Sentencia Contencioso-Administrativo 139/2026 Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 894/2023 de 18 de marzo del 2026

PRIMERO.-El recurso contencioso-administrativo se interpone contra la resolución de la Directora de la Agencia Española de Protección de Datos, de 6 de junio del 2023, por la que se resuelve el EXP202201681, imponiendo al colegio demandante una sanción de 5.000 euros por infracción del artículo 38.6 RGPD al apreciar que existe conflicto de intereses en la persona designada como delegado de protección de datos, una sanción de 8.000 euros, por infracción del artículo 13 RGPD al no contener información los formularios de "quejas y reclamaciones" sobre los fines del tratamiento de los datos que el reclamante consigna en los mismos; y una sanción de 1.000 euros por infracción del artículo 22.2 LSSI, por utilizar cookies de terceros de carácter no exceptuado, sin el consentimiento del usuario.

SEGUNDO.-El secretario del Colegio- designado como delegado de protección de datos- tiene, según los estatutos, funciones que implican participar en acuerdos sobre la determinación de los fines y medios de tratamiento de datos de los colegiados y usuarios de los servicios prestados por el colegio profesional.

Como miembro con voz y voto de la Junta de Gobierno concurre en el ejercicio de las siguientes funciones (artículo 13 Estatutos): "c) Resolver las solicitudes de incorporación de nuevos colegiados, de bajas colegiales y sobre la suspensión de servicios colegiales y de la condición de colegial e) Recaudar, distribuir y administrar los fondos del Colegio, conforme a lo previsto en el Título sobre Régimen Económico y Patrimonial de los presentes Estatutos Particulares. k) Ejercer la función disciplinaria y adoptar medidas cautelares, incoando, de oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará la correspondiente Resolución. El ejercicio de tales funciones lo podrá delegar en el Decano, en un grupo de miembros de Junta de Gobierno o en una Comisión."

Como miembro de la Comisión permanente (artículo 15) participa también de la adopción de decisiones en relación a las siguientes materias:

"1. Poner en práctica las directrices emanadas de la Junta de Gobierno. 2. Proponer a la Junta de Gobierno cuantos actos sean consecuencia de las competencias que ésta tiene asumidas. 3. La adopción de las medidas necesarias para el cumplimiento de los acuerdos de la Junta de Gobierno. 4. Organizar los servicios de las oficinas del Colegio. 5. Adoptar decisiones sobre aquellos asuntos de carácter urgente que, siendo competencia de la Junta de Gobierno, no puedan sufrir aplazamiento hasta la reunión de ésta, debiéndose dar cuenta de estos actos, para su ratificación, en la primera sesión que celebre la Junta de Gobierno. 6. Aquellas funciones que, expresamente, le delegue la Junta de Gobierno."

Por último, sus funciones propias atribuidas por el artículo 17 de los Estatutos tienen también proyección sobre el tratamiento de datos. En particular le compete:

"2. Resolver provisionalmente acerca de la admisión de los nuevos colegiados de conformidad con lo dispuesto en estos Estatutos Particulares. 4. Librar las certificaciones que se soliciten y deban ser expedidas y llevar el libro registro de colegiados 5. Formular anualmente las listas de colegiados en sus distintas versiones. Estas listas deberán anualmente estar dispuestas en los plazos que se disponen en estos Estatutos Particulares a efectos de elecciones 6. Hacer las notificaciones de altas y bajas colegiales. 7. Llevar los libros de actas de las reuniones de la Asamblea General de colegiados, Junta de Gobierno y de la Comisión Permanente y trasladar los acuerdos, llevando el seguimiento del cumplimiento de los mismos."

Por ello, la resolución sancionadora sostiene que tales funciones incurren en conflicto de intereses con las funciones que debe asumir como delegado de protección de datos porque realiza actividades o asesora como Secretario sobre cuestiones que inciden en la materia de protección de datos.

Según el artículo 38.6 RGPD "el delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses".

Si quien debe supervisar el cumplimiento de las normas relativas a la protección de datos participa en la toma de decisiones sobre fines y medios de tratamiento de datos, difícilmente puede desempañar con objetividad las funciones propias del cargo, lo que debe llevar a afirmar que no se cumple con la obligación de designar un delegado de protección de datos que reúna los requisitos exigidos en el Reglamento.

