado, se han
concluido expedientes y procedimientos iniciados con anterioridad; y por otro, algunos de los
iniciados durante el mismo aún no habían concluido a su finalización. Los datos y análisis que se
ofrecen en los puntos siguientes se refieren a los expedientes y procedimientos terminados en el
Agencia Protección Datos, 2016-2017 51
periodo fiscalizado, con independencia del año en que se hubiesen iniciado. También hay que
tener en cuenta que un mismo procedimiento puede tener varios investigados y/o sancionados y,
en ocasiones, se ofrecen cifras de procedimientos y en otras de personas sancionadas o
investigadas. El cuadro 10 refleja los resultados de las actuaciones de investigación y los
procedimientos concluidos durante el periodo fiscalizado. Las cifras sobre su resolución se
refieren al número de procedimientos y los resultados se refieren a las entidades investigadas o
sancionadas. En las cifras de resolución de procedimientos sancionadores con resultado de
declaración de infracción con sanción económica se incluyen aquellos en los que se ejercitó la
opción de pago voluntario (implantado tras la entrada en vigor de la LPAC).
RESOLUCIÓN DE EXPEDIENTES DE INVESTIGACIÓN EN EL PERIODO FISCALIZADO Cuadro 10:
CON INDEPENDENCIA DEL AÑO EN QUE SE HUBIESE PRODUCIDO SU CREACIÓN
EI resueltos con independencia de la fecha de su creación
2016
2017
2018
EI archivados con fecha de resolución en el periodo fiscalizado
882
910
657
Resolución de procedimientos de apercibimiento
492
491
377
- Resultado archivo
311
293
228
- Resultado declaración de infracción con apercibimiento
181
200
151
Resolución de procedimientos sancionadores
572
731
434
- Resultado archivo (no sancionadora)
121
140
81
- Resultado declaración de infracción con sanción económica
479
613
369
Resolución de procedimientos de infracción de las AAPP
56
60
96
- Resultado archivo (declaración de no infracción)
13
17
11
- Resultado de declaración de infracción de las AAPP
44
45
86
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.29. La Agencia carece de un sistema que permita conocer de forma directa y sencilla la forma
de terminación de los procedimientos sancionadores en relación con cada uno de los
denunciados. No resulta posible consultar los procedimientos por investigado, utilizando el NIF de
cada uno de ellos, y de nuevo se han puesto de manifiesto las deficiencias en el fichero de
intervinientes señaladas en el punto 4.22. No obstante, la Agencia es consciente de estos
problemas y está intentando desarrollar un sistema que permita abrir y conocer los procedimientos
utilizando el NIF de cada investigado.
4.30. También en los procedimientos terminados existen incidencias sobre el correcto reflejo de
sus estados y fases en SIGRID y otros casos en los que no se recoge la información necesaria
para su adecuada gestión. Así, hay 75 EI de 2016, y 11 de 2017, en los que no se refleja la fecha
de asignación de los procedimientos a los investigadores (en 2018 todos tienen fecha de
asignación). En 2016, además de los que no registran la fecha de asignación, hay otros en los que
esta fecha es posterior a la de caducidad del procedimiento. En 2018, había treinta EI que ya
habían concluido y que SIGRID reflejaba en distintas situaciones no terminadas. Como se ha
razonado en otros puntos de este Informe (véanse los puntos 4.21 y 4.25) tampoco en este caso
se puede explicar esta incidencia por tratarse de resoluciones de expedientes de investigación
pendientes de notificar o de recibir el acuse de recibo de la notificación, ya que los datos fueron
obtenidos el 19 de marzo de 2019, y seis de estos EI que seguían abiertos en SIGRID eran del
primer semestre de 2018, y 24 del segundo semestre (solo dos de diciembre).
4.31. La normativa vigente durante el periodo fiscalizado preveía una fase de investigación previa
a la tramitación de los procedimientos de la Agencia. No obstante, en los casos más claros, en los
que no se consideraba necesaria, se instruyeron directamente los procedimientos sin esta fase de
investigación previa. Aunque SIGRID no ofrece de forma directa los procedimientos que se
realizaron sin actuaciones previas de investigación, se han obtenido los datos correspondientes,
que se incorporan al cuadro 11. Los procedimientos sancionadores sin investigación previa no
llegaron al 10% de todos los instruidos en el periodo fiscalizado y fueron, fundamentalmente, los
52 Tribunal de Cuentas
procedimientos de apercibimiento los que se tramitaron sin actuaciones previas (dos de cada tres
en el periodo fiscalizado).
TRAMITACIÓN DE ACTUACIONES PREVIAS EN LOS PROCEDIMIENTOS INICIADOS EN Cuadro 11: EL PERIODO FISCALIZADO
Procedimientos de Apercibimiento
2016
2017
2018
nº
%
nº
%
nº
%
Total de procedimientos
534
100%
474
100%
278
100%
- sin actuaciones previas de investigación
353
66%
285
60%
182
65%
- con actuaciones previas de investigación
181
34%
189
40%
96
35%
Procedimientos Sancionadores
2016
2017
2018
nº
%
nº
%
nº
%
Total de procedimientos
674
100%
619
100%
432
100%
- sin actuaciones previas de investigación
62
9%
56
9%
120
28%
- con actuaciones previas de investigación
612
91%
563
91%
312
72%
Procedimientos infracción de AAPP
2016
2017
2018
nº %
nº
%
nº
%
Total de procedimientos
70 100%
80
100%
62
100%
- sin actuaciones previas de investigación
14 20%
19
24%
17
27%
- con actuaciones previas de investigación
56 80%
61
76%
45
73%
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.32. A partir de la entrada en vigor del RUEPD se establece el traslado de las reclamaciones al
delegado, encargado o responsable de protección de datos, por un plazo máximo de tres meses.
Este trámite es una de las novedades más relevantes en la tramitación de los nuevos
procedimientos de reclamación, a partir de la entrada en vigor del RUEPD, y tiene por objeto tratar
de resolver la reclamación antes de la tramitación del procedimiento. No tiene consideración de
actuaciones previas pero se hace constar en el sistema como un antecedente del expediente que
se vaya a tramitar. Aunque SIGRID permite, indirectamente, conocer aquellas denuncias
trasladadas al delegado, encargado o responsable de protección de datos que han sido corregidas
en esta fase, este trámite aún no se ha incluido en SIGRID como una fase del procedimiento
distinta de la admisión a trámite, que permitiese tener constancia más clara de su realización y
resultado, pese a la importancia que al mismo se le atribuye en la tramitación de los nuevos
procedimientos tras la entrada en vigor del RUEPD.
IV.3. ANÁLISIS DE LOS TIEMPOS DE TRAMITACIÓN DE LOS PROCEDIMIENTOS
4.33. En los puntos siguientes de este Informe se recoge el análisis de los tiempos empleados por
la AEPD para la tramitación de sus procedimientos. El análisis se realiza desde la perspectiva del
cumplimiento de la normativa que los regula y la adecuación de los sistemas y procedimientos
empleados y de los resultados obtenidos. En concreto, han sido objeto de análisis:
Los tiempos transcurridos desde la entrada de una denuncia o reclamación hasta la
resolución de inadmisión (procedimientos IT) por la Directora de la AEPD.
Los tiempos transcurridos desde la entrada de una denuncia o reclamación hasta la
resolución de archivo (procedimientos AT) por la Directora de la AEPD.
Los tiempos de tramitación de las tutelas de derechos.
Los tiempos de tramitación de las actuaciones previas de investigación.
Los tiempos de instrucción de los procedimientos sancionadores (PS).
Los tiempos de notificación de las resoluciones sancionadoras.
4.34. Como ya se ha señalado (punto 4.23) la mayor parte de la denuncias y reclamaciones
presentadas ante la AEPD concluyeron mediante su inadmisión a trámite por resolución de la
Directora de la Agencia. Los tiempos transcurridos desde la presentación de la denuncia hasta la
Agencia Protección Datos, 2016-2017 53
resolución de inadmisión disminuyeron durante el periodo fiscalizado. El plazo medio de
inadmisión, en 2016, llegaba a 53 días; y se redujo a 18 días en 2017. La moda pasó de catorce
días en 2016 a solo siete en 2017. Es decir, la decisión de la Agencia sobre su competencia para
conocer sobre lo denunciado pasó de tomarse en casi ocho semanas, de media, en 2016, a
menos de tres en 2017; y lo que se repitió con más frecuencia fue que las denuncias se
inadmitieran en dos semanas, en 2016, y en una sola semana en 2017. En este periodo se fue
mejorando un catálogo de causas de inadmisión y centralizando la decisión en la Unidad de
Admisión, lo que puede explicar esta reducción de los tiempos. El cuadro 12 refleja los tiempos
transcurridos desde la entrada de una denuncia o reclamación hasta la resolución de inadmisión
de la misma, incluyendo los datos de 2018, que ya reflejan parcialmente la aplicación del nuevo
régimen de protección de datos (para los cálculos de 2018 se han eliminado 21 entradas de
diciembre de ese año que aún estaban en estado abierto y sin fecha de resolución por estar aún
tramitándose a la fecha de extracción de los datos).
TIEMPOS DE INADMISIÓN DE LAS DENUNCIAS Cuadro 12:
De entradas a resolución IT
2016
2017
2018
Nº de datos analizados
4.394
4.465
5.269
Promedio (días)
53
18
22
Moda (días)
14
7
8
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.35. El análisis de las inadmisiones para el cálculo de los tiempos de su tramitación puso de
manifiesto incidencias sobre el correcto reflejo de los datos en SIGRID. Se han encontrado
denuncias y reclamaciones que, aunque habían sido inadmitidas, no constaba en SIGRID su
fecha de resolución. Además, diez inadmisiones de 2016, otras diez de 2017 y siete de 2018
ofrecían cifras negativas de fechas de tramitación en la aplicación informática. Estas incidencias
ponen de manifiesto deficiencias en el control y seguimiento de la información contenida y
gestionada a través de SIGRID.
4.36. Los tiempos transcurridos desde la presentación de la denuncia hasta la resolución de
archivo de los procedimientos AT (admitidos a trámite y luego archivados por desistimiento, al no
subsanar los defectos o presentar la documentación exigida el denunciante) se mantuvieron
similares durante todo el periodo. El plazo medio hasta el archivo de estos expedientes, en 2016,
llegaba a 77 días; y en 2017 fue de 70 días. La moda fue de 67 días, en 2016, y 57 días en 2017.
Es decir, la resolución de archivo de este tipo de expedientes se adoptó, de media, entre diez y
once semanas después de la entrada de la denuncia; y lo más frecuente en este tipo de
procedimientos se acercó a estos plazos medios, en torno a las diez semanas desde la entrada de
la denuncia hasta el archivo. Los datos también se mantuvieron similares para estos
procedimientos en 2018, tras la entrada en vigor del nuevo régimen de protección de datos (para
los cálculos de 2018 se han eliminado 1.366 entradas de octubre, noviembre y diciembre de ese
año que aún estaban en estado abierto y sin fecha de resolución por estar aún tramitándose a la
fecha de extracción de los datos). El cuadro 13 detalla los datos aludidos anteriormente.
TIEMPOS DE ARCHIVO DE LAS DENUNCIAS
Cuadro 13:
De entradas a resolución archivo de AT
2016
2017
2018
Nº de datos analizados
1.106
1.189
2.616
Promedio (días)
77
70
82
Moda (días)
67
57
62
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.37. El análisis de los tiempos de tramitación de las reclamaciones de tutelas de derechos de
acceso, rectificación, oposición y cancelación de datos protegidos muestra que el plazo medio en
54 Tribunal de Cuentas
el que se resolvieron disminuyó durante el periodo fiscalizado (fue de 119, 93 y 70 días en 2016,
2017 y 2018, respectivamente). Las cifras son muy discrepantes en relación con la moda. Esto se
debió a las grandes diferencias en los tiempos de tramitación de estos procedimientos según que
la resolución fuera estimatoria o desestimatoria de la tutela de derechos reclamada. El plazo más
repetido para la resolución estimatoria de estos procedimientos de tutela de derechos fue 161 días
(tanto en 2016 como en 2017), mientras que las desestimaciones tardaron una semana (también
en los dos años fiscalizados). En 2016 fueron más frecuentes los procedimientos con resoluciones
estimatorias y en 2017 las desestimatorias, motivo por el que existe una diferencia tan relevante
en la moda en los datos globales. El cuadro 14 refleja los tiempos de tramitación de estos
procedimientos, distinguiendo entre los que concluyeron en estimación o desestimación para
explicar mejor las cifras globales. Los datos de 2018 ya reflejan la entrada en vigor del nuevo
régimen de protección de datos, en el que las tutelas de derechos ya no se tramitan de forma
separada a las demás reclamaciones.
