Ir al contenido principal
HubSecure
Menú

Blog

Sanciones de la AEPD en 2025–2026: Las Multas Más Grandes y Cómo Evitar Ser la Próxima Empresa

La Agencia Española de Protección de Datos es una de las autoridades de protección de datos más activas de Europa. Entender los patrones detrás de sus sanciones más importantes es el camino más directo para no aparecer en el próximo informe de cumplimiento.

· Por HubSecure Compliance

La Agencia Española de Protección de Datos se ha situado de forma consistente entre las autoridades de protección de datos más prolíficas de Europa. En volumen de sanciones emitidas, en la variedad de sectores objetivo y en la disposición a perseguir tanto a grandes empresas de telecomunicaciones, banca y tecnología como a organizaciones más pequeñas, la AEPD ha desarrollado una reputación que todo profesional de cumplimiento que opere en España debe tomarse en serio.

El ciclo de aplicación de 2025–2026 ha continuado este patrón con varias resoluciones de alto perfil y una señal clara sobre dónde está centrado el interés investigador de la AEPD. Entender el patrón detrás de estas sanciones —no solo las cifras titulares— es la ruta más directa para reducir la exposición de tu organización.

El patrón detrás de la aplicación de la AEPD

Antes de revisar categorías de sanciones específicas, vale la pena entender cómo se inicia típicamente una investigación formal de la AEPD. La mayoría de las investigaciones formales son desencadenadas por reclamaciones de interesados —no por auditorías proactivas de la AEPD. Esto significa que el evento de exposición inicial es casi siempre un cliente real que experimenta un problema real: recibir mensajes de marketing para los que no prestó consentimiento, que sus datos se compartan con un tercero sin su conocimiento, no poder ejercer un derecho de interesado dentro del plazo legal, o descubrir una brecha que no se les comunicó.

La AEPD investiga la reclamación, solicita documentación a la organización y toma una determinación basada en si la organización puede aportar evidencia de procesos conformes. El resultado —ya sea una advertencia, una apercibimiento o una multa— depende sustancialmente de la calidad de esa documentación, la gravedad de la infracción y si la organización puede demostrar que la conducta fue aislada o sistémica.

Las organizaciones que aportan evidencia clara de procesos conformes tienden a recibir sanciones menores incluso cuando se encuentra una infracción técnica. Las organizaciones que no pueden aportar documentación —o cuya documentación revela fallos sistémicos— reciben sanciones proporcionalmente mayores.

Las categorías de sanciones de mayor impacto

Tratamiento ilícito de datos personales (Artículo 6 RGPD)

Las infracciones del Artículo 6 —tratamiento de datos personales sin una base jurídica válida— representan la categoría más importante de multas significativas de la AEPD. Escenarios habituales:

  • Empresas de telecomunicaciones que tratan datos de clientes para fines comerciales más allá del contrato de servicio original sin consentimiento renovado o una evaluación de intereses legítimos documentada
  • Entidades financieras que comparten datos de clientes con filiales para ventas cruzadas sin base jurídica clara o divulgación adecuada en el aviso de privacidad
  • Empleadores que tratan datos de salud o localización de empleados más allá de lo necesario para la relación laboral, sin base jurídica documentada

Los niveles de multa por infracciones sistémicas del Artículo 6 han alcanzado consistentemente los rangos superiores del marco del Artículo 83(4) del RGPD (hasta 10 millones de euros o el 2% del volumen de negocio anual mundial total).

Marketing directo sin consentimiento válido (Artículo 7 RGPD / LSSI)

El marketing directo electrónico ilícito sigue siendo la categoría de aplicación de mayor volumen por número de casos, aunque no siempre por cuantía de multa. La AEPD aplica tanto los requisitos de consentimiento del RGPD como la Ley de Servicios de la Sociedad de la Información (LSSI) a las comunicaciones comerciales electrónicas.

Infracciones habituales:

  • Envío de correo comercial a direcciones obtenidas de directorios profesionales o redes sociales sin consentimiento directo
  • No eliminar destinatarios de las listas de correo tras solicitudes de baja en un plazo razonable
  • Uso del opt-in suave (relación previa con el cliente) para categorías de comunicación que van más allá del contexto del servicio original

El registro de consentimiento de cada destinatario de comunicaciones comerciales debe demostrar: cuándo se obtuvo el consentimiento, a través de qué canal, para qué propósitos, y que existía un mecanismo de baja que era funcional y estaba operativo. Las organizaciones que no pueden aportar este registro para cada destinatario de sus listas están expuestas cada vez que envían una campaña.

