España no solo aplica el RGPD. Lo aplica más que cualquier otro país de la Unión Europea, y con una diferencia significativa.
A septiembre de 2025, la autoridad española de protección de datos —la Agencia Española de Protección de Datos, o AEPD— había emitido más de 1.021 multas RGPD registradas, por un importe aproximado de 120,7 millones de euros desde que el Reglamento entró en vigor en 2018. Italia, Rumanía y Alemania juntas han impuesto menos multas que España por sí sola.
Si su empresa opera en España, vende a clientes españoles o trata datos personales de cualquier persona en la UE, esto le afecta directamente. La AEPD no es una autoridad que espere a que los problemas escalen. Es proactiva, cuenta con recursos y está cada vez más centrada en infracciones complejas con consecuencias mayores.
Este artículo explica por qué España lidera la aplicación del RGPD en la UE, qué tipos de infracciones están generando las sanciones más elevadas actualmente y qué revela el patrón de multas para cualquier empresa que opere en España.
Para obtener una visión completa de lo que exige el RGPD y cómo se aplica a su empresa, comience con nuestra guía pilar: Cumplimiento del RGPD de la UE para Empresas: La Guía Completa (2026).
Cómo se compara España con el resto de la UE
Las cifras cuentan una historia clara. Según el CMS GDPR Enforcement Tracker Report, la AEPD española ha impuesto 932 multas publicadas, más que todas las demás autoridades de protección de datos de la UE juntas si se mide por volumen. Las siguientes autoridades más activas son las de Italia, Rumanía y Alemania, pero incluso esos tres países juntos siguen por debajo del total de España.
Las razones son en parte estructurales y en parte estratégicas.
Modelo de aplicación basado en volumen. Durante gran parte de su historial de aplicación normativa, la AEPD siguió un modelo de alto volumen y sanciones relativamente menores, imponiendo cientos de multas a pymes, administraciones municipales y organizaciones individuales. Esto generó presión de cumplimiento en toda la economía española, no solo sobre las grandes corporaciones en las que se centran otros reguladores.
Un sistema de reclamaciones proactivo. La AEPD recibe un volumen excepcionalmente alto de reclamaciones públicas. Solo en 2023 recibió 21.590, una cifra récord en ese momento y un aumento del 43 % respecto a 2022. En 2024, las reclamaciones descendieron ligeramente hasta 18.855 tras la introducción de un buzón guiado que filtra los casos fuera de la competencia de la AEPD. Aun así, esa cifra representa el segundo dato más alto en la historia de la agencia.
Amplio alcance de aplicación. A diferencia de algunos reguladores de la UE que se centran principalmente en grandes empresas tecnológicas con sede en su territorio, la AEPD aplica el RGPD en todos los sectores: sanidad, finanzas, inmobiliario, hostelería, telecomunicaciones, energía y más. Las pequeñas empresas no están exentas. La AEPD sanciona regularmente a pymes por infracciones relacionadas con videovigilancia, marketing ilícito y falta de respuesta a solicitudes de ejercicio de derechos.
Una postura de aplicación más firme. Desde 2021, la AEPD ha pasado progresivamente de una actitud cautelosa a una mucho más asertiva. Una sola multa impuesta en 2021 a Vodafone España —8,15 millones de euros— superó el importe total de sanciones de la AEPD durante todo 2020. Ese cambio ha continuado y se ha acelerado.
El cambio estratégico: menos multas, sanciones más elevadas
En 2024 ocurrió algo que toda empresa en España debe comprender.
En años anteriores, el enfoque de la AEPD se caracterizaba por el volumen: un gran número de multas moderadas repartidas entre una amplia variedad de organizaciones. En 2024, el patrón cambió. El número total de sanciones disminuyó, pero el importe total de las multas alcanzó un récord de 35.592.200 euros, un aumento del 19,4 % respecto a 2023.