Se alega que la AEPD contraviene sus propios actos porque dio por bueno el nombramiento del DPT en otras actuaciones promovidas por el mismo colegiado reclamante, pero no acredita que en tal ocasión se examinara la existencia o no de conflicto de intereses.

Se aportó al amparo del artículo 270 LEC resolución del Consejo de Transparencia y Protección de Datos de Andalucía, que no incide en los temas que aquí se tratan, puesto que en relación con el conflicto de intereses del secretario se declara incompetente para pronunciarse.

SEGUNDO.-Resp ecto de la infracción del artículo 13 RGPD "información que deberá facilitarse cuando los datos personales se obtenga del interesado" en relación a la que estos incluyen al rellenar los formularios de "quejas y reclamaciones" cuestiona el demandante que se imponga una sanción sin acreditar la culpabilidad.

El incumplimiento del citado precepto, como se detalla en la resolución sancionadora, es tan evidente, por los aspectos relevantes sobre los que no se suministra información, que es diáfano que la infracción puede imputarse a título de culpa por lo que no se está exigiendo ninguna responsabilidad objetiva por la infracción.

TERCERO.-Por lo que se refiere a la falta de información de la política de cookies, que se instalan en quienes acceden a un mapa interactivo de un tercero, a través del enlace que se suministra en la página web del colegio profesional, la resolución precisa que no solo se trata de cookies técnicas, necesarias para la operativa del mapa interactivo, sino cookies analíticas de la actividad de los usuarios, por lo que sí era necesario una información detallada sobre los fines del tratamiento de datos y recabar el consentimiento.

CUARTO.-La demandante alega la infracción del principio de proporcionalidad y la no aplicación de atenuantes que cita.

Pero resulta manifiesto que todas las sanciones se han impuesto en el grado mínimo y que dentro del mismo la cuantía fijada es moderada, por lo que no se aprecia la infracción del principio de proporcionalidad.

QUINTO.-El artículo 77.1 g) LOPD "régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" dispone:

"El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: (...) g) las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público"

Una de las peculiaridades de este régimen es que las infracciones no se sancionan con multas, sin perjuicio de que se pueda promover la exigencia de responsabilidad disciplinaria contra las autoridades o directivos de los entes públicos.

Pues bien, este precepto no imposibilita la aplicación de multas a los colegios profesionales, en tanto que las infracciones determinadas no afectan exclusivamente a tratamiento de datos cuyos fines estén relacionados con el ejercicio de potestades de derecho público- por ejemplo, los datos de un procedimiento sancionador- sino que son infracciones que afectan a todas las actividades del colegio profesional.

SEXTO.-Las costas se imponen al demandante, de conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción Contencioso-Administrativa.

Vistos los artículos citados y demás de general aplicación, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sección primera, ha dictado el siguiente

PRIMERO.-El recurso contencioso-administrativo se interpone contra la resolución de la Directora de la Agencia Española de Protección de Datos, de 6 de junio del 2023, por la que se resuelve el EXP202201681, imponiendo al colegio demandante una sanción de 5.000 euros por infracción del artículo 38.6 RGPD al apreciar que existe conflicto de intereses en la persona designada como delegado de protección de datos, una sanción de 8.000 euros, por infracción del artículo 13 RGPD al no contener información los formularios de "quejas y reclamaciones" sobre los fines del tratamiento de los datos que el reclamante consigna en los mismos; y una sanción de 1.000 euros por infracción del artículo 22.2 LSSI, por utilizar cookies de terceros de carácter no exceptuado, sin el consentimiento del usuario.

SEGUNDO.-El secretario del Colegio- designado como delegado de protección de datos- tiene, según los estatutos, funciones que implican participar en acuerdos sobre la determinación de los fines y medios de tratamiento de datos de los colegiados y usuarios de los servicios prestados por el colegio profesional.