TIEMPOS DE RESOLUCIÓN DE TUTELAS DE DERECHOS Cuadro 14:
TOTAL DE RESOLUCIONES
2016
2017
2018
Nº de datos analizados
2.575
2.617
1.141
Promedio (días)
119
93
70
Moda (días)
161
7
7
RESOLUCIONES ESTIMATORIAS
Nº de datos analizados
837
728
342
Promedio (días)
163
149
127
Moda (días)
161
161
139
RESOLUCIONES DESESTIMATORIAS
Nº de datos analizados
1.738
1.889
799
Promedio (días)
97
71
45
Moda (días)
7
7
7
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.38. La relevancia del análisis de los tiempos reflejados en el cuadro 14 deriva de que la
normativa que regulaba este tipo de procedimientos establecía un plazo máximo, de seis meses,
para dictar la resolución expresa de tutela de derechos. Transcurrido este plazo, las tutelas se
entenderían estimadas por silencio administrativo positivo. Un bloque muy relevante (en torno a la
mitad) de las reclamaciones de tutela de derechos se inadmitieron de acuerdo con los distintos
modelos de inadmisión utilizados por la Agencia. En estos casos, los tiempos de conclusión fueron
breves (normalmente una semana, los siete días de moda que refleja el cuadro 14). Sin embargo,
los procedimientos que se tramitaron y concluyeron con una resolución estimatoria o
desestimatoria se aproximaron mucho al plazo máximo de seis meses previstos para que opere el
silencio administrativo (la moda de 161 días que refleja el cuadro 14). Los expedientes analizados
han puesto de manifiesto que se produjeron dilaciones relevantes en la asignación de las
reclamaciones a los tuteladores (en ocasiones hasta dos meses), mientras que los tiempos de
resolución de los expedientes por los tuteladores asignados solían situarse en torno a los tres
meses.
4.39. En relación con los tiempos de tramitación de los PS, el tiempo medio transcurrido desde la
entrada de una denuncia o reclamación, hasta la firma por la Directora de la AEPD de la
resolución de terminación del procedimiento pasó de 294 días, en 2016; a 260, en 2017; y 157, en
2018. La moda ha sido más elevada que la media en todos los ejercicios, de manera que la
duración más frecuente de un PS ha sido aún más elevada en el periodo fiscalizado. El cuadro 15
refleja los tiempos de tramitación de los PS en el periodo fiscalizado.
Agencia Protección Datos, 2016-2017 55
TIEMPOS DE TRAMITACIÓN DE LOS PROCEDIMIENTOS SANCIONADORES
Cuadro 15:
De entrada a resolución de PS
2016
2017
2018
Nº de datos analizados
61
106
67
Promedio (días)
294
260
157
Moda (días)
427
267
210
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.40. La relevancia del análisis de los tiempos de tramitación de los PS deriva de la existencia de
dos plazos de caducidad previstos en su tramitación. Como ya se ha señalado, la normativa
vigente durante el periodo fiscalizado establecía la posibilidad de realizar unas actuaciones
investigadoras previas a la instrucción del PS. El plazo máximo previsto para la realización de
estas actuaciones investigadoras era de doce meses, a partir del cual se produciría la caducidad
del procedimiento. Concluidas estas actuaciones previas, si a la vista de las investigaciones
realizadas, o sin haberlas realizado, se acordaba instruir un PS, el plazo máximo previsto para su
instrucción era de seis meses, transcurridos los cuales también se produciría la caducidad del
procedimiento. Los tiempos de instrucción de muchos PS se acercan al plazo de caducidad y, de
hecho, una parte importante de la deuda litigiosa de la Agencia deriva de esta circunstancia
(véase el punto 4.76). En los puntos siguientes se van a analizar los tiempos de duración de
algunos trámites internos de los PS que dilatan en mayor medida su duración.
4.41. Ofreció menos problemas el cumplimiento del plazo legal de doce meses para la tramitación
de las actuaciones investigadoras, desde la entrada de la denuncia o reclamación hasta la
aprobación del informe de actuaciones previas. Los tiempos de tramitación de estas actuaciones
han disminuido significativamente en el periodo fiscalizado, pasando de una media de 289 días,
en 2016, a 204 días en 2017. Resulta significativo el análisis de la moda, ya que el plazo más
frecuente para la realización de estas investigaciones, en 2016, fue de 357 días (muy cerca de la
caducidad), mientras que en 2017 fue de 141 días.
4.42. Hay que aclarar que una parte importante de la duración de las actuaciones previas de
investigación no fue provocada por el trabajo de los inspectores, sino por la demora en la
asignación a los mismos de los procedimientos. No obstante, estos plazos de asignación
disminuyeron significativamente a lo largo del periodo fiscalizado, lo que fue una de las causas
principales de la disminución de los plazos de tramitación de las actuaciones previas señalada en
el punto anterior. La moda en los años analizados, lo más frecuente en cada uno de ellos, fue que
el procedimiento se asignase al inspector el mismo día de su creación; sin embargo, ha habido un
número significativo de procedimientos en los que este tiempo de asignación se ha dilatado
mucho, incrementando los plazos medios de asignación a un inspector hasta 95 días, en 2016, y
51 días en 2017. El cuadro 16 detalla los plazos analizados en este punto.
TIEMPOS DESDE LA CREACIÓN DE UN EXPEDIENTE DE INVESTIGACIÓN HASTA LA Cuadro 16: ASIGNACIÓN AL INSPECTOR DEL MISMO
De creación a asignación EI
2016
2017
2018
Nº de datos analizados
1.560
1.251
954
Promedio (días)
95
51
14
Moda (días)
0
0
0
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.43. Como se ha señalado en el punto 4.40, concluidas las actuaciones previas, si a la vista de
las investigaciones realizadas se procedía la apertura de un PS (o sin haberlas realizado en los
PS abiertos sin actuaciones previas), el plazo máximo previsto para la instrucción del
procedimiento era de seis meses, transcurridos los cuales se producía su caducidad. El
cumplimiento de este plazo legal ha ofrecido más problemas durante el periodo fiscalizado. Los
56 Tribunal de Cuentas
plazos medios de tramitación se han acercado mucho al plazo de caducidad y, en 2016, la
terminación más frecuente ha excedido ese plazo (moda de 182 días). El cuadro 17 refleja los
tiempos transcurridos desde la creación de un PS hasta la firma de la resolución de terminación
del procedimiento por la Directora de la AEPD. Además, para valorar el riesgo de caducidad de los
procedimientos, a estos tiempos aún habría que añadir los que transcurran desde la resolución de
terminación hasta su notificación a los sancionados, que se analizarán en el siguiente punto 4.48 y
se reflejarán en el cuadro 19.
TIEMPOS DE INSTRUCCIÓN DE UN PROCEDIMIENTO SANCIONADOR Cuadro 17:
De creación a resolución de un procedimiento sancionador
2016
2017
2018
Nº de datos analizados
612
573
274
Promedio (días)
167
124
101
Moda (días)
182
42
49
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.44. El análisis más detallado de la instrucción de los PS obliga a distinguir distintas fases en su
tramitación para identificar aquellas en las que se producen posibles debilidades y dilaciones. La
primera dilación relevante se produce en la asignación de cada procedimiento a un instructor. Los
tiempos medios transcurridos desde el despacho del expediente de investigación del inspector con
el coordinador (la terminación de las actuaciones previas) hasta la asignación del PS que se ha
abierto tras estas actuaciones a un instructor fue de 68 días, en 2016, y 25 días en 2017. La
demora en la asignación a un instructor superó los dos meses en muchos procedimientos (incluso
la media en 2016) lo que aumenta en gran medida el riesgo de caducidad de estos
procedimientos. El tiempo más frecuente de asignación de instructor (la moda) fue de apenas dos
días, en 2016, y uno en 2017 (véase el cuadro 18).
4.45. También se han detectado dilaciones relevantes en los tiempos medios transcurridos desde
la asignación de instructor de cada PS hasta la firma del acuerdo de inicio del procedimiento por la
Directora de la AEPD. En este caso los plazos medios se han ido dilatando hasta llegar a un mes
en 2017 (la moda quedó en dos semanas). El plazo ha aumentado tras la entrada en vigor de la
LPAC, que introdujo la posibilidad de reconocimiento de la responsabilidad y pago voluntario de la
sanción por el infractor, lo que obliga a identificar y concretar mucho más las infracciones, los
importes de las sanciones y los posibles responsables en el acuerdo de inicio. Los tiempos de
duración de este trámite se reflejan en el cuadro 18.
4.46. Estas dilaciones en la asignación de instructor y en la adopción del acuerdo de inicio hacen
que los tiempos para la instrucción de los PS se reduzcan significativamente para evitar su
caducidad. El plazo medio transcurrido desde la firma del acuerdo de inicio por la Directora de la
Agencia hasta la firma de la propuesta de resolución del procedimiento (la instrucción propiamente
dicha) duró entre tres y cuatro meses durante el periodo fiscalizado (estos plazos también figuran
en el cuadro 18).
4.47. Desde la propuesta de resolución hasta la firma de la resolución sancionadora se ha
observado que aún transcurre un tiempo medio relevante (entre un mes y un mes y medio),
aunque difícil de reducir ya que en esta fase de nuevo hay que dar audiencia al sancionado. Estos
tiempos también se han incorporado al cuadro 18. El cuadro permite apreciar que ya se ha
producido y se debe mantener una reducción en los tiempos de asignación de instructor y en la
instrucción misma, desde el acuerdo de inicio hasta la propuesta de resolución.
4.48. Hay que tener en cuenta que a estos tiempos de tramitación aún hay que añadir los tiempos
de notificación de las resoluciones. Los tiempos transcurridos desde la firma de la resolución por
la Directora de los PS hasta el acuse de recibo de su notificación se han ido reduciendo en el
periodo fiscalizado, y mejorado mucho a partir de la implantación de las notificaciones electrónicas
(en 2018 la moda es de un día). El cuadro 19 refleja los tiempos de notificación de las
resoluciones sancionadoras en el periodo fiscalizado. La consideración de estos tiempos,
Agencia Protección Datos, 2016-2017 57
incluyendo las notificaciones, pone de manifiesto que, en 2016, la media de los tiempos de
instrucción de los PS superaba el plazo de caducidad; en 2017, aunque estos tiempos medios
globales han disminuido hasta 150 días, se detectaron 127 PS resueltos en este ejercicio (el 23%
de los 541 analizados) que habían excedido el tiempo de instrucción de 180 días.
