España no es el país de la Unión Europea con las sanciones individuales más elevadas bajo el RGPD — esa distinción corresponde a Irlanda, donde las grandes empresas tecnológicas establecen sus sedes europeas. Sin embargo, España es el país de la UE con el mayor número de sanciones por RGPD con una diferencia considerable. Desde 2018, la Agencia Española de Protección de Datos (AEPD) ha impuesto más de 1.021 sanciones por un valor aproximado de 120,75 millones de euros, y 2024 ha sido su año más intensivo hasta la fecha, cerrando con un récord de 35,5 millones de euros en sanciones.
Si su empresa opera en España, presta servicios a clientes en España o trata datos personales de cualquier persona en la Unión Europea, la AEPD es la autoridad con mayor probabilidad de iniciar actuaciones de control. Comprender quién es, cómo actúa y cuáles son sus prioridades constituye una base esencial para operar legalmente en el mercado español.
La Agencia Española de Protección de Datos es la autoridad nacional independiente de protección de datos en España, establecida mediante el Real Decreto 428/1993 y fundamentada en el artículo 18.4 de la Constitución Española. Opera desde Madrid, cuenta con aproximadamente 250 empleados y dispone de un presupuesto anual de alrededor de 19 millones de euros. Además, goza de absoluta independencia respecto del Gobierno: no puede ser dirigida ni presionada por ningún ministerio.
Su doble mandato abarca tanto el RGPD de la UE como la normativa nacional española de protección de datos, la LOPDGDD (Ley Orgánica 3/2018). Las empresas en España deben cumplir con ambas normas, y la AEPD supervisa y exige el cumplimiento de ambas.
Sus facultades son amplias: imponer sanciones y medidas correctivas, investigar reclamaciones y actuaciones iniciadas de oficio, suspender tratamientos de datos, aprobar códigos de conducta, gestionar solicitudes relacionadas con los derechos de los interesados y cooperar en procedimientos transfronterizos a través del Comité Europeo de Protección de Datos (EDPB). En 2024, la AEPD participó en 370 procedimientos de cooperación transfronteriza bajo el RGPD, liderando 22 de ellos como autoridad competente.
Nota sobre las autoridades regionales de protección de datos. España también cuenta con tres autoridades regionales de protección de datos: APDCAT (Cataluña), DBEA (País Vasco) y CTPDA (Andalucía). Sin embargo, estas autoridades supervisan únicamente a organismos del sector público. Si usted representa a una empresa del sector privado, la AEPD es su autoridad de control, independientemente de la región de España en la que opere.
Cada Estado miembro de la UE cuenta con su propia autoridad nacional de protección de datos, pero existen diferencias significativas en su cultura de aplicación y en sus áreas de enfoque. La AEPD de España lidera Europa en volumen de sanciones. La DPC de Irlanda lidera en valor económico de las sanciones, impulsada por la presencia de sedes europeas de grandes empresas tecnológicas. La CNIL de Francia es conocida por su aplicación en materia de cookies y transparencia de grandes empresas tecnológicas. La aplicación en Alemania está descentralizada, pero mantiene un volumen elevado. El Garante de Italia se centra especialmente en los sectores sanitario y energético.
Lo que distingue a la AEPD es su amplitud de actuación. Investiga y sanciona con igual constancia a empresas energéticas, bancos, aseguradoras, operadores de telecomunicaciones, pequeñas empresas e instituciones públicas. Una empresa de 20 empleados que utiliza cámaras sin la señalización adecuada puede tener tantas probabilidades de recibir una notificación de la AEPD como una multinacional que está gestionando las consecuencias de una brecha de datos.
Una investigación puede iniciarse de tres formas: mediante una reclamación ciudadana presentada a través del buzón guiado en línea de la AEPD, por una actuación iniciada de oficio o mediante una notificación de brecha de datos que requiera un análisis más profundo. La AEPD recibió 18.855 reclamaciones en 2024 — la segunda cifra más alta de su historia — junto con 2.933 notificaciones de brechas de seguridad, lo que representa un aumento del 46 % respecto a 2023.
Las fuentes de reclamación más comunes en 2024, según el Informe Anual 2024 de la AEPD, fueron:
La videovigilancia es el detonante más constante en España. Si su empresa dispone de cámaras, la base jurídica, la señalización, los plazos de conservación y los controles de acceso deben estar definidos con precisión.
La mayoría de las empresas no sabe qué ocurre después de que se presenta una reclamación. Existen puntos críticos en el proceso en los que su respuesta puede determinar si el caso se cierra o si escala hasta una sanción.
La AEPD primero revisa la admisibilidad, es decir, si la reclamación está relacionada con la protección de datos y si existen fundamentos razonables. Si se admite, en lugar de abrir inmediatamente un procedimiento formal, la AEPD normalmente contactará directamente con su DPO o con la organización, solicitando documentación en el plazo de un mes. Este es el momento más importante. Si puede demostrar que ya ha corregido el problema, la AEPD puede cerrar el caso sin una investigación formal. La cooperación temprana, transparente y documentada ha permitido resolver muchas reclamaciones antes de que se conviertan en sanciones.
Si el caso escala, se asigna un inspector. Desde 2023, las investigaciones pueden realizarse de forma remota mediante videoconferencia o intercambio digital seguro. Los plazos varían: los incumplimientos relacionados con los derechos de los interesados deben resolverse en un plazo de seis meses; las infracciones de la normativa de protección de datos, en un plazo de doce meses; y las investigaciones preliminares, en un plazo de dieciocho meses.
