Receiving a request from the Spanish Data Protection Agency is no longer a remote possibility for companies operating in Spain. The AEPD maintains one of the highest levels of supervisory activity in the European Union, and its 2024 Report confirms an increase in the total amount of sanctions to 35,592,200 euros, compared to 29,817,410 euros in 2023. In parallel, Spain continues to appear as the country with the highest number of fines registered in the CMS GDPR Enforcement Tracker Report 2025, a private reference database based on public resolutions.
The good news is that a large part of the AEPD's cases are due to preventable failures: insufficient security measures, poorly documented legal basis, delays in breach management, absence of impact assessments, or deficient management of individuals' rights. For companies that are also introducing automation, advanced analytics, or artificial intelligence into their processes, applied training such as AI strategy and emerging technologies for business can help unify privacy, technology governance, and compliance within a single operating framework.
Why Spain continues to be one of the most active markets in GDPR enforcement
Spain stands out not so much for concentrating the highest fines in Europe, but for the sustained volume of actions. The CMS report places Spain, for the sixth consecutive year, at the forefront in the number of publicly registered sanctions, while the AEPD's 2024 Report reflects intense activity in complaints, procedures, and security breaches.
The AEPD itself reported in May 2025 that in 2024 it received more than 19,000 complaints, that the volume of sanctions increased, and that data controllers notified a total of 2,765 personal data breaches in 2025. It also indicated that communications to affected parties due to high-risk breaches exceeded 200 million.
For practical purposes, this means that the Spanish authority very broadly supervises organizations of all sizes, including SMEs, healthcare entities, telecommunications, energy, digital services, and public administrations.
The 5 most frequent causes of sanction risk in Spain
1. Inadequate security measures
The AEPD dedicates a very significant part of its activity to incidents related to security breaches and infringements of Articles 5.1.f and 32 of the GDPR in EUR-Lex. In the 2024 Report, the Agency notes that procedures linked to security breaches had a significant presence in 2023 and 2024, and that fines for this type of infringement exceeded 13 million euros in 2024.
To reduce this risk, it is advisable to implement multi-factor authentication in internet-exposed systems, encryption at rest and in transit, access control based on least privilege, anomalous activity monitoring, and a clear vulnerability management policy. The AEPD also provides organizations with practical tools and support materials for compliance.
2. Lack of valid legal basis
Processing without a properly defined legal basis continues to be one of the classic causes of infringement. Article 6 of the GDPR requires that each processing operation be based on a valid and documented basis, and that this basis be consistent with the purpose, data minimization, and information provided to the data subject.
In practice, this requires reviewing each processing operation: whether it is based on consent, contract, legal obligation, legitimate interest, or another basis; whether that basis is documented; and whether the privacy information describes the processing with sufficient clarity.
3. Failure to notify breaches within the deadline
Article 33 of the GDPR requires notifying the supervisory authority of a personal data breach without undue delay and, where feasible, no later than 72 hours after becoming aware of it. The AEPD maintains a specific guide on breach management and offers both Breach Advisor and Breach Communication-GDPR to help decide whether to notify the authority or communicate with affected individuals.
A reasonable response to a breach typically includes four stages: initial detection and containment, impact assessment, notification to the AEPD when appropriate, and communication to affected individuals if there is a high risk. Not having a prior protocol is one of the most costly mistakes.
4. Failure to conduct a DPIA when mandatory
A Data Protection Impact Assessment (DPIA) is mandatory when a processing operation is likely to result in a high risk to the rights and freedoms of individuals. The EDPB supports the guidelines inherited from the former WP29, and these indicate that, as a practical rule, when two or more high-risk criteria are met, a DPIA should normally be carried out. The AEPD also has a specific guide on risk management and impact assessment and the Assess-Risk GDPR tool.
This is especially important in processing operations involving biometrics, profiling, automated decisions, systematic monitoring, health, sensitive data, or large-scale processing. When AI systems are also used, the analysis must be coordinated with technological governance and system traceability.
5. Failure to appoint a DPO when required by law
Article 37 of the GDPR establishes the general cases for the mandatory appointment of a Data Protection Officer, and the LOPDGDD expands the scope of obligated entities in Spain. The AEPD expressly reminds that the obligation depends on the type of activity, not the number of employees. Among the sectors that may have an obligation to appoint one are, among others, certain providers of electronic communication services, entities that create large-scale profiles, healthcare centers obliged to maintain medical records, and other activities listed in Spanish regulations.
The DPO can be internal or external but must have specialized knowledge, functional independence, and access to the highest level of the organization.
GDPR compliance checklist in Spain
If you want to realistically reduce the risk of sanctions, here is a useful checklist for 2025-2026:
-
Maintain an updated inventory of processing activities.
-
Verify that each processing has a valid and documented legal basis.
-
Check if there is an obligation to appoint a DPO and, if so, notify it correctly.
-
Implement security controls proportional to the risk.
-
Define an internal breach protocol with timelines, responsibilities, and evidence.
-
Conduct DPIAs for high-risk processing operations.
-
Review contracts with data processors and providers.
-
Ensure effective channels for rights of access, rectification, erasure, objection, restriction, and data portability.
-
Train staff with a special focus on security, rights, and incident escalation.
Revisar las cookies, el marketing, la elaboración de perfiles y las transferencias internacionales, cuando corresponda.
Cómo construir un marco de cumplimiento eficaz
Paso 1. Realizar una evaluación de madurez en privacidad
Empiece por entender qué tratamientos realiza, con qué bases jurídicas, qué proveedores utiliza y dónde están los mayores riesgos. La AEPD ofrece herramientas orientadas a distintos niveles de madurez, incluidas Facilita RGPD y Facilita Emprende, además de Gestiona RGPD para apoyar el registro de actividades, el análisis de riesgos y la evaluación de impacto.