TIEMPOS DE TRAMITACIÓN DE LAS DISTINTAS FASES DE INSTRUCCIÓN DE UN Cuadro 18: PROCEDIMIENTO SANCIONADOR
Tiempos desde la apertura a la asignación de instructor a un PS
2016
2017
2018
Nº de datos analizados
477
445
97
Promedio (días)
68
25
21
Moda (días)
2
1
1
Tiempos desde la asignación de instructor hasta la firma del acuerdo de inicio de un PS
Nº de datos analizados
547
524
193
Promedio (días)
22
30
22
Moda (días)
8
13
14
Tiempos desde la firma del acuerdo de inicio hasta la propuesta de resolución de un PS
Nº de datos analizados
353
178
50
Promedio (días)
116
93
72
Moda (días)
127
126
50
Tiempos desde la propuesta de resolución hasta la firma de la resolución de un PS
Nº de datos analizados
353
178
50
Promedio (días)
47
43
34
Moda (días)
35
26
29
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
Tiempos de notificación de las resoluciones sancionadoras Cuadro 19:
De firma de la resolución a notificación del PS
2016
2017
2018
Nº de datos analizados
602
541
198
Promedio (días)
13
8
6
Moda (días)
6
5
1
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
IV.4. ANÁLISIS DE LA GESTIÓN Y COBRO DE LAS SANCIONES IMPUESTAS
4.49. En este subapartado del Informe se recogen los resultados del análisis de la gestión y el
cobro de las sanciones impuestas por la AEPD en el periodo fiscalizado. El análisis se realiza
desde la perspectiva del cumplimiento de la normativa que las regula y la valoración de la
adecuación de los sistemas y procedimientos empleados y de los resultados obtenidos. En
concreto, han sido objeto de análisis:
Los reconocimientos de derechos de cobro a que dieron lugar los PS y la aplicación del
cambio de criterio contable sobre el momento del reconocimiento.
Los efectos de la aplicación del nuevo sistema de pago voluntario con descuento tras la
entrada en vigor de la LPAC.
La tramitación de aplazamientos y fraccionamientos de deudas.
Los datos sobre el cobro de las sanciones.
Los cobros en periodo ejecutivo y las relaciones de la AEPD con la AEAT.
La deuda litigiosa.
58 Tribunal de Cuentas
4.50. En el año 2016, 656 PS tramitados por la AEPD dieron lugar al reconocimiento de derechos
de cobro; en 2017 fueron 731 PS. El importe total de los derechos reconocidos en 2016 ascendió
a 19.700,6 miles de euros, y en 2017 a 27.939,4 miles de euros. Sin embargo, ni el número de
procedimientos ni los importes son totalmente homogéneos, ya que una parte del incremento de
las cifras de 2017 deriva del cambio de criterio contable sobre el momento de reconocer los
derechos de cobro. A partir de la entrada en vigor de la LPAC (2 de octubre de 2016), y para
aplicar el nuevo régimen de posible reconocimiento de su responsabilidad por el sancionado y
pago voluntario con descuento, la AEPD pasó a reconocer los derechos de cobro con el acuerdo
de inicio de cada PS incumpliendo la normativa aplicable (véanse los puntos 2.24 a 2.27 de este
Informe). Por lo tanto, en 2016, la mayoría de los reconocimientos de derechos se hicieron con la
resolución sancionadora del procedimiento (521 PS) y, a partir de la entrada en vigor de la LPAC,
con el acuerdo de inicio (135 PS). Sin embargo, en 2017 ya se hicieron los reconocimientos con el
acuerdo de inicio (625 PS), aunque en 106 PS en 2017 (principalmente los resueltos ese año pero
iniciados antes del 2 de octubre de 2016, en los que no se habían reconocido los derechos con el
acuerdo de inicio) se reconocieron los derechos con la resolución sancionadora. Los PS que
dieron lugar a reconocimiento de los derechos de cobro de la Agencia, junto a su importe, y el
momento del reconocimiento, se reflejan en el cuadro 20.
IMPORTE Y MOMENTO DEL RECONOCIMIENTO DE LOS DERECHOS DE COBRO COMO Cuadro 20:
CONSECUENCIA DE LOS PROCEDIMIENTOS SANCIONADORES TRAMITADOS POR LA AEPD
Derechos de cobro reconocidos por PS de la AEPD
2016
2017
Nº Procedimientos en los que se reconocen derechos de cobro por sanciones
656
731
-Tras la notificación del acuerdo de inicio
135
625
-Tras la notificación de la resolución sancionadora
521
106
Importe de derechos de cobro reconocidos de sanciones
19.679.482,00
27.864.363,00
- Tras la notificación del acuerdo de inicio
5.091.203,00
23.893.257,00
- Tras la notificación de la resolución sancionadora
14.588.279,00
3.971.106,00
Importe de derechos reconocidos por vencimiento de aplazamientos
21.148,90
75.039,32
Total Derechos Reconocidos (subconcepto presupuestario 39102)
19.700.630,90
27.939.402,32
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
4.51. No se aplicó el cambio de criterio contable sobre el momento de reconocer los derechos de
cobro de manera general y uniforme, sino que hubo diversas fechas de aplicación según cada PS.
contabilizar el reconocimiento del derecho de cobro tras el acuerdo de inicio de cada PS, ya había
un procedimiento sancionador (PS 390/16) que se contabilizó con el acuerdo de inicio antes de la
entrada en vigor la citada ley. Y a la inversa, en 2017, 26 de los 106 PS en los que se
contabilizaron los derechos de cobro tras la resolución sancionadora tenían fecha de notificación
del acuerdo de inicio posterior a la entrada en vigor de la LPAC. Por lo tanto, no se aplicó el
cambio de criterio contable de manera general y uniforme.
4.52. Tampoco se adoptó un criterio definido para contabilizar las correcciones de las
liquidaciones por las posibles diferencias entre los importes previstos en los acuerdos de inicio de
los procedimientos y las cuantías definitivas de las sanciones recogidas en las resoluciones
sancionadoras. En general, si la resolución sancionadora contenía una sanción inferior o superior
a la prevista en el acuerdo de inicio, se realizaba una anulación por la diferencia, aunque el criterio
contable más correcto para reflejar la ejecución presupuestaria habría sido anular el
reconocimiento de derechos inicial y hacer uno nuevo conforme a la resolución sancionadora.
Estos casos de anulaciones de liquidaciones en lugar de correcciones con el asiento de origen
(adaptado el reconocimiento a presupuestos cerrados) se produjeron tanto con signo positivo,
Agencia Protección Datos, 2016-2017 59
para aumentar, como negativo, para corregir a la baja los derechos reconocidos (PS/047/16,
PS/353/17 y PS/373/17).
4.53. Desde la entrada en vigor de la LPAC y la introducción de los cambios en la gestión y
contabilización de las sanciones, hasta abril de 2017, no existía una correlación entre SIGRID y
SIC para la contabilización del reconocimiento de los derechos en el momento de la firma del
acuerdo de inicio del procedimiento. Estos reconocimientos de derechos se contabilizaban en SIC
de forma manual (desde la SGID se mandaba un correo al jefe de la oficina presupuestaria con los
acuerdos de inicio y este los contabilizaba manualmente), mientras que en el módulo de
sanciones de SIGRID no se podía realizar el reconocimiento del derecho en ese momento y se
seguían reconociendo con la resolución sancionadora. Esta circunstancia provocó deficiencias y
falta de integridad y fiabilidad de los datos, así como duplicidades en el reconocimiento de
derechos y defectos en las anulaciones por estas diferencias temporales de imputación (véase el
punto 2.21 y el cuadro 3).
4.54. Los errores detectados en los reconocimientos de derechos fueron, en primer lugar, la
existencia de derechos reconocidos por sanciones que se encontraban duplicados al final de los
ejercicios fiscalizados. Este error se produjo en dos PS. Uno de ellos (PS/047/16) dio lugar al
reconocimiento de derechos por duplicado en 2016, y se mantuvieron duplicados a 31 de
diciembre de 2016, de 2017 y de 2018 por 60,0 miles de euros. Otro PS (PS/074/17) dio lugar al
reconocimiento de derechos por duplicado en 2017, por 20,0 miles de euros, que se mantenían
duplicados a 31 de diciembre de 2017 y de 2018. En ambos casos, el 31 de mayo de 2019, tras
detectar el equipo fiscalizador estos errores, la AEPD procedió a anularlos (aunque debió
corregirlos contablemente como errores). Por lo tanto, desde la entrada en vigor del nuevo
sistema de pago voluntario previsto en la LPAC hubo duplicidades por reconocerse el derecho con
el acuerdo de inicio y de nuevo, erróneamente, con la resolución. Incluso, como se analizará más
adelante, hubo supuestos en los que, a pesar de haberse efectuado el pago anticipado, continuó
tramitándose el procedimiento y se dictó resolución sancionadora (véase el punto 4.76).
4.55. En segundo lugar, se detectaron errores consistentes en la existencia de derechos
reconocidos contabilizados con excesos o defectos en sus cuantías al final de los ejercicios
fiscalizados. Este error se produjo en tres PS. Uno de ellos (PS/455/16) dio lugar a un exceso en
el reconocimiento de derechos, en 2016, por un importe de 40,0 miles de euros, que se mantuvo a
31 de diciembre de 2016 y 2017. La AEPD anuló este exceso en junio de 2018, como una
anulación de liquidaciones en lugar de una corrección de errores. Otro PS (PS/575/16) presentaba
un defecto en la cuantía de los derechos reconocidos de cobro de 2,8 miles de euros, el 31 de
diciembre de 2016; estaba correctamente contabilizada el 31 de diciembre de 2017; y presentaba
un exceso en la cuantía de los derechos reconocidos de 2,0 miles de euros, el 31 de diciembre de
2018. Un tercer procedimiento (PS/301/17) dio lugar a un exceso en el reconocimiento de
derechos, a 31 de diciembre de 2017, por un importe de 360,0 miles de euros que se anuló en
2018. Los errores señalados en este punto y en el anterior se tratan en los puntos 2.5 y 2.21 y se
reflejan en el cuadro 3 de este Informe.
4.56. En tercer lugar, se detectaron otros derechos de cobro reconocidos varias veces o por
importes inferiores o superiores a los señalados en los acuerdos de inicio o de resolución de los
PS, pero estos casos no dieron lugar a salvedades sobre la representatividad de las cuentas, ya
que fueron corregidos o anulados en el mismo ejercicio y no tuvieron efectos en los saldos de
derechos reconocidos a su cierre (lo que se produjo, al menos, en nueve procedimientos: los PS
144/17, 268/17, 353/17, 373/17, 450/17, 471/17, 508/17, 518/16, 566/16).
4.57. La aplicación del nuevo sistema que posibilitaba el pago anticipado con descuento de las
sanciones, reconociendo su responsabilidad el infractor, que se introdujo tras la entrada en vigor
de la LPAC a partir de 2 de octubre de 2016, produjo efectos relevantes desde su misma
implantación. En 2016, los infractores se acogieron a esta posibilidad de pago anticipado en 98
procedimientos, pero hay que tener en cuenta que el sistema únicamente se aplicó en el último
60 Tribunal de Cuentas
trimestre del año y solo fueron 135 los procedimientos en los que se reconocieron derechos de
cobro con el acuerdo de inicio y se ofreció la posibilidad de ejercer esta opción (véase el punto
4.50 y el cuadro 20). El importe de los derechos reconocidos en estos 98 procedimientos ascendía
a 3.677,7 miles de euros. En 2017 los infractores se acogieron a esta posibilidad de pago
anticipado en 393 procedimientos, de los 625 en los que se reconocieron derechos de cobro con
el acuerdo de inicio. El importe de los derechos reconocidos en estos 393 procedimientos
ascendía a 14.673,3 miles de euros. Por lo tanto, casi en dos de cada tres procedimientos en los
que se ofreció la posibilidad de pago anticipado con descuento, los sancionados se acogieron a
ella tras la implantación de esta medida.
4.58. Los acuerdos de inicio de los PS en los que se hizo uso de la posibilidad de pago voluntario
concedían una reducción del 20% sobre la cuantía de la sanción por el reconocimiento de la
responsabilidad dentro del mes siguiente a su notificación (plazo para formular alegaciones), y
otra reducción del 20% por el pago voluntario de la sanción propuesta, ambas reducciones
compatibles entre sí (véanse los puntos 3.15 y 3.16). En 2016 el importe efectivamente cobrado
por anticipado haciendo uso de este sistema ascendió a 903,8 miles de euros. En 2017 esta
posibilidad de pago ya estuvo vigente durante todo el año y el importe efectivamente cobrado por
anticipado haciendo uso de este sistema ascendió a 5.582,1 miles de euros, superando ya el
importe de los ingresos por sanciones en periodo voluntario tras la resolución del procedimiento y
poniendo de manifiesto los buenos resultados de la aplicación de esta novedad legislativa.