La AEPD impuso 10 multas superiores a 1 millón de euros en 2024. En 2023, solo hubo tres sanciones de ese tamaño. En 2022, aún menos. La propia agencia explicó este cambio en su memoria anual, describiéndolo como un movimiento deliberado hacia “casos que reflejan la mayor complejidad de las actividades de tratamiento de datos, su mayor alcance y, en consecuencia, su mayor impacto en las infracciones”.
En términos sencillos: ahora la AEPD parece menos interesada en sancionar al gimnasio que no colocó un cartel de videovigilancia y más centrada en la empresa energética que expuso datos de clientes, la aseguradora que no protegió adecuadamente sus sistemas o el operador aeroportuario que lanzó un programa de embarque biométrico sin completar antes una evaluación de riesgos adecuada.
Las principales multas de 2024 muestran esta evolución de forma directa:
5 millones de euros — una empresa energética sancionada por vulnerar los principios de licitud, lealtad, transparencia y responsabilidad proactiva durante un proceso de contratación fraudulento.
4 millones de euros — una aseguradora sancionada después de que un ciberdelincuente explotara las credenciales de un corredor de seguros, y la AEPD concluyera que existían medidas de seguridad inadecuadas.
3,5 millones de euros — un banco sancionado por defectos de diseño en su aplicación informática que provocaron una brecha de confidencialidad de un cliente.
3,5 millones de euros — una segunda empresa energética sancionada por vulnerabilidades en una aplicación web que derivaron en una brecha de datos.
3 millones de euros — una empresa energética sancionada por almacenar datos personales de diferentes responsables del tratamiento en una única base de datos sin garantías adecuadas.
Esta no es una lista de pequeños errores procedimentales. Son fallos fundamentales de seguridad y responsabilidad, y la AEPD los está tratando como tales.
2025 y 2026: la biometría y la IA se convierten en prioridad
Si 2024 fue el año de las brechas de datos, 2025 y 2026 han sido los años de la biometría y la inteligencia artificial.
Enero de 2025 comenzó con la AEPD imponiendo más multas, y de mayor importe, que cualquier otra autoridad de protección de datos de la UE en un solo mes. Dos de las sanciones más importantes estaban relacionadas con el uso de sistemas biométricos de reconocimiento facial.
En noviembre de 2025, el operador aeroportuario español Aena fue sancionado con 10.043.002 euros, una de las mayores multas que la AEPD ha impuesto hasta la fecha, después de que el regulador concluyera que Aena había lanzado su programa de embarque biométrico en ocho grandes aeropuertos sin completar una Evaluación de Impacto relativa a la Protección de Datos adecuada, también conocida como EIPD o DPIA. La conclusión de la AEPD no fue que el sistema fuera inseguro ni que se hubiera producido una brecha de datos. Fue que Aena no había realizado el trabajo jurídico necesario antes de tratar los patrones faciales de casi 40.000 viajeros inscritos. La comodidad, dejó claro la AEPD, no sustituye a una justificación legal.
En marzo de 2026, Yoti Ltd —una empresa británica de identidad digital y verificación de edad que opera en España— fue sancionada con 950.000 euros por tres infracciones separadas: 500.000 euros por tratar datos biométricos de forma ilícita sin una base jurídica válida conforme al artículo 9 del RGPD, 200.000 euros por obtener consentimiento mediante casillas premarcadas y 250.000 euros por conservar plantillas biométricas y datos de geolocalización durante mucho más tiempo del necesario para la finalidad declarada.
También en marzo de 2026, el FC Barcelona fue sancionado con 500.000 euros por realizar una evaluación de impacto deficiente sobre datos biométricos.
El patrón es coherente y deliberado. La AEPD está enviando un mensaje a todos los sectores: si su organización utiliza cualquier tecnología que trate datos biométricos —reconocimiento facial, huellas dactilares, escaneo de iris o incluso ciertas formas de seguimiento conductual— una EIPD no es opcional. La proporcionalidad debe demostrarse. El consentimiento debe ser explícito, no presunto. Y los plazos de conservación de datos deben estar definidos y aplicarse en la práctica.