Como miembro con voz y voto de la Junta de Gobierno concurre en el ejercicio de las siguientes funciones (artículo 13 Estatutos): "c) Resolver las solicitudes de incorporación de nuevos colegiados, de bajas colegiales y sobre la suspensión de servicios colegiales y de la condición de colegial e) Recaudar, distribuir y administrar los fondos del Colegio, conforme a lo previsto en el Título sobre Régimen Económico y Patrimonial de los presentes Estatutos Particulares. k) Ejercer la función disciplinaria y adoptar medidas cautelares, incoando, de oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará la correspondiente Resolución. El ejercicio de tales funciones lo podrá delegar en el Decano, en un grupo de miembros de Junta de Gobierno o en una Comisión."

Como miembro de la Comisión permanente (artículo 15) participa también de la adopción de decisiones en relación a las siguientes materias:

"1. Poner en práctica las directrices emanadas de la Junta de Gobierno. 2. Proponer a la Junta de Gobierno cuantos actos sean consecuencia de las competencias que ésta tiene asumidas. 3. La adopción de las medidas necesarias para el cumplimiento de los acuerdos de la Junta de Gobierno. 4. Organizar los servicios de las oficinas del Colegio. 5. Adoptar decisiones sobre aquellos asuntos de carácter urgente que, siendo competencia de la Junta de Gobierno, no puedan sufrir aplazamiento hasta la reunión de ésta, debiéndose dar cuenta de estos actos, para su ratificación, en la primera sesión que celebre la Junta de Gobierno. 6. Aquellas funciones que, expresamente, le delegue la Junta de Gobierno."

Por último, sus funciones propias atribuidas por el artículo 17 de los Estatutos tienen también proyección sobre el tratamiento de datos. En particular le compete:

"2. Resolver provisionalmente acerca de la admisión de los nuevos colegiados de conformidad con lo dispuesto en estos Estatutos Particulares. 4. Librar las certificaciones que se soliciten y deban ser expedidas y llevar el libro registro de colegiados 5. Formular anualmente las listas de colegiados en sus distintas versiones. Estas listas deberán anualmente estar dispuestas en los plazos que se disponen en estos Estatutos Particulares a efectos de elecciones 6. Hacer las notificaciones de altas y bajas colegiales. 7. Llevar los libros de actas de las reuniones de la Asamblea General de colegiados, Junta de Gobierno y de la Comisión Permanente y trasladar los acuerdos, llevando el seguimiento del cumplimiento de los mismos."

Por ello, la resolución sancionadora sostiene que tales funciones incurren en conflicto de intereses con las funciones que debe asumir como delegado de protección de datos porque realiza actividades o asesora como Secretario sobre cuestiones que inciden en la materia de protección de datos.

Según el artículo 38.6 RGPD "el delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses".

Si quien debe supervisar el cumplimiento de las normas relativas a la protección de datos participa en la toma de decisiones sobre fines y medios de tratamiento de datos, difícilmente puede desempañar con objetividad las funciones propias del cargo, lo que debe llevar a afirmar que no se cumple con la obligación de designar un delegado de protección de datos que reúna los requisitos exigidos en el Reglamento.

Se alega que la AEPD contraviene sus propios actos porque dio por bueno el nombramiento del DPT en otras actuaciones promovidas por el mismo colegiado reclamante, pero no acredita que en tal ocasión se examinara la existencia o no de conflicto de intereses.

Se aportó al amparo del artículo 270 LEC resolución del Consejo de Transparencia y Protección de Datos de Andalucía, que no incide en los temas que aquí se tratan, puesto que en relación con el conflicto de intereses del secretario se declara incompetente para pronunciarse.

SEGUNDO.-Resp ecto de la infracción del artículo 13 RGPD "información que deberá facilitarse cuando los datos personales se obtenga del interesado" en relación a la que estos incluyen al rellenar los formularios de "quejas y reclamaciones" cuestiona el demandante que se imponga una sanción sin acreditar la culpabilidad.

El incumplimiento del citado precepto, como se detalla en la resolución sancionadora, es tan evidente, por los aspectos relevantes sobre los que no se suministra información, que es diáfano que la infracción puede imputarse a título de culpa por lo que no se está exigiendo ninguna responsabilidad objetiva por la infracción.

TERCERO.-Por lo que se refiere a la falta de información de la política de cookies, que se instalan en quienes acceden a un mapa interactivo de un tercero, a través del enlace que se suministra en la página web del colegio profesional, la resolución precisa que no solo se trata de cookies técnicas, necesarias para la operativa del mapa interactivo, sino cookies analíticas de la actividad de los usuarios, por lo que sí era necesario una información detallada sobre los fines del tratamiento de datos y recabar el consentimiento.