4.59. La AEPD aplica la normativa tributaria a la tramitación de aplazamientos y fraccionamientos
de deudas. Los aplazamientos tienen por objeto la extinción de la obligación en un solo pago pero
en un momento posterior. Las solicitudes de aplazamientos realizadas fueron una, en 2016, y
nueve en 2017. De estas solicitudes se estimaron dos, en 2017, y se desestimaron una, en 2016,
y cuatro, en 2017. Hay que tener en cuenta que parte de las solicitudes realizadas en el periodo
fiscalizado no se resolvieron en el mismo, y también que en el periodo se resolvieron solicitudes
presentadas con anterioridad. Las resoluciones sobre solicitudes de aplazamiento en los ejercicios
fiscalizados, independientemente del año en que se solicitaron, fueron únicamente la
desestimación de dos aplazamientos en 2016 (que sumaban 171,6 miles de euros) y cuatro en
2017 (que ascendían a 106,5 miles de euros); y la estimación de dos solicitudes de aplazamiento
en 2017 (que sumaban 130,0 miles de euros).
4.60. Los dos aplazamientos estimados en 2017 se solicitaron por la misma entidad y la AEPD
estimó los aplazamientos sin necesidad de aval, considerando la difícil situación económico-
financiera del sancionado. Sin embargo, las solicitudes de aplazamiento se resolvieron el 13 de
diciembre de 2017, con posterioridad a que el deudor ya hubiese ingresado el importe de las
sanciones (lo hizo el 23 de noviembre de 2017), lo que pone de manifiesto deficiencias de control
por parte de la AEPD en la gestión de los PS, ya que se llegaron a notificar estos aplazamientos al
sancionado después de que ya hubiese realizado el pago3.
4.61. Los fraccionamientos tienen por objeto la extinción de la obligación mediante varios pagos
diferidos en el tiempo. En 2016 se solicitaron nueve fraccionamientos, de los que se estimaron
seis y se desestimaron dos (el restante se resolvió estimatoriamente en enero de 2017); y en 2017
se solicitaron ocho de los que se estimaron dos y se desestimaron otros dos (los otros cuatro se
cancelaron sin llegar a resolución). El cuadro 21 refleja los datos sobre el número de
procedimientos e importes de los fraccionamientos concedidos y desestimados en los ejercicios
2016 y 2017, independientemente del año de solicitud.
3 Aunque la AEPD señala en sus alegaciones que la incongruencia de las fechas no se debió a deficiencias de control
en la gestión de los PS, e xistió una deficiencia de control en la gestión de las resoluciones y notificaciones de estos
aplazamientos, ya que se comunicó su concesión con fecha posterior al pago de la sanción, momento en el que ya no
es posible el aplazamiento que se comunica.
Agencia Protección Datos, 2016-2017 61
RESOLUCIÓN DE SOLICITUDES DE FRACCIONAMIENTO EN LOS EJERCICIOS 2016 Y
Cuadro 21: 2017
Fraccionamientos
2016
2017
nº
Importe sanción
Importe solicitado
nº
Importe sanción
Importe solicitado
Estimados
9
350.507,06
243.601,60
3
54.000,00
54.000,00
Desestimados
4
54.001,00
54.001,00
2
320.001,00
320.001,00
Total
13
404.508,06
297.602,60
5
374.001,00
374.001,00
Fuente: Elaboración propia del Tribunal de Cuentas a partir de consultas en SIGRID y datos entregados por la AEPD.
Fecha: 23/05/2019.
4.62. La normativa tributaria aplicable a estos procedimientos prevé que si se incumple el pago de
alguna de las fracciones se consideren vencidas el resto de las pendientes, debiendo iniciarse el
procedimiento de apremio respecto de toda la deuda fraccionada. En la AEPD hubo
fraccionamientos en los que se ha incumplido el pago de alguna de las cuotas vencidas y no se
apremió la deuda pendiente, ni se canceló el fraccionamiento concedido (PS/490/15, PS/643/15,
PS/168/16). En estos procedimientos la AEPD llegó a apremiar algunas cuotas vencidas sin
ingreso, pero no la deuda total, y mantuvo la vigencia del fraccionamiento. Solo uno de los
fraccionamientos concedidos en el periodo fiscalizado, que se empezó a incumplir y se dejó de
ingresar desde la segunda cuota, dio lugar al apremio de toda la deuda y la cancelación del
fraccionamiento.
4.63. La aplicación informática que utiliza la Agencia para la gestión de los PS (SIGRID) no
reflejaba con exactitud, en cada uno de los procedimientos, las cuotas ingresadas de los
fraccionamientos y las pendientes de cobro, poniendo de nuevo de manifiesto que la aplicación no
siempre refleja la situación real de los procedimientos (véanse los puntos 4.23, 4.27 y 4.32 de este
Informe). Uno de los fraccionamientos solicitados fue estimado sin exigir aval sin que el acuerdo
de concesión indicara los motivos, aunque el importe de la deuda excedía 30,0 miles de euros,
que es la cuantía prevista en la normativa tributaria para su exigencia; no obstante, en el momento
del examen de este expediente el deudor estaba cumpliendo el calendario de pagos previsto. Por
último, una de las solicitudes desestimadas en 2017 se contabilizó por error como estimada,
dando lugar a la anulación de los derechos reconocidos de las cuotas que no vencían en el
ejercicio (por importe de 296,4 miles de euros) y al reconocimiento de los deudores
extrapresupuestarios correspondientes (véanse los puntos 2.6 y 2.22).
4.64. El cobro de las sanciones se produjo en el momento del pago anticipado con descuento
(véanse los puntos 4.57 y 4.58), o tras la notificación de la resolución sancionadora. Tras la
notificación de esta resolución se abre un periodo voluntario de pago durante el cual el sancionado
puede extinguir su deuda mediante el ingreso del importe de la sanción en la cuenta señalada al
efecto por la AEPD. Esta forma de pago en periodo voluntario de las sanciones tras la notificación
de la resolución sancionadora se realizó en 304 PS, por importe de 8.184,4 miles de euros, en
2016; y en 136 PS, por importe de 5.303,4 miles de euros, en 2017. La disminución de las cifras
de 2017 se debió a que en este ejercicio ya estaba plenamente vigente la posibilidad de pago
voluntario de las sanciones tras el acuerdo de inicio del PS y este sistema ya se utilizó en 393
procedimientos que ya no llegaron a resolución sancionadora (véase el punto 4.57).
4.65. Transcurrido el plazo de pago voluntario sin haberse realizado el ingreso se abre la vía
ejecutiva para el cobro de las deudas. En 2016, los cobros de deudas por sanciones de la AEPD
en periodo ejecutivo ascendieron a 2.657,1 miles de euros, en 164 PS; en 2017, a 3.484,5 miles
de euros en 137 PS. Los cobros en periodo ejecutivo se han realizado por la propia AEPD, antes
de que se traslade la gestión de cobro de la sanción a la AEAT o, posteriormente, por la AEAT por
cuenta de la AEPD en virtud del convenio suscrito entre ambas Agencias. En las deudas cobradas
por la propia Agencia en periodo ejecutivo la AEPD ha liquidado, en todos los casos, el recargo de
apremio reducido (5%) exigible a las mismas (corrigiendo la práctica indebida señalada en
62 Tribunal de Cuentas
Informes anteriores de este Tribunal, como se expondrá en el punto 5.3). La incidencia más
destacable en relación con estas deudas fue la antigüedad de los deudores remitidos a la AEAT y
la falta de periodicidad de los envíos de listados de deudores. En algunos casos las deudas se
remitieron a la AEAT para su cobro transcurridos dos meses desde su vencimiento, pero en otros
la remisión se demoró hasta más de ocho meses (véase el punto 4.69), lo que pone de manifiesto
una falta de control de la gestión de cobro y una desigualdad en el tratamiento a los sancionados.
4.66. El cobro de las sanciones en periodo ejecutivo por la AEAT por cuenta de la AEPD se hizo
en virtud del convenio suscrito entre ambas Agencias el 26 de febrero de 2009. En el ejercicio
2016, el total de deudas con la AEPD enviadas para su recaudación con el visto bueno de la
AEAT ascendió a 223, por un importe a recaudar de 3.495,3 miles de euros, al que hay que sumar
el importe total apremiado por esas deudas que ascendió a 767,3 miles de euros. El importe
recaudado en la AEAT por cuenta de la AEPD ascendió a 1.151,2 miles de euros (en esta cuantía
se incluye el importe de los apremios, del principal de las sanciones cobradas y los intereses de
demora). El importe neto ingresado en la cuenta de la AEPD, ese año, fue de 1.040,1 miles de
euros, tras detraer las devoluciones practicadas y el coste del servicio que cobra la AEAT por su
gestión. Además de la cancelación de deuda por haber sido ingresada, la AEAT ha cancelado otra
deuda de la AEPD sin ingreso, por anulaciones, prescripciones e insolvencias, por importe de
1.051,6 miles de euros (364,8 miles de euros por anulaciones, 66,9 miles de euros por
prescripción, 67,5 miles de euros por reducción de los apremios, y 552,4 miles de euros por
insolvencias). En 2016, el exceso de las deudas enviadas para su recaudación a la AEAT
respecto a las canceladas por la misma (con o sin ingreso) supuso un incremento de las deudas
con la AEPD gestionadas por la AEAT de 2.059,8 miles de euros.
4.67. En 2017 el total de deudas con la AEPD enviadas para su recaudación a la AEAT y con el
visto bueno de esta fue de solo 87 (véase el punto 4.72, solo cinco envíos muy distanciados y
únicamente por deudas vencidas hasta el 21 de abril de 2017). El importe a recaudar era de
1.470,7 miles de euros, al que hay que sumar el importe total apremiado por esas deudas que
ascendió a 344,2 miles de euros. El importe recaudado en la AEAT en 2017 por cuenta de la
AEPD ascendió a 1.410,3 miles de euros (apremio, principal e intereses de demora por toda la
deuda que gestionaba, también de ejercicios anteriores) y el importe neto ingresado en la cuenta
de la AEPD ese año fue de 1.256,2 miles de euros (después de las devoluciones y el coste del
servicio). La deuda cancelada sin ingreso, por anulaciones, prescripciones e insolvencias,
ascendió a 1.600,7 miles de euros (227,1 miles de euros por anulaciones, 133,1 miles de euros
por prescripción, 69,3 miles de euros por reducción de los apremios y 1.171,2 miles de euros por
insolvencias). Por lo tanto, en 2017, la deuda con la AEPD gestionada por la AEAT se redujo en
1.196,1 miles de euros.
4.68. En virtud del convenio suscrito con la AEAT, la AEPD debe remitir periódicamente listados
de deudas que no han sido abonadas por los sancionados para que la AEAT gestione el cobro de
estas sanciones de acuerdo con la normativa que rige el pago de las deudas tributarias. El
convenio establece que la AEPD debe remitir, como máximo una vez al mes, un fichero que
contenga los deudores apremiables al Departamento de Recaudación de la AEAT. Durante el
periodo fiscalizado estas remisiones no se hicieron de manera periódica y, además, se ha ido
incrementando la antigüedad de los datos de los deudores a los que se refieren los listados
remitidos.
4.69. En el ejercicio 2016 se realizaron seis envíos con listados de deudores a la AEAT, con una
periodicidad aproximada de dos meses, y referidos a los deudores apremiables (en ejecutiva) que
figuraban en las aplicaciones de la Agencia en torno a dos meses antes. En el ejercicio 2017, sin
embargo, se realizaron cinco envíos de listados de deudores a la AEAT y de manera más
irregular. El primer listado de este ejercicio se envió el 3 de mayo de 2017, y se refería a deudores
que figuraban en las aplicaciones SIGRID y SIC de la AEPD el 21 de diciembre de 2016 (cuatro
meses antes). Los siguientes envíos se firmaron por la Directora de la Agencia los días 26 de
junio, 13 de julio, 25 de octubre, y 22 de diciembre de 2017. Este último listado se refería a
Agencia Protección Datos, 2016-2017 63
deudores que figuraban en las aplicaciones SIGRID y SIC de la AEPD el 21 de abril de 2017 (con
una antigüedad de más de ocho meses). En consecuencia, no existió uniformidad en el
tratamiento de los deudores para su cobro en ejecutiva ni en la antigüedad de las deudas
remitidas a la AEAT.