Qué tipos de infracciones generan más multas
A lo largo de todo el historial de aplicación del RGPD, los motivos más frecuentes de sanción en España son los siguientes:
Base jurídica insuficiente para el tratamiento de datos. Esta es la categoría de infracción individual más frecuente en el conjunto de la UE, y España no es una excepción. El uso de datos personales para publicidad, perfilado o marketing sin una base jurídica válida —normalmente consentimiento adecuado o interés legítimo debidamente justificado— representa cientos de casos.
Incumplimiento de los principios generales del tratamiento de datos. Las infracciones de los siete principios básicos del RGPD, especialmente transparencia, limitación de la finalidad y minimización de datos, constituyen la segunda categoría más común.
Medidas técnicas y organizativas de seguridad inadecuadas. A medida que la AEPD ha intensificado su atención sobre las brechas de datos, los fallos en la implementación de controles de seguridad adecuados han generado sanciones cada vez mayores.
Incumplimiento de las obligaciones de información. Las empresas que no proporcionan avisos de privacidad adecuados, no explican cómo utilizan los datos personales o despliegan banners de cookies que ocultan la opción de rechazo aparecen regularmente en las resoluciones sancionadoras de la AEPD.
Falta de respuesta a solicitudes de ejercicio de derechos. Ignorar o gestionar incorrectamente solicitudes de acceso, supresión u oposición al marketing es una infracción común y una que la AEPD se toma en serio. La falta de comunicación con las personas afectadas por una brecha de alto riesgo se menciona específicamente en las conclusiones de la AEPD de 2025.
Sectores bajo mayor escrutinio actualmente
La AEPD no distribuye la aplicación normativa de forma uniforme entre todos los sectores. Según las memorias anuales recientes y los datos sobre sanciones, los sectores sometidos a mayor escrutinio en 2025 y 2026 son los siguientes:
Energía y servicios públicos. Varias multas de entre 3 y 5 millones de euros solo en 2024, principalmente relacionadas con brechas de datos, procesos de contratación fraudulenta y seguridad inadecuada de bases de datos.
Telecomunicaciones. Vodafone España ha sido sancionada repetidamente, acumulando aproximadamente 8,15 millones de euros en multas en un momento determinado, cifra que posteriormente se ha visto incrementada por nuevas sanciones. El marketing ilícito, los fallos en casos de SIM swapping y los controles internos de seguridad inadecuados son temas recurrentes.
Servicios financieros. Bancos y aseguradoras han recibido algunas de las sanciones más elevadas de la AEPD por fallos de seguridad y comunicación ilícita de datos.
Biometría y tecnología de IA. Los casos de Aena, Yoti y FC Barcelona en 2025–2026 señalan un nuevo frente de aplicación normativa. Cualquier organización que utilice reconocimiento facial, acceso mediante huella dactilar o sistemas de identificación basados en IA opera dentro de una categoría de riesgo muy elevada.
Servicios de internet y plataformas digitales. Continúa el escrutinio sobre el cumplimiento en materia de cookies, mecanismos de consentimiento y derechos de los interesados en plataformas de comercio electrónico y marketing digital.
Pequeñas y medianas empresas. A pesar del cambio hacia casos de mayor importe, la AEPD sigue sancionando a pymes. La videovigilancia, el marketing ilícito y la falta de atención a solicitudes de derechos de los interesados siguen siendo detonantes habituales de sanciones menores.
Qué significa esto para su empresa
Tanto si dirige una pequeña tienda online que vende a clientes españoles como si gestiona una gran empresa con operaciones físicas en España, el historial sancionador de la AEPD transmite un mensaje directo.
El cumplimiento no es un ejercicio puntual. La AEPD no premia el buen comportamiento pasado cuando detecta infracciones actuales. Varias empresas sancionadas en los últimos años habían recibido advertencias previamente. La disposición de la agencia a imponer sanciones crecientes a infractores reincidentes —Vodafone es el ejemplo más claro— demuestra que el cumplimiento debe ser continuo y estar documentado.