CUARTO.-La demandante alega la infracción del principio de proporcionalidad y la no aplicación de atenuantes que cita.

Pero resulta manifiesto que todas las sanciones se han impuesto en el grado mínimo y que dentro del mismo la cuantía fijada es moderada, por lo que no se aprecia la infracción del principio de proporcionalidad.

QUINTO.-El artículo 77.1 g) LOPD "régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" dispone:

"El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: (...) g) las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público"

Una de las peculiaridades de este régimen es que las infracciones no se sancionan con multas, sin perjuicio de que se pueda promover la exigencia de responsabilidad disciplinaria contra las autoridades o directivos de los entes públicos.

Pues bien, este precepto no imposibilita la aplicación de multas a los colegios profesionales, en tanto que las infracciones determinadas no afectan exclusivamente a tratamiento de datos cuyos fines estén relacionados con el ejercicio de potestades de derecho público- por ejemplo, los datos de un procedimiento sancionador- sino que son infracciones que afectan a todas las actividades del colegio profesional.

SEXTO.-Las costas se imponen al demandante, de conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción Contencioso-Administrativa.

Vistos los artículos citados y demás de general aplicación, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sección primera, ha dictado el siguiente

PRIMERO.-El recurso contencioso-administrativo se interpone contra la resolución de la Directora de la Agencia Española de Protección de Datos, de 6 de junio del 2023, por la que se resuelve el EXP202201681, imponiendo al colegio demandante una sanción de 5.000 euros por infracción del artículo 38.6 RGPD al apreciar que existe conflicto de intereses en la persona designada como delegado de protección de datos, una sanción de 8.000 euros, por infracción del artículo 13 RGPD al no contener información los formularios de "quejas y reclamaciones" sobre los fines del tratamiento de los datos que el reclamante consigna en los mismos; y una sanción de 1.000 euros por infracción del artículo 22.2 LSSI, por utilizar cookies de terceros de carácter no exceptuado, sin el consentimiento del usuario.

SEGUNDO.-El secretario del Colegio- designado como delegado de protección de datos- tiene, según los estatutos, funciones que implican participar en acuerdos sobre la determinación de los fines y medios de tratamiento de datos de los colegiados y usuarios de los servicios prestados por el colegio profesional.

Como miembro con voz y voto de la Junta de Gobierno concurre en el ejercicio de las siguientes funciones (artículo 13 Estatutos): "c) Resolver las solicitudes de incorporación de nuevos colegiados, de bajas colegiales y sobre la suspensión de servicios colegiales y de la condición de colegial e) Recaudar, distribuir y administrar los fondos del Colegio, conforme a lo previsto en el Título sobre Régimen Económico y Patrimonial de los presentes Estatutos Particulares. k) Ejercer la función disciplinaria y adoptar medidas cautelares, incoando, de oficio o en virtud de denuncia, los expedientes disciplinarios, en los que dictará la correspondiente Resolución. El ejercicio de tales funciones lo podrá delegar en el Decano, en un grupo de miembros de Junta de Gobierno o en una Comisión."

Como miembro de la Comisión permanente (artículo 15) participa también de la adopción de decisiones en relación a las siguientes materias:

"1. Poner en práctica las directrices emanadas de la Junta de Gobierno. 2. Proponer a la Junta de Gobierno cuantos actos sean consecuencia de las competencias que ésta tiene asumidas. 3. La adopción de las medidas necesarias para el cumplimiento de los acuerdos de la Junta de Gobierno. 4. Organizar los servicios de las oficinas del Colegio. 5. Adoptar decisiones sobre aquellos asuntos de carácter urgente que, siendo competencia de la Junta de Gobierno, no puedan sufrir aplazamiento hasta la reunión de ésta, debiéndose dar cuenta de estos actos, para su ratificación, en la primera sesión que celebre la Junta de Gobierno. 6. Aquellas funciones que, expresamente, le delegue la Junta de Gobierno."

