La mayoría de las empresas no reflexionan sobre lo que ocurre después de recibir una multa del RGPD hasta el momento en que la reciben. Para entonces, el plazo ya está corriendo.
La autoridad española de protección de datos — la Agencia Española de Protección de Datos (AEPD) — impuso un récord de 35,5 millones de euros en multas derivadas del RGPD solo en 2024, lo que supone un incremento del 19 % respecto al año anterior. Dichas sanciones afectaron a empresas energéticas, entidades bancarias, compañías aseguradoras, operadores de telecomunicaciones y pequeñas y medianas empresas. Las infracciones que las originaron van desde medidas de seguridad insuficientes hasta el tratamiento ilícito de datos biométricos, pasando por el mero incumplimiento del plazo para atender una solicitud de ejercicio de derechos de un cliente.
Esta guía no tiene por objeto explicar cómo evitar una multa — para ello, consulte nuestra guía completa sobre el cumplimiento del RGPD para empresas. El presente documento aborda lo que ocurre después de que la AEPD haya iniciado actuaciones contra su entidad:
el procedimiento íntegro, desde el primer contacto hasta la resolución definitiva, los derechos de recurso, los factores que determinan el importe de la sanción y las medidas que debe adoptar en cada fase.
Cómo llega la AEPD hasta su empresa: causas que originan una investigación
Antes de la sanción, siempre existe una investigación previa. Una investigación de la AEPD puede iniciarse de tres maneras:
- Reclamación de un ciudadano —presentada a través del buzón orientado de la AEPD disponible en línea. En 2024, la AEPD recibió 18.855 reclamaciones, la segunda cifra más elevada de su historia.
- Actuación de oficio: La AEPD supervisa proactivamente distintos sectores, atiende informaciones aparecidas en medios de comunicación y lleva a cabo investigaciones basadas en inteligencia. En el marco de su Plan Estratégico 2025–2030, la agencia se ha comprometido con una “supervisión inteligente” apoyada en herramientas de análisis basadas en inteligencia artificial.
- Notificación de una brecha de seguridad: en 2024 se recibieron 2.933 notificaciones de brechas de datos, un 46 % más que en 2023. Algunas de ellas desencadenan investigaciones adicionales orientadas a determinar si la propia brecha fue consecuencia de un incumplimiento previo.
Las infracciones más frecuentes que dan lugar a procedimientos formales — conforme al historial sancionador de la propia AEPD — incluyen: el tratamiento de datos personales sin base jurídica válida, las medidas de seguridad insuficientes, la falta de atención a las solicitudes de ejercicio de derechos en el plazo de un mes, la videovigilancia ilícita y la ausencia de una Evaluación de Impacto relativa a la Protección de Datos (EIPD) previa al tratamiento de alto riesgo.
| Nota clave: La AEPD no precisa de una reclamación previa para investigar a su empresa. Su Plan Estratégico 2025–2030 prevé una supervisión proactiva basada en tecnología. Las empresas pueden ser identificadas e investigadas sin que ningún ciudadano haya presentado una reclamación. Para un análisis completo de las prioridades de aplicación de la AEPD, consulte nuestra guía RGPD y la AEPD: lo que toda empresa necesita saber. |
Fase 1 — El primer contacto: qué significa recibir una notificación de la AEPD
La primera comunicación formal de la AEPD llega mediante notificación escrita — habitualmente por correo postal certificado o a través del sistema de notificación electrónica obligatoria para empresas. Identificar correctamente el tipo de notificación recibida es fundamental, ya que determina el margen de actuación y el tiempo disponible para responder.
Solicitud de información frente a apertura formal de procedimiento sancionador
Solicitud de información: La AEPD solicita documentación y una explicación sobre las actividades de tratamiento de datos llevadas a cabo por la entidad. No se trata aún de un procedimiento sancionador formal. Es el primer momento — y el más importante — para resolver el asunto sin consecuencias económicas. Si la empresa puede acreditar que ya ha subsanado la incidencia, la AEPD puede archivar el expediente antes de que se incoe ningún procedimiento formal.