Incumplimiento de respuesta a derechos de interesados (Artículos 15–22 RGPD)

Las resoluciones de la AEPD sobre infracciones de derechos de interesados surgen típicamente de reclamaciones en las que un interesado intentó ejercer un derecho —acceso, rectificación, supresión u oposición— y recibió o ninguna respuesta, o una respuesta tardía, o una respuesta incompleta.

El plazo del RGPD para responder a derechos es de un mes (ampliable por dos meses para solicitudes complejas con notificación). La AEPD trata superar este plazo como una infracción independientemente del motivo. Las organizaciones que citan la carga de trabajo o la dificultad técnica como justificaciones reciben escasa comprensión en los procedimientos de resolución.

Lo que la AEPD busca durante la investigación: un proceso de recepción documentado para las solicitudes de derechos, evidencia de que las solicitudes fueron acusadas de recibo en un plazo definido, evidencia de que la respuesta sustantiva se produjo dentro del plazo legal, y el contenido de la respuesta en sí misma.

Medidas de seguridad insuficientes (Artículo 32 RGPD)

Las sanciones relacionadas con la seguridad tras brechas de datos se encuentran entre las más visibles en el historial de aplicación de la AEPD. El marco de resolución es consistente: se produce una brecha, la AEPD investiga si las medidas de seguridad previas a la brecha eran apropiadas dada la naturaleza de los datos y las actividades de tratamiento, y se emiten multas cuando las medidas se encuentran inadecuadas.

Hallazgos habituales: controles de acceso insuficientes que permiten a exempleados o personal no autorizado acceder a datos personales; falta de cifrado para datos sensibles en tránsito o en reposo; requisitos de seguridad inadecuados para terceros en los acuerdos de encargado; falta de evaluaciones de riesgo de seguridad para tratamientos de alto riesgo.

Fallos en la notificación de brechas (Artículos 33–34 RGPD)

El plazo de notificación de 72 horas del RGPD a la autoridad de supervisión es tratado como un requisito absoluto. La notificación tardía —ya sea días o semanas— se cita regularmente como factor agravante en las sanciones relacionadas con brechas. No notificar a los interesados afectados cuando la brecha crea un alto riesgo para sus derechos es una infracción adicional y separada.

La AEPD espera que los registros de notificación de brechas documenten: cuándo se detectó la brecha, cuándo comenzó el plazo de 72 horas, el proceso de toma de decisiones para determinar la obligación de notificación, el contenido de la notificación y el resultado para las personas afectadas.

La lista de verificación para reducir tu exposición ante la AEPD

Base jurídica

  • Cada categoría de datos personales tiene una base jurídica documentada
  • El tratamiento por intereses legítimos tiene una prueba de ponderación documentada
  • El aviso de privacidad refleja con precisión las actividades de tratamiento reales
  • La compartición de datos con terceros y filiales tiene base documentada y divulgación

Marketing directo

  • El consentimiento para marketing electrónico es específico, documentado y recuperable por destinatario
  • El mecanismo de baja es funcional y probado (respuesta en 10 días hábiles)
  • No se utilizan listas de correo compradas u obtenidas mediante cosecha para marketing electrónico
  • El alcance del opt-in suave se limita a lo que la relación con el cliente permite legalmente

Derechos de interesados

  • El proceso de recepción de solicitudes de derechos está documentado y monitorizado
  • El SLA de respuesta está calibrado al plazo legal de un mes
  • Las respuestas de acceso son completas y precisas
  • Las solicitudes de supresión son verificables en todos los sistemas

Seguridad

  • Evaluación de riesgos realizada y documentada para todas las actividades de tratamiento de alto riesgo
  • Cifrado aplicado a datos personales en reposo y en tránsito
  • Controles de acceso aplicados con mínimo privilegio
  • Requisitos de seguridad de terceros documentados en acuerdos de encargado

Respuesta ante brechas

  • Árbol de decisión para notificación en 72 horas documentado y probado
  • Registro de brechas mantenido con todos los campos requeridos
  • Revisión post-incidente realizada tras cada incidente significativo

El principio de documentación

Cada resolución sancionadora de la AEPD contiene una sección en la que el regulador evalúa la documentación de la organización sobre sus medidas de cumplimiento. Las organizaciones que aportan registros claros y contemporáneos reciben consistentemente sanciones menores que aquellas que aportan documentación recopilada retrospectivamente o ninguna en absoluto.

Lo inverso también es cierto. Una organización que ha invertido en cumplimiento genuino pero no puede aportar la documentación para demostrarlo está efectivamente en la misma posición que una que no hizo nada —al menos durante el procedimiento de aplicación.

Construye la evidencia en el momento del proceso, no en el momento de la investigación.