La documentación es su defensa más sólida. En casi todos los grandes casos de la AEPD, la cuestión no es solo si se produjo una infracción, sino si la empresa contaba con procesos, evaluaciones y registros adecuados. La sanción a Aena no se centró principalmente en si el embarque biométrico era una buena idea. Se centró en la ausencia de una EIPD adecuada. Un cumplimiento documentado, incluso si es imperfecto, coloca a una organización en una posición fundamentalmente distinta a la de procesos no documentados.
Las multas ya no son teóricas. El importe total de sanciones de la AEPD ha pasado de 6,3 millones de euros en 2019 a 35,6 millones de euros en 2024. La trayectoria es ascendente. Para las empresas que han tratado el RGPD como un simple ejercicio de marcar casillas, el historial de aplicación normativa es una señal de riesgo financiero que conviene tomar muy en serio.
Preguntas frecuentes
¿Por qué España impone más multas RGPD que otros países de la UE?
Contribuyen varios factores. Históricamente, la AEPD ha utilizado un modelo de aplicación basado en volumen que afecta a organizaciones de todos los tamaños, no solo a grandes corporaciones. Recibe un número muy elevado de reclamaciones públicas, más de 21.000 en 2023. Y, a diferencia de algunos reguladores de la UE que se centran principalmente en empresas con sede en su territorio, la AEPD aplica el RGPD en todos los sectores de la economía española.
¿Qué autoridad española es responsable de aplicar el RGPD?
La Agencia Española de Protección de Datos, o AEPD, es la autoridad nacional de protección de datos en España y el organismo responsable de aplicar tanto el RGPD como la ley nacional española de protección de datos, la LOPDGDD. Opera de forma independiente del Gobierno y tiene competencias para investigar, imponer multas, emitir órdenes vinculantes y exigir la suspensión de actividades de tratamiento de datos.
¿Qué tipos de infracciones se sancionan más en España?
Los motivos más comunes de sanción por parte de la AEPD son: base jurídica insuficiente para el tratamiento de datos, incumplimiento de los principios básicos del tratamiento, medidas de seguridad inadecuadas, incumplimiento de obligaciones de transparencia e información, y falta de respuesta a solicitudes de ejercicio de derechos. Más recientemente, las infracciones relacionadas con datos biométricos y EIPD inadecuadas han generado las mayores sanciones individuales.
¿Cuánto pueden ser las multas RGPD para pequeñas empresas en España?
No existe un límite mínimo de tamaño para recibir una multa RGPD. La AEPD sanciona regularmente a pequeñas empresas —gimnasios, tiendas locales, pequeños empleadores— normalmente con importes de entre 1.000 y 30.000 euros por infracciones comunes como videovigilancia ilícita, consentimiento inadecuado para marketing o falta de atención a solicitudes de acceso. Sin embargo, incluso las pequeñas empresas pueden enfrentarse a sanciones mayores si las infracciones son graves o repetidas.
¿Cuáles son las mayores multas RGPD impuestas en España?
La mayor multa individual impuesta por la AEPD hasta la fecha fue de 10.043.002 euros a Aena, el operador aeroportuario español, en noviembre de 2025, por lanzar un sistema de embarque biométrico con reconocimiento facial sin completar una Evaluación de Impacto relativa a la Protección de Datos adecuada. Antes de esa sanción, la mayor había sido de 10 millones de euros contra Google LLC en 2022 por comunicación ilícita de datos y obstaculización del derecho de supresión.
¿Puede una empresa ser sancionada con el 4 % de su facturación global conforme al RGPD?
Sí. Las infracciones más graves del RGPD, incluido el tratamiento de datos sin base jurídica, la ignorancia de los derechos de los interesados o las transferencias internacionales ilícitas de datos, pueden conllevar multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global de la empresa, la cifra que sea mayor. Esto significa que una multinacional con 500 millones de euros de ingresos globales podría enfrentarse a una multa de hasta 20 millones de euros solo en España.