Apertura formal del procedimiento sancionador: Este supuesto reviste mayor gravedad. Indica que la AEPD ya ha formado una opinión preliminar de que se ha producido una infracción y procede a la apertura de una investigación formal. El responsable del tratamiento conserva sus derechos y dispone de la oportunidad de formular alegaciones, aunque la ventana para una resolución extrajudicial se ha estrechado considerablemente.
El plazo de respuesta de un mes
Con independencia del tipo de notificación recibida, el plazo para responder es generalmente de un mes. La notificación indicará la infracción presuntamente cometida, la base jurídica de la investigación, la documentación requerida y el plazo exacto para su presentación.
|
Atención: El incumplimiento del plazo de respuesta se considera en sí mismo una deficiencia de cumplimiento y queda registrado como circunstancia agravante en cualquier procedimiento ulterior. La ausencia de respuesta nunca es la opción adecuada ante una notificación de la AEPD. Se recomienda encarecidamente la consulta inmediata a un especialista cualificado en protección de datos. |
Fase 2 — La investigación: facultades de actuación de la AEPD
Si el expediente pasa de la fase de solicitud de información, se designa un Inspector de la AEPD. Desde la reforma legislativa de 2023, las investigaciones pueden llevarse a cabo de forma remota — mediante videoconferencia e intercambio seguro de documentos digitales — además de presencialmente. Durante esta fase, la AEPD está facultada para:
- Solicitar documentos, registros, políticas y registros de actividades de tratamiento
- Entrevistar al personal y a los responsables del tratamiento
- Realizar inspecciones presenciales o remotas de sistemas y datos
- Requerir información a terceros vinculados con el tratamiento
- Acceder a los sistemas de tratamiento de datos cuando sea necesario para verificar el cumplimiento
Plazos de investigación: las garantías jurídicas de su empresa
La legislación española establece plazos máximos para los procedimientos de la AEPD. Estos plazos son jurídicamente exigibles: si la AEPD los supera, el procedimiento puede caducar. Su conocimiento proporciona a la empresa un marco claro sobre qué esperar en cada fase:
- Procedimientos por incumplimiento de derechos de los interesados: deben resolverse en un plazo máximo de 6 meses
- Infracciones de la normativa de protección de datos: hasta 12 meses (el procedimiento caduca si se supera este plazo)
- Advertencias o medidas correctivas: hasta 6 meses
- Actuaciones previas de investigación: hasta 18 meses
- Procedimientos en materia de cooperación transfronteriza ante el CEPD: los plazos pueden quedar en suspenso durante el período de coordinación
A lo largo de la investigación, la empresa tiene derecho a presentar pruebas y alegaciones, acceder al expediente de investigación, ser oída antes de que se proponga ninguna sanción y actuar representada por asesoramiento jurídico. La cooperación transparente — aportando la documentación requerida con prontitud y acreditando las medidas correctivas ya adoptadas — constituye uno de los factores más determinantes en el resultado final del procedimiento.
Fase 3 — La propuesta de sanción: cómo se calculan las multas del RGPD
Si la investigación confirma la existencia de una infracción, la AEPD formula una propuesta de sanción. Comprender cómo se determina dicho importe — y qué factores lo incrementan o reducen — resulta esencial para cualquier empresa en esta situación.
El sistema sancionador de doble nivel
Conforme a lo establecido en el artículo 83 del RGPD y aplicado por la AEPD en virtud de la LOPDGDD:
- Nivel 1 — hasta 10 millones de euros o el 2 % del volumen de negocio anual global: infracciones de carácter procedimental, tales como la falta de mantenimiento de registros, la no designación del Delegado de Protección de Datos (DPD) cuando es preceptivo, o el incumplimiento del plazo de notificación de brechas en el plazo de 72 horas
- Nivel 2 — hasta 20 millones de euros o el 4 % del volumen de negocio anual global: infracciones fundamentales, como el tratamiento de datos sin base jurídica, el incumplimiento de los derechos de los interesados o las transferencias internacionales de datos ilícitas
- Régimen sancionador de la Ley de Inteligencia Artificial — hasta 35 millones de euros o el 7 % del volumen de negocio anual global: para las prácticas de IA prohibidas más graves, aplicable conjuntamente con las sanciones derivadas del RGPD cuando ambos marcos normativos resulten infringidos.
