LOPD y GDD ( LOPDGDD ) 3/2018
Artículo 77. Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.
1. El régimen establecido en este artículo será de aplicación a los tratamientos de los
que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las
comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes
de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se
relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas
autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la
autoridad de protección de datos que resulte competente dictará resolución sancionando a
las mismas con apercibimiento. La resolución establecerá asimismo las medidas que
proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se
hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que
dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de
interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de
datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios
suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las
establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de
aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se
acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no
hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se
incluirá una amonestación con denominación del cargo responsable y se ordenará la
publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que
recaigan en relación con las medidas y actuaciones a que se refieren los apartados
anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de
las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al
amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos,
esta publicará en su página web con la debida separación las resoluciones referidas a las
entidades del apartado 1 de este artículo, con expresa indicación de la identidad del
responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos
se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa
específica.