4.70. Por su parte, la AEAT ha cumplido esta periodicidad y ha remitido todos los meses, por
correo electrónico, el escrito con la recaudación de ese mes, detallando los ingresos y los costes e
indicando si ha habido devoluciones, anulaciones, cancelaciones e intereses. En los casos en los
que el saldo ha resultado positivo para la AEPD, la AEAT ha procedido a su ingreso en la Agencia.
Cuando el saldo resultó negativo para la AEPD ha procedido a su compensación en el mes
siguiente. El cobro del coste de servicio que realizó la AEAT se ha ajustado a lo establecido en el
convenio (fueron 58,5 miles de euros, en 2016, y 100,3 miles de euros en 2017)
4.71. El análisis del proceso de elaboración de los listados de deudores por parte de la AEPD para
su remisión a la AEAT puso de manifiesto la realización de trabajos complejos, de forma manual, y
susceptibles de errores. Los listados finales de deudores se obtuvieron a partir del cotejo manual y
minucioso de dos listados de deudores obtenidos, a la misma fecha, de dos aplicaciones
informáticas distintas: la aplicación SIGRID y la aplicación contable (SIC). Como se analiza en
otros puntos de este Informe (4.21, 4.25, 4.30, 4.64 y 5.2) la información que ofrece la aplicación
que se utiliza para la gestión de los procedimientos sancionadores de la Agencia en su módulo de
sanciones (SIGRID) no siempre coincide con la que ofrece la aplicación contable (SIC). Por eso,
en las liquidaciones de deudores apremiables de ambos listados tuvieron que ser revisadas
manualmente las fechas y comprobado los nombres y NIFs para depurar los listados finales a
enviar a la AEAT. Los listados analizados se han depurado por incluir entidades extranjeras (sin
NIF español y excluidas del convenio con la AEAT) y por incluir deudas que aparecían como
apremiables en SIGRID pero ya se habían apremiado y enviado con anterioridad o se debían
excluir por otros motivos (PS/520/2014, PS/706/2014, PS/013/2015, PS/475/2014, PS/140/2016 y
PS/154/2016). Una de las circunstancias que puso de manifiesto el análisis de estos listados fue
que la AEAT no asumió la gestión del cobro en ejecutiva de los sancionados extranjeros, por lo
que transcurrido el periodo de pago voluntario no se realizaban otras gestiones de cobro sobre
estas personas y algunas de sus deudas estaban prescritas.
4.72. Una vez confeccionados los listados finales (“certificados de descubierto”) todos ellos se
enviaron a la firma de la Directora y del Jefe de contabilidad, y ya firmados se extrajo un archivo
de texto de cada uno de ellos, desde SIC, para su envío a la sede electrónica de la AEAT. La
AEAT ha devuelto todos los listados al día siguiente dando el visto bueno y comunicando las
incidencias detectadas. Los listados con el visto bueno de la AEAT se han cargado tanto en
SIGRID como en SIC y se han reconocido los derechos por el recargo de apremio en contabilidad.
En ambos ejercicios la AEAT no ha dado el visto bueno a todas las liquidaciones apremiables por
distintos motivos, siendo los más frecuentes, los errores en el NIF y en el nombre de los
sancionados (por ejemplo los PS/2012/2015, PS/548/2015, PS/75/2014, PS/80/2016 y
PS/102/2015) lo que vuelve a poner de manifiesto las debilidades del fichero de intervinientes que
maneja la AEPD (véanse los puntos 4.22 y 4.29).
4.73. La AEAP llevaba un control mediante una hoja de cálculo elaborada manualmente con la
información obtenida de las comunicaciones realizadas mensualmente por la AEAT sobre la
realización de la deuda de los sancionados (importe recaudado, ingresado, devoluciones y coste
del servicio). En base a esta información se controló el cobro de las sanciones remitidas a la
AEAT, se reflejaron los movimientos contables en SIC y Sorolla, y se elaboraron los
correspondientes documentos contables para su reflejo en SIGRID. No existía base de datos ni
otra forma de control o conocimiento de la situación de las sanciones que aún permanecían en la
AEAT pendientes de recaudación. Toda la información sobre estas sanciones se limitaba a la que
se podía obtener directamente del SIC (los derechos reconocidos pendientes de cobro en
ejecutiva).
64 Tribunal de Cuentas
4.74. Frente a las resoluciones de los PS de la AEPD los sancionados pueden recurrir: a) en vía
administrativa, mediante el recurso potestativo de reposición previsto en el artículo 123 de la
LPAC; b) directamente en vía judicial contencioso-administrativa (sin necesidad de hacer uso del
recurso potestativo de reposición); o c) en vía judicial contencioso-administrativa tras el recurso
administrativo de reposición.
4.75. En el año 2016 fueron recurridas 134 resoluciones de PS de la AEPD en vía administrativa
mediante el recurso potestativo de reposición previsto en el artículo 123 de la LPAC (el importe
total de las sanciones recurridas en vía administrativa sumaba 5.486,7 miles de euros). En 2017,
fueron recurridas 111 resoluciones de PS en vía administrativa (el importe total de las sanciones
recurridas ese año en vía administrativa ascendía a 7.508,5 miles de euros). Los recursos
administrativos interpuestos, en 2016, se resolvieron de la siguiente manera: 115 fueron
desestimados, once estimados, cinco parcialmente estimados y tres inadmitidos. Los interpuestos
en 2017 se resolvieron de la siguiente manera: 89 fueron desestimados, ocho estimados, dos
parcialmente estimados, diez inadmitidos y dos estaban pendientes de resolver.
4.76. Cuatro recursos de reposición estimados en 2016 lo fueron por caducidad del procedimiento
producida en su fase de instrucción, lo que confirma las debilidades en relación con los tiempos de
tramitación de esta fase señaladas en el punto 4.40. Otros dos recursos administrativos estimados
en 2017 lo fueron porque, a pesar de haber reconocido su responsabilidad el sancionado y
abonado la sanción tras el acuerdo de inicio, se continuó la tramitación del PS y recayó resolución
en el mismo. Esta circunstancia pone de manifiesto una nueva deficiencia de control interno tras el
establecimiento del sistema de pago anticipado (en octubre de 2016), consistente en que se
pueda producir este pago sin constancia en el procedimiento ni conocimiento del instructor (véase
el punto 4.54 en el que se analiza otra deficiencia similar, las duplicidades en el reconocimiento de
derechos).
4.77. Todos los PS recurridos en reposición fueron iniciados en el periodo fiscalizado o en fechas
próximas al mismo (a partir de la segunda mitad del año 2015), con excepción de un
procedimiento (PS/00663/2009), cuyo acuerdo de inicio se produjo el 30 de diciembre de 2009 y
su resolución el 7 de septiembre de 2016 (después de cinco años y nueve meses de tramitación
fue estimado el recurso de reposición interpuesto por caducidad del procedimiento y prescripción
de la infracción). En cuanto a su terminación, el artículo 124 de la LPAC establece el plazo de un
mes para dictar y notificar la resolución de los recursos de reposición. En el periodo fiscalizado la
AEPD no ha cumplido, de manera generalizada, este plazo de resolución de los recursos y, en
algunos casos, el retraso ha llegado a ser superior a un año. El transcurso del plazo legal produce
los efectos jurídicos de la desestimación presunta del recurso por silencio administrativo (que se
ha producido con frecuencia), pero no exime a la Administración de su obligación de resolver, que
es la que ha cumplido de manera generalizada con retraso la AEPD.
4.78. En 2016 se interpusieron 113 recursos judiciales en vía contencioso-administrativa frente a
resoluciones de PS de la AEPD (que sumaban 4.946,1 miles de euros). En 51 de estas
impugnaciones (por importe de 2.766,7 miles de euros) se había intentado la vía administrativa
previamente; y en las otras 62 los interesados acudieron directamente a la vía judicial (por importe
de 2.179,4 miles de euros). En 2017 fueron impugnadas en vía judicial 98 resoluciones de PS (por
importe de 7.599,2 miles de euros). En 50 de estas impugnaciones (por importe de 5.205,0 miles
de euros) se había intentado la vía administrativa previamente; y en las otras 48, los interesados
acudieron directamente a la vía judicial (por importe de 2.394,2 miles de euros).
4.79. A fecha de realización de estos trabajos se habían resuelto 63 recursos judiciales
interpuestos en 2016 (con 35 sentencias desestimatorias de la pretensión del sancionado, 22
estimatorias, cinco parcialmente estimatorias y un procedimiento finalizado por desistimiento), y
aún estaban pendientes de sentencia otros 50 recursos judiciales. De los recursos judiciales
interpuestos en 2017 se habían resuelto, a esa fecha, diecinueve de ellos (con ocho sentencias
Agencia Protección Datos, 2016-2017 65
desestimatorias de la pretensión del sancionado, diez estimatorias y un recurso inadmitido) y aún
estaban pendientes de sentencia otros 79 recursos.
4.80. Las sentencias judiciales estimatorias y parcialmente estimatorias de las pretensiones de los
sancionados se acercaron a la mitad del total de recursos judiciales resueltos. Las principales
razones por las que los tribunales estimaron los recursos contra las resoluciones de la AEPD
fueron, en primer lugar, por la prescripción de la infracción sancionada y, en estos casos, la
estimación llevó aparejada, normalmente, la imposición de costas a la AEPD. En segundo lugar,
también hay sentencias referidas a ambos ejercicios fiscalizados en las que la estimación se
produjo por indefensión o falta de prueba suficiente para imponer la sanción (también con costas
para la AEPD en estos supuestos). Por último, hay recursos estimados de ambos ejercicios por el
allanamiento de la Agencia (sin costas en estos casos); y supuestos en los que la parte
sancionada demostró haber realizado el requerimiento de pago oportunamente sin que la AEPD lo
hubiese dado por bueno (con costas para la AEPD en estos supuestos). Destaca el dato de que
las sentencias estimatorias de las pretensiones de los sancionados se concentraron,
principalmente, en los ejercicios 2018 y 2019 (nueve de las diez sentencias estimatorias de
recursos interpuestos en 2017 se dictaron en 2019). Todo lo anterior pone de manifiesto
deficiencias en la resolución de los PS que tienen un coste para la Agencia (como se analizará en
los puntos siguientes) y no parece que se estén resolviendo (a la vista de los porcentajes de
estimación de los últimos recursos judiciales).
4.81. La resolución de los recursos contra las sanciones de la Agencia, durante el periodo
fiscalizado, ha dado lugar a anulaciones de deuda, devoluciones de ingresos y pagos de costas e
intereses de demora. Los siguientes datos se refieren a impugnaciones realizadas con
anterioridad o durante el periodo fiscalizado pero resueltas en el mismo. La anulación de deuda
deriva de la estimación de los recursos, ya sea en vía administrativa o judicial, que obliga a anular
el derecho de cobro reconocido por la imposición de las sanciones. La deuda anulada por este
motivo ascendió a 819,7 miles de euros, en 2016; y 1.449,7 miles de euros, en 2017. En 2016 se
produjo una devolución de ingresos relevante, por importe de 1.180,5 miles de euros, como
consecuencia de la estimación de tres recursos de reposición y la estimación parcial de otro con
reducción de sanción en un 75%. En estos casos las sanciones ya habían sido abonadas por lo
que se debió proceder a su devolución y no a la anulación de los derechos de cobro.
4.82. El importe abonado por el pago de costas ascendió, en 2016, a 20,6 miles de euros,
derivados de cuatro recursos judiciales estimados contra resoluciones de la Agencia; y en 2017, a
17,4 miles de euros, derivados de cinco recursos (todos ellos interpuestos entre 2011 y 2014). Sin
embargo, estos importes están aumentando significativamente después del periodo fiscalizado.