Factores que determinan el importe final de la sanción
La AEPD no impone automáticamente la cuantía máxima. Evalúa una serie de factores — recogidos en el artículo 83.2 del RGPD — que actúan como circunstancias agravantes o atenuantes de la sanción definitiva:
|
Circunstancias agravantes (incrementan la sanción)
|
|
Circunstancias atenuantes (reducen la sanción)
|
Reducción del 20 % por pago voluntario: Conforme al Derecho administrativo español, las empresas que reconocen voluntariamente la sanción y la abonan con prontitud — sin impugnarla — tienen derecho a una reducción automática del 20 % sobre el importe de la multa. Esta opción debe valorarse cuidadosamente frente a las posibilidades de éxito de un eventual recurso.
Fase 4 — Impugnación de la sanción: derechos de recurso
La recepción de una propuesta de sanción no es el desenlace final del procedimiento. El ordenamiento jurídico español y el Derecho de la Unión Europea contemplan un conjunto estructurado de vías para impugnar la decisión de la AEPD. Las empresas que se implican activamente en cada fase obtienen con frecuencia reducciones significativas o la anulación total de las sanciones.
Paso 1: Pliego de cargos
Tras formular la propuesta de sanción, la AEPD emite un pliego de cargos formal. El responsable del tratamiento tiene derecho a presentar alegaciones escritas en las que cuestione los hechos declarados probados, la base jurídica aplicada o el importe propuesto. El plazo habitual es de quince días hábiles. Esta fase no constituye una resolución definitiva: es la oportunidad de influir en el resultado antes de que adquiera carácter vinculante.
Paso 2: Resolución definitiva
Tras examinar las alegaciones presentadas, la AEPD dicta su resolución definitiva. La sanción final puede coincidir con la inicialmente propuesta, ser inferior o — en supuestos excepcionales — superior, si durante el procedimiento afloran nuevas circunstancias agravantes. La resolución constituye un acto administrativo formal dotado de plenos efectos jurídicos vinculantes.
Paso 3: Recurso de reposición
La resolución definitiva puede impugnarse mediante recurso de reposición ante la propia AEPD. El plazo de interposición es de un mes contado desde la notificación de la resolución. En la mayoría de los supuestos, este paso previo resulta necesario antes de acudir a la vía judicial.
Paso 4: Recurso contencioso-administrativo
Si el recurso de reposición es desestimado o se decide prescindir de él, la sanción puede impugnarse ante los tribunales contencioso-administrativos españoles. Se trata de un control judicial pleno, en el que el tribunal examina tanto los hechos como el fundamento jurídico de la decisión de la AEPD. La duración de los procedimientos judiciales en España oscila habitualmente entre uno y tres años.
|
Importante: La interposición de un recurso no suspende automáticamente la obligación de pago de la sanción. En la mayoría de los casos, la empresa deberá abonar la multa o constituir un aval bancario mientras el recurso se sustancia, salvo que el tribunal conceda expresamente la suspensión cautelar. Esta circunstancia económica constituye un factor determinante a la hora de valorar si conviene impugnar la sanción o acogerse a la reducción del 20 % por pago voluntario. |
Tras la sanción: publicación, medidas correctivas y consecuencias ulteriores
El pago de la multa raramente pone fin al asunto. Existen tres consecuencias que se prolongan más allá de la sanción económica.
Publicación pública de las resoluciones
La AEPD publica sus resoluciones — incluidas las decisiones sancionadoras — en su base de datos oficial de resoluciones. Las sanciones de mayor cuantía son permanentemente consultables en línea. Para las pequeñas y medianas empresas, el daño reputacional derivado de esta publicidad puede ser tan perjudicial como la propia penalización económica. La AEPD anonimiza en determinados casos las resoluciones referidas a personas físicas, si bien las personas jurídicas suelen ser identificadas con su denominación completa.
Obligaciones correctivas pendientes
La mayoría de las resoluciones de la AEPD incorporan órdenes correctivas junto a la sanción económica: mandatos de supresión de datos, implantación de medidas de seguridad, actualización de los mecanismos de consentimiento o designación de un Delegado de Protección de Datos. La AEPD supervisa activamente el cumplimiento de sus resoluciones. El incumplimiento de las órdenes correctivas puede dar lugar a nuevos procedimientos, con independencia de la sanción inicial.
