La lista está compuesta por Administraciones Públicas que no cumplen con los requerimientos de información remitidos por la Agencia, así como aquellas que no adecúan el tratamiento de datos a la legalidad y no acreditan las medidas correctivas impuestas. Tanto la falta de respuesta a los requerimientos como no acreditar que se han cumplido las medidas ordenadas para garantizar la protección de datos de los ciudadanos suponen infracciones clasificadas como muy graves.
Entre esas administraciones que no han cumplido las órdenes de la Agencia, destacan entidades locales de más de 20.000 habitantes a las que se les ha requerido que nombren un Delegado de Protección de Datos (DPD). Al no cumplir con la orden remitida, la Agencia inicia un procedimiento sancionador contra estas administraciones por no atender el requerimiento de la Agencia.
La obligación de nombrar un DPD, establecida en el Reglamento General de Protección de Datos (RGPD) para autoridades u organismos públicos, supone disponer de un asesoramiento y supervisión especializada en materia de protección de datos, entre otras funciones, además de ofrecer una vía de contacto a los ciudadanos para que puedan obtener una respuesta adecuada a sus cuestiones. Transcurridos casi cinco años desde la aplicación del RGPD, aún son varias las entidades locales que siguen sin nombrar DPD y comunicar a la AEPD su designación, además de no cumplir con los requerimientos enviados. El nombramiento de Delegado de Protección de Datos y su comunicación a la Agencia suponen una obligación para las autoridades u organismos públicos incluida en el artículo 37 del Reglamento. La falta de cumplimiento supone una infracción calificada como grave.
De acuerdo con el artículo 77 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, la sanción que les corresponde es de apercibimiento.