Como se ha señalado en el punto 4.80 están aumentando las sentencias estimatorias de las
pretensiones de los sancionados y las condenas en costas a la AEPD (que se produjeron en once
de las 22 sentencias estimatorias de recursos interpuestos en 2016 y en ocho de las diez
estimatorias de los interpuestos en 2017).
V. SEGUIMIENTO DE RECOMENDACIONES
V.1. SEGUIMIENTO DE LAS RECOMENDACIONES FORMULADAS EN EL INFORME DE
FISCALIZACIÓN DE LA ACTIVIDAD DE LA AEPD, EJERCICIO 2009
5.1. El Informe de fiscalización sobre la actividad de la AEPD, ejercicio 2009, referido en especial
al seguimiento de las recomendaciones del Tribunal y de las resoluciones de la Comisión Mixta
correspondientes al Informe relativo al ejercicio 2001, aprobado por el Pleno del Tribunal de
Cuentas en su sesión de 28 de febrero de 2013, formulaba cuatro recomendaciones cuyo grado
de aplicación es analizado en el presente subapartado.
“Recomendación nº 1: Sería conveniente finalizar la integración de la gestión de los derechos por
sanciones con las bases de datos contables, así como el establecimiento por escrito de los
66 Tribunal de Cuentas
procedimientos para la tramitación de expedientes por las distintas unidades del Registro General
de Protección de Datos y de la Inspección de datos”.
5.2. Se ha cumplido parcialmente. No se puede considerar cumplida la integración de la gestión
de los derechos por sanciones con las bases de datos contables. Sigue sin ser coincidente la
información que ofrece la aplicación que se utiliza para la gestión de los procedimientos
sancionadores de la Agencia en su módulo de sanciones (SIGRID) y la aplicación contable (SIC).
Tampoco coincide la información que se ofrece sobre la situación de los distintos PS en SIGRID,
módulo procedimientos, con la situación real de estos. Además los distintos módulos que integran
la aplicación SIGRID, funcionan como tres aplicaciones distintas, lo que dificulta el seguimiento de
la vida completa de los expedientes tramitados en cada una de ellas. En distintos puntos de este
Informe (por ejemplo, 4.21, 4.25, 4.30 y 4.64) se han puesto de manifiesto discrepancias entre
ambas aplicaciones, que SIGRID no funciona como una aplicación integrada, así como casos en
los que SIGRID no refleja la situación real de los procedimientos. En relación con el RGPD, el
cambio del régimen jurídico sobre protección de datos, a partir del 25 de mayo de 2018, por la
aplicación directa del RUEPD y la posterior aprobación de la LOPD de 2018, ha modificado las
funciones y los procedimientos que se tramitan en el mismo (véanse los puntos 1.19, 3.32 y 5.7).
Se puede considerar cumplida la recomendación de establecer por escrito los procedimientos para
la tramitación de expedientes por la Inspección de datos, ya que a finales del año 2016 se produjo
una reestructuración de la SGID por la que se creó la Unidad de Seguimiento y Calidad, como
elemento de seguimiento y control de las distintas unidades de la Subdirección, la cual ha
elaborado diferentes guías, documentos e instrucciones para la tramitación de los expedientes a
través de SIGRID.
“Recomendación nº 2: Se recomienda la aplicación por la AEPD de criterios homogéneos para la
emisión de las providencias de apremio de acuerdo con los plazos establecidos en el Reglamento
General de Recaudación, así como para la liquidación de los recargos exigibles por las deudas en
periodo ejecutivo recaudadas directamente por la AEPD antes de su envío a la AEAT”.
5.3. Se ha cumplido. La AEPD ha liquidado en todos los casos el recargo de apremio reducido
(5%) exigible en las deudas en ejecutiva recaudadas por la propia AEPD antes de su envío a la
AEAT. No obstante, no son homogéneos los plazos transcurridos desde el vencimiento del
periodo voluntario para el ingreso de las sanciones, hasta la elaboración de los listados de
deudores y la remisión de cada una de ellas para su cobro en ejecutiva por la AEAT (véanse los
puntos 4.65 y 4.69).
“Recomendación nº 3: Sería conveniente que la AEPD aprobara procedimientos escritos de
gestión de su actividad económico-financiera, especialmente relevantes en el área de tesorería
dado su volumen. En esta área de tesorería se reitera la recomendación del Informe referido al
ejercicio 2001, suscrita también por la Comisión Mixta, de elaborar un adecuado estudio y
planificación de las necesidades operativas de fondos, realizar previsiones de tesorería y analizar
la colocación de los excedentes en inversiones financieras con adecuados niveles de rentabilidad
o, en su caso, acordar su ingreso en el Tesoro Público”.
5.4. No se ha cumplido. La entidad fiscalizada tiene unos excedentes de tesorería muy relevantes
de los que apenas obtiene rentabilidades financieras, no elabora un presupuesto monetario que le
permita adecuar los flujos de cobros y pagos que realiza, y carece de personal para realizar una
gestión presupuestaria, de los cobros que debe realizar y de la tesorería que posee (véanse los
puntos 3.8 y 3.9). En este Informe se hace un análisis de la evolución de la tesorería de la entidad
y de su gestión y rendimientos; y se proponen cambios en la financiación de la entidad para
ajustar sus ingresos y gastos y racionalizar su gestión presupuestaria y su tesorería (véase el
subapartado III.1 de este Informe).
“Recomendación nº 4: Se considera conveniente analizar la necesidad de una modificación
legislativa que simplificara los tipos de ficheros de inscripción obligatoria, considerando las
Agencia Protección Datos, 2016-2017 67
excepciones previstas en la Directiva Europea 95/46/CE, en aras de una mayor eficacia en el
cumplimiento de las funciones de la AEPD”.
5.5. Esta recomendación ha perdido su vigencia tras el cambio del régimen jurídico sobre
protección de datos, a partir del 25 de mayo de 2018, por la aplicación directa del RUEPD y la
posterior aprobación de la LOPD de 2018. La nueva normativa suprime la función del RGPD de
registro y publicación de los ficheros de datos de carácter personal, a la que se refería esta
recomendación. Por lo tanto, carece de actualidad la recomendación de una modificación
legislativa que simplifique los tipos de ficheros de inscripción obligatoria El nuevo modelo
contempla la figura de los responsables o encargados del tratamiento de datos, así como la de los
delegados de protección de datos, y la obligación de la AEPD de mantener una relación pública y
actualizada de los delegados de protección de datos accesible por cualquier persona (véanse los
puntos 1.19 y 3.29).
V.2. SEGUIMIENTO DE LOS ACUERDOS DE LA RESOLUCIÓN DE LA COMISIÓN MIXTA DE
21 DE DICIEMBRE DE 2016, A LA VISTA DEL INFORME DE FISCALIZACIÓN DE LA
ACTIVIDAD DE LA AEPD, EJERCICIO 2009
5.6. La Comisión Mixta para las Relaciones con el Tribunal de Cuentas, en su sesión del día 21
de diciembre de 2016, a la vista del Informe de fiscalización de la actividad de la Agencia
Española de Protección de Datos, ejercicio 2009, referida en especial al seguimiento de las
recomendaciones del Tribunal y Resoluciones de la Comisión Mixta correspondiente al Informe de
fiscalización de la Agencia relativo al ejercicio 2001, acordó asumir el contenido del citado Informe,
así como sus conclusiones y recomendaciones e instar a la AEPD a: 1. “Establecer por escrito los
procedimientos para la tramitación de expedientes por las distintas unidades del Registro General
de Protección de Datos y de la Inspección de datos”; 2. “Aprobar procedimientos escritos de
gestión de su actividad económico-financiera, especialmente relevantes en el área de tesorería”;
3. “Adoptar criterios homogéneos para la emisión de las providencias de apremio de acuerdo con
los plazos establecidos en el Reglamento General de Recaudación, así como para la liquidación
de todos los intereses de demora por ingresos realizados fuera del plazo voluntario y de los
recargos exigibles por las deudas en periodo ejecutivo recaudadas directamente por ella”; y 4.
“Elaborar un adecuado estudio y planificación de las necesidades operativas de fondos, realizar
previsiones de tesorería y analizar la posible colocación de los excedentes en inversiones
financieras”.
5.7. El contenido de estos acuerdos de la Comisión Mixta coincide con las recomendaciones del
Informe del Tribunal de Cuentas. Las recomendaciones del Informe número 1 y 4 coinciden con el
acuerdo 1 de la Comisión Mixta; la recomendación número 2 con el acuerdo 3 de la Comisión
Mixta; y la recomendación número 3 con los acuerdos 2 y 4 de la Comisión Mixta. Por lo tanto, el
análisis del cumplimiento de estos acuerdos ha quedado analizado en el subapartado V.1. de este
Informe.
68 Tribunal de Cuentas
VI. CONCLUSIONES
VI.1. SOBRE LA REPRESENTATIVIDAD DE LAS CUENTAS ANUALES
6.1. Las cuentas anuales de la AEPD correspondientes a los ejercicios 2016 y 2017 reflejan
adecuadamente, en sus aspectos más significativos, su situación financiera y patrimonial, el
resultado del ejercicio y la liquidación de su presupuesto, y contienen la información necesaria y
suficiente para su correcta interpretación y comprensión, de acuerdo con los principios, criterios y
normas contables que le eran de aplicación, excepto por las salvedades siguientes (puntos 2.2 a
2.8):
El activo del inmovilizado intangible “Aplicaciones informáticas” se encontraba
sobrevalorado en el balance por un importe de 1.107,0 miles de euros, en 2016; y de
1.208,9 miles de euros, en 2017. En paralelo, los gastos de cada uno de los dos ejercicios
están infravalorados por los importes indicados, y se ven afectados también el estado total
de cambios en el patrimonio neto, el estado de ingresos y gastos reconocidos y el estado
de liquidación del presupuesto.
La partida “Otro inmovilizado material” se encontraba sobrevalorada en el balance en un
importe de 29,2 miles de euros, en 2016; y en 28,2 miles de euros en el de 2017. En
paralelo, los gastos de cada uno de los dos ejercicios están infravalorados por los importes
indicados, y se ven afectados también el estado total de cambios en el patrimonio neto y el
estado de ingresos y gastos reconocidos.
La partida del activo corriente “Deudores por operaciones de gestión” se encontraba
infravalorada en el balance en 25,5 miles de euros, en 2016, por exceso de la dotación de
la provisión para insolvencias de ese año en ese importe. En 2017, el exceso de la
dotación de la provisión para insolvencias fue de 496,5 miles de euros y en esa misma
cuantía estaba infravalorado el activo corriente “Deudores por operaciones de gestión”. Por
los mismos motivos, los resultados de cada uno de los dos ejercicios están infravalorados
en los importes indicados.
La partida del activo corriente “Deudores por operaciones de gestión” se encontraba
sobrevalorada en el balance en un importe de 97,2 miles de euros en 2016 y en 480,0
miles de euros en el de 2017, por errores en los reconocimientos de derechos derivados
de la imposición de sanciones. Por el mismo motivo, los resultados de cada uno de los dos
ejercicios están sobrevalorados en los importes indicados, y se ven afectados también el
estado total de cambios en el patrimonio neto, el estado de ingresos y gastos reconocidos
y el estado de liquidación del presupuesto.
En el balance de 2017 estaba infravalorado el saldo de la cuenta presupuestaria “Derechos
reconocidos de presupuestos cerrados” por 296,4 miles de euros; y sobrevaloradas las
partidas extrapresupuestarias “Deudores a corto plazo por aplazamiento/fraccionamiento.
Operaciones de gestión” en 14,4 miles de euros; y “Deudores a largo plazo por
aplazamiento/fraccionamiento” en 282,0 miles de euros. En paralelo, se ve afectado el
estado de liquidación del presupuesto.