Incidencia en futuras actuaciones de control
Una sanción previa queda registrada formalmente y se trata como circunstancia agravante en cualquier investigación posterior de la AEPD contra la misma organización. Las infracciones reiteradas conllevan multas notablemente superiores. La implantación de un programa de cumplimiento sólido una vez impuesta la sanción constituye la protección más eficaz frente a ese riesgo. El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute le proporciona la documentación, las plantillas y los procesos que le servirán de mejor defensa ante cualquier investigación regulatoria futura.
Lo que revelan los casos reales de sanciones de la AEPD
Tres expedientes recientes del historial sancionador de la AEPD ilustran cómo funciona el procedimiento en la práctica y qué busca realmente la autoridad de control.
|
10.043.002 € — Aena, gestor aeroportuario español (2025) Aena implantó un sistema voluntario de embarque mediante reconocimiento facial en ocho aeropuertos, entre ellos Madrid-Barajas y Barcelona-El Prat. La AEPD constató que la entidad no había realizado una Evaluación de Impacto relativa a la Protección de Datos (EIPD) adecuada antes de incorporar a casi 40.000 viajeros al sistema. El programa era de carácter voluntario para los pasajeros y estaba concebido para facilitar el tráfico aeroportuario. Ninguna de estas circunstancias resultó determinante: sin una EIPD válida, el tratamiento era ilícito desde el primer día. Aena fue sancionada con 10.043.002 euros — la mayor sanción impuesta jamás por la AEPD — y se le ordenó la suspensión inmediata del programa. Consecuencia práctica: incluso los proyectos voluntarios y de carácter beneficioso exigen el pleno cumplimiento del RGPD antes de su puesta en marcha. El principio de responsabilidad proactiva — acreditar el cumplimiento con carácter previo a cualquier incidente — no es optativo. |
|
4.000.000 € — Entidad aseguradora (2024) Un ciberataque provocó la exposición de datos de clientes. La investigación de la AEPD no se centró únicamente en el ataque, sino en las medidas de seguridad que existían antes de que este se produjera. La conclusión fue que unas medidas de seguridad previas insuficientes habían hecho posible la brecha. La aseguradora fue sancionada con 4 millones de euros. Consecuencia práctica: una brecha de datos no es un mero acontecimiento externo, sino la evidencia que utiliza la AEPD para evaluar el cumplimiento preexistente de la organización. Las obligaciones de seguridad derivadas del RGPD son de naturaleza preventiva, no reactiva. |
|
950.000 € — Yoti Ltd, empresa británica de identidad digital (2026) Yoti no dispone de establecimiento en España. Fue sancionada con 950.000 euros por tres infracciones diferenciadas: 500.000 euros por el tratamiento ilícito de datos biométricos de categoría especial, 200.000 euros por el uso de casillas premarcadas para recabar un consentimiento inválido, y 250.000 euros por la conservación de datos personales más allá del plazo de retención declarado. Consecuencia práctica: varias infracciones menores se acumulan dando lugar a sanciones totales de considerable cuantía. Además, la competencia de la AEPD se extiende a toda empresa que trate datos de usuarios españoles, con independencia de su domicilio social. |
El patrón que se repite en los tres expedientes es inequívoco: la AEPD no examina únicamente lo que ocurrió, sino qué medidas preventivas estaban implantadas con anterioridad. Por ello, el cumplimiento debidamente documentado — mantenido antes de cualquier incidencia — es la inversión más protectora que puede realizar una empresa.
Preguntas frecuentes
¿Cuánto tiempo puede durar una investigación de la AEPD antes de que se imponga una sanción?
El plazo varía en función del tipo de procedimiento: los expedientes por incumplimiento de derechos de los interesados deben resolverse en un máximo de 6 meses; los relativos a infracciones de la normativa de protección de datos, en un plazo de hasta 12 meses (el procedimiento caduca si se supera dicho plazo); y las actuaciones previas de investigación, en un plazo de hasta 18 meses. Estos límites son jurídicamente exigibles y su superación constituye una garantía formal para las empresas.
¿Es posible recurrir una sanción del RGPD impuesta por la AEPD?