Paso 2. Consolidar el ROPA
El registro de actividades de tratamiento debe recoger finalidades, categorías de interesados y datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad. Este registro es una pieza básica para responder bien ante inspecciones, reclamaciones o auditorías internas.
Paso 3. Integrar la privacidad desde el diseño
La AEPD y el RGPD insisten en la privacidad desde el diseño y por defecto. En la práctica, eso supone limitar la recogida de datos, activar configuraciones protectoras por defecto, seudonimizar o anonimizar cuando sea posible y revisar la necesidad y proporcionalidad antes de desplegar nuevos tratamientos.
Paso 4. Formar al personal
La mayor parte de los errores que acaban en sanción tienen un componente operativo: solicitudes de derechos mal gestionadas, correos enviados al destinatario erróneo, accesos mal configurados, o decisiones tomadas sin revisar la base jurídica. La formación periódica reduce ese riesgo y además mejora la capacidad de respuesta ante la AEPD.
Paso 5. Preparar derechos y brechas como procesos, no como documentos
No basta con tener políticas guardadas. Debe haber un flujo claro para registrar solicitudes de derechos, verificar identidades, recuperar datos, responder en plazo y escalar incidencias. Lo mismo ocurre con las brechas: sin un responsable, una cadena de decisiones y evidencias de actuación, la organización llega tarde y mal a la notificación.
Procedimientos de la AEPD: qué ocurre cuando llega una reclamación
La AEPD puede actuar de oficio o a raíz de una reclamación. En una fase preliminar valora si la reclamación es admisible y, en determinados casos, puede pedir información antes de incoar formalmente un procedimiento. Según la propia Agencia, el reclamante debe recibir una decisión de admisión o inadmisión en un plazo de tres meses. Los procedimientos sobre derechos pueden resolverse en un máximo de seis meses, y los procedimientos sancionadores por infracciones pueden durar hasta doce meses desde su inicio.
Eso hace especialmente importante responder rápido, con documentación ordenada y un relato coherente de cumplimiento.
Errores comunes que siguen cometiendo las empresas
Un error muy frecuente es copiar banners de cookies o textos legales de otras webs sin revisar si realmente reflejan el tratamiento realizado. Otro es tratar el RGPD como un proyecto puntual y no como una función continua. También es habitual infravalorar el riesgo de los proveedores, olvidar que los datos de empleados son datos personales o asumir que ser una pyme reduce la probabilidad de inspección. En España, la práctica supervisora de la AEPD demuestra que ninguna de esas suposiciones es segura.
Prioridades sectoriales para 2025-2026
En salud, comercio electrónico, finanzas, telecomunicaciones y energía, el riesgo es especialmente visible por el tipo de datos tratados, el volumen de operaciones o el uso de decisiones automatizadas. La Memoria 2024 de la AEPD subraya precisamente la relevancia sancionadora de sectores como suministro de agua y energía, entidades financieras y servicios de internet.
Si su organización además utiliza biometría, perfilado o inteligencia artificial, conviene elevar el estándar de revisión. En ese contexto, una formación específica como estrategia de IA y tecnologías emergentes para negocios puede servir para conectar privacidad, DPIA, documentación técnica y controles operativos.
Plan de cumplimiento del RGPD en 30-60-90 días
Días 1-30
Revise si necesita un DPO, haga un inventario de tratamientos, actualice su política de privacidad e identifique brechas críticas de base jurídica, seguridad o DPIA.
Días 31-60
Cree o actualice el ROPA, implante medidas técnicas prioritarias, revise contratos con encargados y forme al personal en derechos, seguridad y escalado.
Días 61-90
Complete DPIA pendientes, pruebe simulaciones de brechas, audite proveedores clave y programe una revisión periódica de cumplimiento.
Conclusión
La aplicación del RGPD en España sigue siendo intensa y muy operativa. La AEPD combina volumen de actuaciones, atención a brechas, presión sobre medidas de seguridad y una expectativa clara de responsabilidad demostrable. La mejor defensa no es esperar a recibir un requerimiento, sino llegar antes con inventario, base jurídica, seguridad, DPIA, DPO cuando proceda y procesos internos realmente funcionales.
Preguntas frecuentes
¿Cuáles son las causas más comunes de sanciones del RGPD en España?
Las más repetidas incluyen medidas de seguridad insuficientes, falta de base jurídica válida, mala gestión de brechas y ausencia de DPIA en tratamientos de alto riesgo.
¿Cuándo es obligatorio designar un Delegado de Protección de Datos en España?
Cuando concurre alguno de los supuestos del artículo 37 del RGPD o alguno de los casos ampliados por la LOPDGDD. En España, la obligación depende de la actividad, no del tamaño de la empresa.
¿Con qué rapidez debo notificar una brecha a la AEPD?
En principio, dentro de las 72 horas desde que se tiene constancia de la brecha, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas.
¿Qué es una DPIA y cuándo suele ser obligatoria?
Es una evaluación de impacto sobre la protección de datos para tratamientos de alto riesgo. Suele ser necesaria cuando concurren varios criterios de alto riesgo, como perfilado, vigilancia sistemática, datos sensibles o tratamiento a gran escala.
¿Puedo externalizar la función de DPO?
Sí. El RGPD permite designar un DPO externo mediante contrato de servicios, siempre que reúna la cualificación y autonomía necesarias.