El saldo de la cuenta 413 “Acreedores por operaciones pendientes de aplicar a
presupuesto” se encontraba sobrevalorado en 1,9 miles de euros, en 2016; y el saldo de
esta misma cuenta, que pasó a denominarse “Acreedores por operaciones devengadas”,
estaba sobrevalorado en 3,5 miles de euros en 2017. En paralelo, se ve afectado el estado
de liquidación del presupuesto.
A partir de octubre de 2016 la Agencia pasó a reconocer contablemente los derechos de
cobro derivados de sanciones en el momento en que notificaba los acuerdos de inicio de
cada procedimiento sancionador. Este incorrecto criterio contable generó una
sobrevaloración de los derechos reconocidos por sanciones en una cuantía que no ha
podido determinarse.
Agencia Protección Datos, 2016-2017 69
6.2. Existen diferencias de conciliación entre el importe de las cuentas de inmovilizado registrado
en contabilidad y el importe que figura en el inventario. También hay partidas en el inventario de
elementos patrimoniales que carecen de suficiente detalle para la correcta identificación de cada
uno de los elementos. Durante los dos ejercicios fiscalizados se ha producido la baja en inventario
de un elemento de inmovilizado. Había elementos registrados en el inventario con valor neto
contable nulo y algunos de ellos, por obsolescencia, llevaban años depositados en almacenes
dentro de la Agencia (puntos 2.36, 2.38 y 2.39).
6.3. La AEPD no cuenta con una planificación y gestión adecuada de la tesorería ni tiene plan o
protocolo alguno de inversión para rentabilizar estos saldos. En la contabilización no utiliza
cuentas divisionarias de la 571 (“Bancos e instituciones de crédito. Cuentas operativas”), según
los distintos tipos de cuentas bancarias que tiene, para favorecer su seguimiento y control; y no se
han realizado con la suficiente periodicidad conciliaciones de la contabilidad con las cuentas
bancarias. Las comunicaciones a las entidades financieras de las autorizaciones y bajas de firmas
de las personas para la disposición de fondos de las cuentas bancarias, en algunos casos, se
dilató mucho en el tiempo con respecto al alta o la baja del empleado público en su puesto; y los
arqueos de caja se emiten por el propio cajero pagador, sin que exista ningún otro control sobre
los mismos (puntos 2.40 a 2.44).
VI.2. SOBRE EL CUMPLIMIENTO DE LA LEGALIDAD
6.4. La AEPD financia su actividad y funcionamiento con los ingresos generados en el ejercicio de
su potestad sancionadora, que reconoce como derechos propios y cobra en periodo voluntario.
Los presupuestos de la entidad repitieron en los dos ejercicios fiscalizados las principales
magnitudes presupuestarias. Los créditos para gastos se previeron adecuadamente y su
ejecución fue elevada y muy similar en ambos ejercicios; sin embargo, las previsiones de ingresos
no reflejaron adecuadamente la realidad de los mismos. Los ingresos presupuestados se hicieron
coincidir con los gastos, para equilibrar el presupuesto, pero los ingresos reales por las sanciones
impuestas superaron ampliamente cada año las previsiones (puntos 3.2 a 3.6).
6.5. El sistema de financiación de la entidad, que considera todos los ingresos por sanciones
como recursos propios, ha provocado que la tesorería y los derechos pendientes de cobro
supongan más del 95% del total de su activo. Los excedentes de tesorería son muy elevados
(pasaron de 63.465.883,07 euros, en 2016, a 66.034.291,16 euros en 2017); y apenas generan
rentabilidades (6.346,48 euros en 2016, y 4.403,11 euros en 2017). La normativa que regula los
recursos de la Agencia permite diseñar un sistema de financiación que mejore el aprovechamiento
de los recursos públicos (puntos 3.7 a 3.9).
6.6. La AEPD no introdujo las novedades legislativas establecidas en la Ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPAC) sobre
la posible tramitación simplificada de sus procedimientos sancionadores ni sobre infracciones
continuadas (puntos 3.13 y 3.14).
6.7. A la fecha de aprobación de este Informe no se había producido el nombramiento del
Presidente de la Agencia, pese a haber expirado el mandato de la Directora en julio de 2019. Ni
siquiera se había publicado en el BOE la convocatoria pública de candidatos, pese a que la ley
exige que esta publicación se efectúe dos meses antes de producirse la expiración del mandato
(punto 3.21).
6.8. No se aplicaron al funcionamiento del consejo consultivo (CC) las novedades normativas de la
LRJSP, que prevén la posibilidad de que las sesiones se celebren a distancia, las convocatorias
se remitan por medios electrónicos, o se puedan grabar las sesiones. Tampoco se facilitó a los
miembros del CC información sobre los temas del orden del día de las reuniones con una
antelación mínima de dos días prevista en la ley, sino que se entregaba un dossier a cada uno de
ellos en el mismo acto de cada reunión. No se ha cumplido en el CC el principio de presencia
70 Tribunal de Cuentas
equilibrada de mujeres y hombres (puntos 3.26, 3.27, 3.28 y 3.78).
6.9. La relación de puestos de trabajo (RPT) de la AEPD no reflejaba la formación específica y la
titulación exigida para cada puesto de funcionario; ni la titulación académica, los méritos
específicos y los cometidos de cada puesto de trabajo de los laborales. La organización formal de
la Agencia descrita en la RPT no reflejaba la organización real ni el contenido de los puestos de
trabajo concretos desarrollados por muchas personas durante el periodo fiscalizado (punto 3.31).
6.10. Durante el periodo fiscalizado hubo un número relevante de puestos con reserva no
ocupados en la AEPD que podrían estar teniendo una repercusión negativa sobre la organización
del trabajo. Dos puestos provistos mediante contratos de interinidad tenían una antigüedad de
once y seis años, respectivamente, por lo que no respondían a la situación de temporalidad
prevista para este tipo de contratos. Por otra parte, estaban pendientes de resolver algunas
reclamaciones administrativas y judiciales, en las que se solicita el reconocimiento de una relación
laboral, que habían interpuesto diversas personas que habían prestado servicios para la AEPD en
virtud de sucesivos contratos de prestación de servicios entre 2004 y 2018 (puntos 3.32 a 3.34).
6.11. En los nombramientos realizados por libre designación no se ha elaborado documentación
justificativa de la selección de los nombrados. Por su parte, la AEPD ha implantado un programa
de teletrabajo que precisa desarrollar los criterios de control y los sistemas de evaluación del
desempeño del trabajo por las personas acogidas al mismo (puntos 3.36 a 3.38).
6.12. La AEPD no ha incluido en las dos relaciones certificadas de contratos remitidas al Tribunal
de Cuentas, en 2016 y 2017, los contratos patrimoniales, ni los tres convenios de contenido
económico, ni las dos encomiendas de gestión celebrados en esos ejercicios y que debería haber
incluido, de acuerdo con la Instrucción de remisión de contratos aprobada por el Pleno del
Tribunal (punto 3.54).
6.13. Los expedientes de contratación no incluyeron, entre las actuaciones preparatorias del
contrato, informes económicos, estudios de costes o estudios de mercado que avalen
razonadamente los importes presupuestados para la contratación. Algunos expedientes preveían
la constitución por los licitadores de una garantía provisional del 3% del presupuesto de licitación,
pero no justificaban las razones de su exigencia. En los contratos celebrados por procedimiento
negociado los expedientes no justificaban adecuadamente el empleo de este procedimiento, ni
acreditaban que se hubiese llevado a cabo una negociación con diversos candidatos, ni
identificaban qué supuesto concreto de los previstos en la ley justificaban su uso. Los expedientes
de los contratos menores no incluían justificación de la necesidad de contratar, ni documento
alguno que estableciese el “valor estimado” del contrato; tampoco documentación del
cumplimiento por las empresas contratistas de la solvencia económica, financiera y técnica o
profesional. En escasos expedientes de contratos menores se valoraron las ofertas económicas
presentadas y, cuando se hizo, la justificación de la elección de adjudicatario fue muy limitada e
insuficiente. En algunos casos se señalaba que se habían presentado tres ofertas, pero estas no
constaban en el expediente de los contratos (puntos 3.56, 3.58, 3.60, 3.64, 3.71 y 3.72).
6.14. Las relaciones comprensivas de los contratos menores que fueron facilitadas por la entidad
en soporte informático presentaban errores que ponen de manifiesto que los controles sobre estas
bases de datos son insuficientes. Cuatro contratos menores superaron el importe máximo previsto
y existen supuestos en los que se pueden apreciar indicios de haberse producido un posible
fraccionamiento del objeto del contrato, por tratarse de contratos menores vinculados entre sí por
una misma finalidad y adjudicados a la misma empresa (puntos 3.66 a 3.70).
6.15. El portal de transparencia de la Agencia no permite verificar las condiciones de accesibilidad
de su página web, ni permite al ciudadano conocer las normas sobre las formas de acceso a la
información y sobre los distintos medios para su solicitud. La AEPD tampoco publica en el citado
portal los mecanismos para que el solicitante pueda conocer el estado en que se encuentran la
tramitación de sus solicitudes y descargar documentos relacionados con las mismas. La
Agencia Protección Datos, 2016-2017 71
información publicada por la Agencia presenta algunas deficiencias en materia de contratación,
cuentas anuales, marco normativo, ejecución presupuestaria y derechos reales sobre bienes
inmuebles (puntos 3.82 a 3.92).
VI.3. SOBRE LOS SISTEMAS Y PROCEDIMIENTOS EMPLEADOS Y LOS RESULTADOS
OBTENIDOS POR LAS ACTUACIONES DE LA AGENCIA
6.16. Se han detectado diversas carencias en la implantación técnica del Esquema Nacional de
Seguridad y en aspectos relacionados con la accesibilidad web de la página de la Agencia
(véanse los puntos 4.2 y 4.3).
6.17. Las aplicaciones desarrolladas por la AEPD no organizan su código fuente en un espacio de
nombres que las identifique claramente. Además, la Agencia trabaja con las empresas que
desarrollan sus aplicaciones, fundamentalmente, en modo factoría de software (en remoto), y
estas empresas realizan su propia gestión del código fuente, por lo que la Agencia tiene el riesgo
de no poder controlar adecuadamente la última versión del mismo (punto 4.6).
6.18. La Agencia no ha consolidado ni adecuado o reformado los dos Centros de Proceso de
Datos de los que dispone; ni utiliza, en este ámbito, medios compartidos en la AGE para evitar
posibles riesgos y racionalizar la utilización de infraestructuras. El proceso de anonimización de
documentos que utiliza es manual, bastante susceptible de error humano, y no ha incorporado
procesos automáticos de revisión (puntos 4.13 y 4.14).
6.19. La aplicación, utilizada para gestionar la inspección e instrucción de los procedimientos
sancionadores y para obtener información sobre las reclamaciones presentadas, los documentos
generados durante la tramitación de los expedientes administrativos, y las notificaciones y
sanciones impuestas, no proporciona una visión única de un expediente administrativo (sino que
los tres módulos que integran la aplicación funcionan como tres aplicaciones distintas). Tampoco
genera un número de expediente por denunciado (sino que asigna un número de expediente por
cada denuncia/reclamación con independencia del número de denunciados); ni está
suficientemente automatizado o formalizado el proceso para sincronizar SIGRID con el cobro de
sanciones realizado en la Agencia Estatal de Administración Tributaria (AEAT) y su reflejo en la
contabilidad. La aplicación SIGRID no muestra los criterios de filtrado que aplica por defecto en
cada pestaña, ni todos los campos disponibles en el listado (puntos 4.7 a 4.12).
6.20. La información que contiene SIGRID en su base de datos no coincide en todos los casos
con la situación real de los distintos procedimientos. Así, procedimientos terminados se mostraban
en la aplicación en estados y fases distintas de la terminación. En algunos casos se reflejaban
fechas de asignación de expedientes posteriores a la caducidad de los procedimientos; y en otros
no se incluían fechas. El fichero de intervinientes en los procedimientos no contenía datos
suficientes, lo que dificultaba la práctica de las notificaciones e imposibilitaba el seguimiento, a
través de los NIF de los sancionados o investigados, de la práctica de los trámites en los
procedimientos en los que intervenían (puntos 4.21, 4.22, 4.24, 4.30 y 4.31).