¿Cómo se calculan los importes de las multas RGPD?
La AEPD sigue las Directrices 04/2022 del EDPB sobre el cálculo de multas administrativas. Los factores clave incluyen la naturaleza, gravedad y duración de la infracción; si fue intencional o negligente; el número de personas afectadas; las categorías de datos personales implicadas; cualquier infracción previa de la misma organización; y el grado de cooperación con la investigación. Las infracciones repetidas, la falta de documentación y la ausencia de cooperación son factores que incrementan el importe final.
¿Qué países de la UE imponen más multas RGPD?
Por volumen, España lidera de forma significativa. Los cinco primeros países por número de multas publicadas son España, con más de 1.000, Italia, Rumanía, Alemania y Hungría. Por importe total de las multas, Irlanda lidera debido a las grandes sanciones impuestas a empresas tecnológicas con sede allí, incluida la multa de 1.200 millones de euros a Meta en 2023.
¿Se ha vuelto más estricta la aplicación del RGPD con el tiempo?
Sí, de forma considerable. En 2019, la AEPD impuso 112 multas por un total de 6,3 millones de euros. En 2023, esa cifra había aumentado a 367 multas por un total de 30 millones de euros. En 2024, el importe total de las multas alcanzó un récord de 35,6 millones de euros pese a un menor número de sanciones, lo que refleja un cambio hacia menos multas, pero de mayor importe. La aplicación del RGPD en toda la UE también se ha intensificado, con multas acumuladas a nivel europeo que alcanzaron los 5.880 millones de euros a finales de 2025.
¿Qué sectores reciben más multas RGPD en España?
Los sectores con los mayores importes acumulados de sanciones son energía y servicios públicos, servicios financieros —banca y seguros—, telecomunicaciones, servicios de internet y plataformas digitales, y, más recientemente, organizaciones que utilizan tecnologías de tratamiento biométrico y basadas en IA. La videovigilancia es la categoría de reclamación con mayor volumen por número de reclamaciones individuales presentadas.
El riesgo es real y está creciendo
España no es una anomalía en la protección de datos europea. Es una señal de hacia dónde se dirige el resto de la UE. La postura de aplicación normativa de la AEPD —proactiva, transversal por sectores y cada vez más centrada en infracciones de alto impacto— refleja un compromiso europeo más amplio para hacer que las consecuencias del RGPD sean reales para todo tipo de organizaciones.
Si su empresa no está actualmente estructurada en torno a un cumplimiento documentado y basado en evidencias, el historial sancionador deja claro el riesgo.
Comprender el panorama de multas es el primer paso. Construir el marco de cumplimiento que mantenga a su empresa fuera de él es el siguiente.
El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute le guía por cada capa de lo que significa operar de forma conforme en la práctica, desde los fundamentos legales hasta la evaluación avanzada de riesgos, e incluye 18 plantillas descargables que puede implementar de inmediato.
También en esta serie:
- Cumplimiento del RGPD de la UE para Empresas: La Guía Completa (2026)
- RGPD y la AEPD en España: Lo que toda empresa debe saber sobre la autoridad española de protección de datos
- Cumplimiento del RGPD para pymes en España: Qué significan las nuevas normas simplificadas para su empresa
- Qué ocurre si recibe una multa RGPD en España: explicación paso a paso
- Normas de consentimiento RGPD en 2026: qué deben actualizar ahora las empresas españolas
- ¿Necesita un Delegado de Protección de Datos (DPD) en España? Las normas acaban de cambiar para las pymes
- RGPD e IA: qué deben hacer las empresas españolas que utilizan herramientas de IA antes de agosto de 2026
- Cómo gestionar una brecha de datos RGPD como empresa en España: explicación de la regla de las 72 horas
- ¿Transfiere datos de clientes fuera de la UE? Lo que las empresas españolas deben saber en 2026
- RGPD vs. LOPDGDD en España: entender ambas leyes y por qué su empresa debe cumplir con las dos