Por último, sus funciones propias atribuidas por el artículo 17 de los Estatutos tienen también proyección sobre el tratamiento de datos. En particular le compete:

"2. Resolver provisionalmente acerca de la admisión de los nuevos colegiados de conformidad con lo dispuesto en estos Estatutos Particulares. 4. Librar las certificaciones que se soliciten y deban ser expedidas y llevar el libro registro de colegiados 5. Formular anualmente las listas de colegiados en sus distintas versiones. Estas listas deberán anualmente estar dispuestas en los plazos que se disponen en estos Estatutos Particulares a efectos de elecciones 6. Hacer las notificaciones de altas y bajas colegiales. 7. Llevar los libros de actas de las reuniones de la Asamblea General de colegiados, Junta de Gobierno y de la Comisión Permanente y trasladar los acuerdos, llevando el seguimiento del cumplimiento de los mismos."

Por ello, la resolución sancionadora sostiene que tales funciones incurren en conflicto de intereses con las funciones que debe asumir como delegado de protección de datos porque realiza actividades o asesora como Secretario sobre cuestiones que inciden en la materia de protección de datos.

Según el artículo 38.6 RGPD "el delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses".

Si quien debe supervisar el cumplimiento de las normas relativas a la protección de datos participa en la toma de decisiones sobre fines y medios de tratamiento de datos, difícilmente puede desempañar con objetividad las funciones propias del cargo, lo que debe llevar a afirmar que no se cumple con la obligación de designar un delegado de protección de datos que reúna los requisitos exigidos en el Reglamento.

Se alega que la AEPD contraviene sus propios actos porque dio por bueno el nombramiento del DPT en otras actuaciones promovidas por el mismo colegiado reclamante, pero no acredita que en tal ocasión se examinara la existencia o no de conflicto de intereses.

Se aportó al amparo del artículo 270 LEC resolución del Consejo de Transparencia y Protección de Datos de Andalucía, que no incide en los temas que aquí se tratan, puesto que en relación con el conflicto de intereses del secretario se declara incompetente para pronunciarse.

SEGUNDO.-Resp ecto de la infracción del artículo 13 RGPD "información que deberá facilitarse cuando los datos personales se obtenga del interesado" en relación a la que estos incluyen al rellenar los formularios de "quejas y reclamaciones" cuestiona el demandante que se imponga una sanción sin acreditar la culpabilidad.

El incumplimiento del citado precepto, como se detalla en la resolución sancionadora, es tan evidente, por los aspectos relevantes sobre los que no se suministra información, que es diáfano que la infracción puede imputarse a título de culpa por lo que no se está exigiendo ninguna responsabilidad objetiva por la infracción.

TERCERO.-Por lo que se refiere a la falta de información de la política de cookies, que se instalan en quienes acceden a un mapa interactivo de un tercero, a través del enlace que se suministra en la página web del colegio profesional, la resolución precisa que no solo se trata de cookies técnicas, necesarias para la operativa del mapa interactivo, sino cookies analíticas de la actividad de los usuarios, por lo que sí era necesario una información detallada sobre los fines del tratamiento de datos y recabar el consentimiento.

CUARTO.-La demandante alega la infracción del principio de proporcionalidad y la no aplicación de atenuantes que cita.

Pero resulta manifiesto que todas las sanciones se han impuesto en el grado mínimo y que dentro del mismo la cuantía fijada es moderada, por lo que no se aprecia la infracción del principio de proporcionalidad.

QUINTO.-El artículo 77.1 g) LOPD "régimen aplicable a determinadas categorías de responsables o encargados del tratamiento" dispone:

"El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: (...) g) las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público"

Una de las peculiaridades de este régimen es que las infracciones no se sancionan con multas, sin perjuicio de que se pueda promover la exigencia de responsabilidad disciplinaria contra las autoridades o directivos de los entes públicos.

Pues bien, este precepto no imposibilita la aplicación de multas a los colegios profesionales, en tanto que las infracciones determinadas no afectan exclusivamente a tratamiento de datos cuyos fines estén relacionados con el ejercicio de potestades de derecho público- por ejemplo, los datos de un procedimiento sancionador- sino que son infracciones que afectan a todas las actividades del colegio profesional.

SEXTO.-Las costas se imponen al demandante, de conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción Contencioso-Administrativa.

Vistos los artículos citados y demás de general aplicación, la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, sección primera, ha dictado el siguiente