6.21. Se produjeron dilaciones relevantes en la asignación de los procedimientos a los inspectores
(lo que reduce los tiempos de actuaciones previas de investigación, que caducan al año); y, sobre
todo, en la asignación de cada procedimiento sancionador a un instructor (que disminuye el
tiempo efectivo de instrucción de cada procedimiento, que caduca a los seis meses). Los tiempos
medios de instrucción de los procedimientos superaron el plazo de caducidad (180 días) en 2016.
En 2017, aunque estos tiempos medios de instrucción disminuyeron, el 23% de los
procedimientos analizados resueltos en este ejercicio habían excedido el tiempo de instrucción de
180 días. Debe tenerse en cuenta, a estos efectos, que una parte importante de los recursos de
los sancionados se fundamentó en la prescripción de las infracciones y la caducidad de los
procedimientos (puntos 4.38, 4.42, 4.44, 4.48 y 4.80)
72 Tribunal de Cuentas
6.22. En casi dos de cada tres procedimientos en los que se ofreció la posibilidad de pago
anticipado con descuento, los sancionados se acogieron a ella tras la implantación de esta
medida. En 2017, los ingresos por pago anticipado ya superaron a los ingresos por el pago de las
sanciones tras la resolución sancionadora, al utilizarse este sistema de pago voluntario en un
número cada vez mayor de procedimientos (puntos 4.57 y 4.64).
6.23. El análisis de los aplazamientos y fraccionamientos resueltos en los ejercicios fiscalizados
ha puesto de manifiesto que la AEPD, en algunos casos en los que se incumplió el pago de
algunas de las cuotas vencidas, no apremió la deuda pendiente ni canceló el fraccionamiento
concedido. La aplicación SIGRID no mostraba con exactitud las cuotas ingresadas y pendientes
de los fraccionamientos (puntos 4.62 y 4.63).
6.24. La remisión de las listas de deudores a la AEAT para el cobro de la sanciones en vía
ejecutiva se produjo sin periodicidad y con distinta antigüedad de las deudas remitidas. El análisis
del proceso de elaboración de los listados de deudores por parte de la AEPD para su remisión a la
AEAT puso de manifiesto la realización de trabajos complejos, de forma manual y susceptibles de
errores, problemas con los datos de NIF y nombre de los sancionados y diferencias de
conciliación entre las aplicaciones SIC y SIGRID. No existía base de datos ni otra forma de control
o conocimiento de la situación de las sanciones que aún permanecían en la AEAT pendientes de
recaudación y la información sobre estas sanciones se limitaba a la que se podía obtener
directamente del SIC (puntos 4.65, 4.68, 4.69, 4.71, 4.72 y 4.73).
6.25. En relación con los recursos administrativos contra las resoluciones de la AEPD, la Agencia
no ha cumplido, de manera generalizada, con el plazo de resolución de los recursos de reposición
fijado por el artículo 124 de la LPAC. En cuanto a las sentencias judiciales, las estimatorias y
parcialmente estimatorias de las pretensiones de los sancionados se acercaron a la mitad del total
de recursos judiciales resueltos, dando lugar a anulaciones de deuda, devoluciones de ingresos y
pagos de costas e intereses de demora (puntos 4.77 y 4.80).
VI.4. SOBRE EL SEGUIMIENTO DE RECOMENDACIONES
6.26. El Informe de fiscalización sobre la actividad de la AEPD, ejercicio 2009, formuló cuatro
recomendaciones. Una de ellas se considera cumplida, otra cumplida parcialmente, una tercera no
cumplida y, por último, la cuarta ha perdido vigencia tras un cambio de régimen jurídico (puntos
5.1 a 5.7).
VII. RECOMENDACIONES
7.1. Se recomienda a la Agencia instar de las autoridades presupuestarias una modificación en su
sistema de presupuestación y de su financiación, consistente en que pase a financiarse con una
transferencia de los Presupuestos Generales del Estado (compatible con la posibilidad de generar
una reserva con un porcentaje de los ingresos que genere) y sea el Tesoro Público el que se
encargue de los cobros de las sanciones impuestas por la AEPD en periodo voluntario.
7.2. La Agencia debe introducir cambios en su sistema de contabilización de los derechos de
cobro por sanciones, de forma que los derechos solo se reconozcan en el momento del ingreso
anticipado de la sanción o de la notificación de la resolución sancionadora, no cuando tiene lugar
la notificación del acuerdo de inicio de los procedimientos.
7.3. La Agencia debería conciliar el inventario de los elementos patrimoniales con la contabilidad,
además de depurar, desafectar y retirar del inventario los elementos obsoletos. También debería
identificar correctamente cada uno de los elementos que integran el inventario.
Agencia Protección Datos, 2016-2017
73
7.4. La Agencia debería elaborar un presupuesto de tesorería que !e permitiera planificar y
gestionar adecuadamente su tesorería y rentabilizar sus saldos. Además debería realizar con
suficiente periodicidad conciliaciones de la contabilidad con las cuentas de los bancos. También
debería mejorar las comunicaciones con las entidades financieras en cuanto a las bajas y altas de
Ias personas autorizadas para la disposición de fondos de las citadas cuentas y mejorar los
mecanismos de control interno de los arqueos de caja.
7.5. La Agencia debería mejorar los sistemas y procesos informáticos para corregir las carencias y
deficiencias señaladas en este Informe; así como mejorar la coherencia de la información y la
comunicación entre las distintas aplicaciones informáticas que utiliza para su gestión.
7.6. La Agencia debería reducir los tiempos de asignación a los inspectores de los expedientes de
investigación y, sobre todo, los tiempos de asignación a los instructores de cada procedimiento
sancionador, para permitir más tiempo al propio proceso de investigación e instrucción y evitar
situaciones de caducidad de los procedimientos.
7.7. La Agencia debería elaborar unos criterios uniformes y homogéneos en relación con la
información que remite a !a AEAT a efectos de continuar la gestión de cobro de los deudores,
mejorando la periodicidad en la remisión de los listados. Además sería conveniente que
implementara algún mecanismo automático en la elaboración y revisión de esta información,
integrando la información de las aplicaciones SIC y SIGR?D.
7.8. La Agencia debería mejorar el control interno de los plazos de prescripción de las infracciones
para evitar sentencias judiciales estimatorias para los sancionados y el correspondiente coste para
Ia Agencia.
Madrid, 31 de octubre de 2019
LA PRESIDENTA
é
María José de la Fuente y de la Calle
ANEXOS
RELACIÓN DE ANEXOS
ANEXO I. Obligaciones y derechos reconocidos netos de la AEPD en 2016 y 2017.
ANEXO II. Balances de la AEPD de 2016 y 2017.
ANEXO III. Cuentas de resultado económico patrimonial de la AEPD de 2016 y 2017.
Agencia Protección Datos, 2016-2017 79
ANEXO I
Obligaciones y derechos reconocidos netos de la AEPD en 2016 y 2017
en euros
Presupuesto de gastos
Obligaciones Reconocidas Netas
Capítulos
2016
2017
1 Gastos de personal
6.349.136,54
6.380.815,49
2 Gastos corrientes en bienes y servicios
4.326.245,74
4.210.965,21
3 Gastos financieros
19.196,34
16.127,57
4 Transferencias corrientes
267.940,00
279.930,67
TOTAL OPERACIONES CORRIENTES
10.962.518,62
10.887.838,94
6 Inversiones reales
481.112,66
777.485,75
TOTAL OPERACIONES DE CAPITAL
481.112,66
777.485,75
TOTAL OPERACIONES NO FINANCIERAS
11.443.631,28
11.665.324,69
8 Activos financieros
5.436,34
7.963,88
TOTAL OPERACIONES FINANCIERAS
5.436,34
7.963,88
TOTAL PRESUPUESTO DE GASTOS
11.449.067,62
11.673.288,57
Presupuesto de ingresos
Derechos Reconocidos Netos
Capítulos
2016
2017
3 Tasas, precios públicos y otros ingresos
19.407.204,87
21.726.247,29
4 Transferencias corrientes
14.194,42
22.818,66
5 Ingresos patrimoniales
6.346,48
4.403,11
TOTAL OPERACIONES CORRIENTES
19.427.745,77
21.753.469,06
TOTAL OPERACIONES NO FINANCIERAS
19.427.745,77
21.753.469,06
8 Activos financieros
6.443,48
6.894,20
TOTAL OPERACIONES FINANCIERAS
6.443,48
6.894,20
TOTAL PRESUPUESTO DE INGRESOS
19.434.189,25
21.760.363,26
Fuente: Cuentas anuales rendidas por la AEPD ejercicios 2016 y 2017.
80 Tribunal de Cuentas
ANEXO II
Balances de la AEPD de 2016 y 2017
en euros
Epígrafes
2016
2017
A) Activo no corriente
3.748.342,22
3.667.636,96
I. Inmovilizado intangible
1.758.434,09
1.621.120,71
II. Inmovilizado material
1.872.845,35
1.710.571,25
VI. Deudores y otras cuentas a cobrar a largo plazo
117.062,78
335.945,00
B) Activo corriente
72.851.258,78
77.346.760,70
III. Deudores y otras cuentas a cobrar
9.383.126,15
11.309.150,30
V. Inversiones financieras a corto plazo
2.249,56
3.319,24
VII. Efectivo y otros activos líquidos equivalentes
63.465.883,07
66.034.291,16
TOTAL ACTIVO
76.599.601,00
81.014.397,66
A) Patrimonio neto
74.923.833,91
79.323.303,98
II. Patrimonio generado
74.923.833,91
79.323.303,98
C) Pasivo corriente
1.675.767,09
1.691.093,68
I. Provisiones a corto plazo
1.173.823,30
1.173.800,51
II. Deudas a corto plazo
0
635,10
IV. Acreedores y otras cuentas a pagar
501.943,79
516.658,07
TOTAL PATRIMONIO NETO Y PASIVO
76.599.601,00
81.014.397,66
Fuente: Cuentas anuales rendidas por la AEPD ejercicios 2016 y 2017.
Agencia Protección Datos, 2016-2017 81
ANEXO III
Cuentas de resultado económico patrimonial de la AEPD de 2016 y 2017
en euros
Epígrafes
2016
2017
2. Trasferencias y subvenciones recibidas
257.268,62
269.434,51
6. Otros ingresos de gestión ordinaria
18.249.954,70
20.403.761,29
7. Excesos de provisiones
751.608,17
749.404,90
A) TOTAL INGRESOS DE GESTIÓN ORDINARIA
19.258.831,49
21.422.600,70
8. Gastos de personal
-6.349.139,66
-6.380.812,37
9. Transferencias y subvenciones concedidas
-267.940,00
-279.930,67
11. Otros gastos de gestión ordinaria
-4.424.606,76
-4.458.369,64
12. Amortización del inmovilizado
-1.064.084,81
-1.079.077,89
B) TOTAL DE GASTOS DE GESTIÓN ORDINARIA
-12.105.771,23
-12.198.190,57
I Resultado (Ahorro o desahorro) de la gestión ordinaria
7.153.060,26
9.224.410,13
13. Deterioro de valor y resultados por enajenación del inmovilizado
no financiero y activos en estado de venta
0,00
-40,34
14. Otras partidas no ordinarias
695,48
0,00
II Resultado de las operaciones no financieras
7.153.755,74
9.224.369,79
15. Ingresos financieros
690.850,18
354.166,68
16. Gastos financieros
-19.196,34
-16.127,57
20. Deterioro de valor, bajas y enajenaciones de activos y pasivos
financieros
-1.967.891,65
-2.791.744,36
III Resultado de las operaciones financieras
-1.296.237,81
-2.453.705,25
IV Resultado (Ahorro o desahorro) neto del ejercicio
5.857.517,93
6.770.664,54
Fuente: Cuentas anuales rendidas por la AEPD ejercicios 2016 y 2017.
ALEGACIONES FORMULADAS