Sí. El sistema contempla dos instancias: el recurso de reposición ante la AEPD, que debe interponerse en el plazo de un mes desde la notificación de la resolución definitiva, y, en caso de que sea desestimado, el recurso contencioso-administrativo ante los tribunales españoles. Debe tenerse en cuenta que la interposición del recurso no suspende automáticamente la obligación de pago.
¿En qué consiste la reducción del 20 % por pago voluntario?
Conforme al Derecho administrativo español, las empresas que reconocen voluntariamente la sanción y la abonan con prontitud — sin impugnarla — tienen derecho a una reducción automática del 20 % sobre el importe de la multa. Esta opción debe ponderarse en cada caso concreto frente a las posibilidades de éxito de un eventual recurso.
¿Publica la AEPD sus resoluciones sancionadoras?
Sí. La AEPD publica todas sus resoluciones, incluidas las sancionadoras, en su página web oficial. Las sanciones de mayor relevancia son permanentemente consultables en línea. Las personas jurídicas suelen ser identificadas con su denominación completa; en determinados casos que afectan a personas físicas, la AEPD puede proceder a la anonimización de los datos identificativos.
¿Puede una sanción de la AEPD afectar a una empresa domiciliada fuera de España?
Sí. El ámbito de aplicación territorial del RGPD se extiende a toda empresa que trate datos personales de personas físicas situadas en España o que dirija sus actividades a consumidores españoles. La sanción de 950.000 euros impuesta en 2026 a la empresa británica Yoti — sin establecimiento alguno en España — constituye el ejemplo más reciente y claro de este alcance extraterritorial.
¿Cuál es la mayor sanción del RGPD impuesta en Europa?
La Comisión de Protección de Datos de Irlanda impuso a Meta una multa de 1.200 millones de euros en 2023 por transferencias ilícitas de datos entre la UE y los Estados Unidos. En España, la mayor sanción individual impuesta por la AEPD asciende a 10.043.002 euros, dictada contra la entidad aeroportuaria Aena en 2025 por la implantación de un sistema de reconocimiento facial sin la previa realización de una Evaluación de Impacto relativa a la Protección de Datos adecuada.
Una sanción del RGPD no es el final: la respuesta de su empresa determina lo que viene después
Recibir una notificación de la AEPD es un asunto de la máxima seriedad. Sin embargo, se trata de un procedimiento con fases bien definidas — y en cada una de ellas, la respuesta de la empresa condiciona el desenlace. Las organizaciones que responden con diligencia, cooperan de forma transparente, acreditan medidas correctivas y cuentan con el asesoramiento de especialistas cualificados obtienen sistemáticamente mejores resultados que aquellas que no lo hacen.
Las empresas que afrontan con mayor eficacia los procedimientos de la AEPD son también aquellas que ya disponían de programas de cumplimiento debidamente documentados antes de que se iniciara cualquier investigación. Esa documentación — los registros de actividades de tratamiento, las bases jurídicas aplicadas, las EIPD realizadas, los registros de consentimiento y los planes de respuesta ante brechas — es precisamente lo que los inspectores de la AEPD buscan cuando inician sus actuaciones.
Para acceder al marco completo de cumplimiento del RGPD que protege a su empresa antes de cualquier investigación, consulte nuestra guía completa sobre el cumplimiento del RGPD para empresas. Y si desea construir o revisar su programa de cumplimiento desde los fundamentos, el curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute le proporciona la estructura, las plantillas y las herramientas prácticas necesarias para lograrlo.
Referencias
- Base de datos oficial de resoluciones de la AEPD — Resoluciones y decisiones sancionadoras publicadas por la AEPD
- Memoria anual de la AEPD 2024 — Volumen de reclamaciones, notificaciones de brechas y totales sancionadores
- CMS RGPD Enforcement Tracker — España — Datos de sanciones por sectores y estadísticas de aplicación de la AEPD
- Fox Rothschild — Lecciones de la sanción española a Equifax — Análisis del expediente sancionador de la AEPD contra Equifax por medidas de seguridad insuficientes
- Artículo 83 del RGPD — Condiciones generales para la imposición de multas — Base jurídica del sistema sancionador de doble nivel y criterios de valoración
- LOPDGDD — Ley Orgánica 3/2018 — Ley española de protección de datos de carácter personal