Los resultados pueden ir desde el archivo del caso hasta una advertencia por escrito con medidas correctivas, una sanción administrativa, la suspensión del tratamiento o una orden para notificar directamente a las personas afectadas. La lección práctica es clara: responda con rapidez, actúe con transparencia y documente todo lo que ya haya realizado. La cooperación temprana reduce de forma significativa el riesgo de aplicación sancionadora.
Las sanciones del RGPD operan en dos niveles. El Nivel 1 cubre incumplimientos procedimentales: hasta 10 millones de euros o el 2 % del volumen de negocio anual global. El Nivel 2 cubre infracciones fundamentales, como el tratamiento ilícito o la desatención de los derechos de los interesados: hasta 20 millones de euros o el 4 % del volumen de negocio global.
En 2024, cinco sectores representaron el 77 % del valor total de las sanciones impuestas por la AEPD: energía y agua (11,6 millones de euros), finanzas y banca (5,3 millones de euros), servicios de internet (4,5 millones de euros), telecomunicaciones (3,3 millones de euros) y contratación fraudulenta (2,5 millones de euros). Casos recientes clave, según el CMS GDPR Enforcement Tracker:
|
Importe de la sanción |
Entidad / Año |
Descripción del caso |
|
10.043.002 € |
Aena (2025) |
El operador aeroportuario de España fue sancionado y obligado a suspender su programa de embarque con reconocimiento facial en ocho aeropuertos, incluido Madrid-Barajas. La AEPD determinó que existía una Evaluación de Impacto en Protección de Datos insuficiente antes de incorporar a cerca de 40.000 viajeros, constituyendo la mayor sanción impuesta por la AEPD hasta la fecha. |
|
4.000.000 € |
Proveedor de seguros (2024) |
Un ciberataque expuso datos de clientes. La AEPD concluyó que existían medidas de seguridad inadecuadas antes de la brecha, lo que implica que el incidente fue consecuencia de un fallo de cumplimiento, y no únicamente de un evento externo. |
|
950.000 € |
Yoti Ltd (2026) |
Una empresa británica de identidad digital fue sancionada por tres infracciones: tratamiento biométrico ilícito, consentimiento inválido mediante casillas preseleccionadas y conservación excesiva de datos. Yoti no tiene operaciones en España; este caso confirma que la AEPD actuará contra cualquier empresa que trate datos de usuarios en España, independientemente de su ubicación. |
El patrón es coherente con lo que el análisis FY24 de Linklaters sobre la AEPD identifica como un cambio estratégico deliberado: menos sanciones en términos generales, pero de mayor cuantía y complejidad. Las pequeñas empresas siguen estando dentro del ámbito de actuación, especialmente en materia de videovigilancia, marketing ilícito y fallos en la gestión de solicitudes de derechos de los interesados.
El Plan Estratégico 2025–2030 de la AEPD, publicado en julio de 2025 tras un proceso de consulta que recogió más de 450 aportaciones, marca la siguiente fase de la aplicación normativa para cualquier empresa que opere en España.
El concepto central es la supervisión inteligente: un modelo basado en riesgos y apoyado en tecnología, con un enfoque “AI-first” dentro de las propias operaciones de la AEPD. La implicación práctica es clara: la AEPD identificará cada vez más los incumplimientos de forma proactiva, no únicamente en respuesta a reclamaciones. Esperar a que una reclamación active una actuación ya no es una estrategia viable.
Las áreas prioritarias hasta 2030 incluyen la biometría, la gobernanza de la inteligencia artificial, la neurotecnología, la identidad digital bajo eIDAS2 y la supervisión de transferencias internacionales de datos. Un nuevo Privacy Lab desarrollará herramientas de cumplimiento de código abierto, y una “cláusula PYME” compromete a la AEPD a proporcionar orientación simplificada para pequeñas y medianas empresas.
Si su empresa utiliza herramientas de inteligencia artificial que tratan datos personales, ya se encuentra dentro del ámbito de supervisión. La AEPD aclaró en julio de 2025 que puede actuar en virtud del RGPD frente a sistemas de IA prohibidos incluso antes de que la legislación nacional sobre IA en España esté finalizada, lo que convierte este ámbito en una de las prioridades de cumplimiento más urgentes para las empresas que operan en el mercado español de cara a 2026.
Con base en el historial de aplicación de la AEPD y su dirección estratégica, estas son las acciones prioritarias:
El curso de Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute cubre el marco completo de cumplimiento — registros de actividades de tratamiento, bases jurídicas, respuesta a brechas y obligaciones del DPO — e incluye 18 plantillas descargables que pueden aplicarse de forma inmediata.
Obtén tu certificación oficial de cumplimiento del GDPR de la UE y protección de datos. Desarrolla experiencia en las leyes de privacidad de la UE y protege tu negocio. ¡Regístrate hoy!
La estrategia 2025–2030 de la AEPD deja clara su dirección: la aplicación normativa será más proactiva, más impulsada por la tecnología y cada vez más centrada en la inteligencia artificial, la biometría y las actividades de tratamiento complejas. Las empresas que consideran el cumplimiento como una medida reactiva — activada por una reclamación en lugar de integrada en sus operaciones — asumen un riesgo financiero y reputacional creciente.
Para las empresas que deben gestionar los requisitos del RGPD y la LOPDGDD supervisados por la AEPD, el Spanish Compliance Institute ofrece formación estructurada y práctica, adaptada al entorno regulatorio español. El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas es el punto de partida adecuado: cubre el marco completo de cumplimiento e incluye 18 plantillas descargables que pueden utilizarse de forma inmediata.
