La Agencia Española de Protección de Datos impuso 299 sanciones en 2025 por un total de 40 millones de euros, un 14% más que el año anterior. Y el 72% de esas sanciones fueron contra pymes y autónomos, no contra grandes corporaciones. Te explicamos las sanciones AEPD más relevantes, los errores que las provocan y cómo proteger tu negocio.
Por Luis Gerez | Director Jurídico de Sweet Water Group, S.L. | Marzo 2026
Cuando la mayoría de empresarios españoles piensan en protección de datos, piensan en un trámite burocrático: un documento que hay que tener por si acaso, una casilla que hay que marcar. Algo que se hace una vez y se olvida. Ese enfoque es exactamente el que está provocando que la Agencia Española de Protección de Datos (AEPD) multiplique sus sanciones año tras año, y que cada vez más pymes y autónomos se encuentren con multas de miles o decenas de miles de euros por infracciones que no sabían que estaban cometiendo.
En 2025, la AEPD impuso 299 sanciones por un importe total de 40 millones de euros, un 14% más que en 2024. Pero la cifra que debería preocupar a las pymes no son los 10 millones que le cayeron a AENA. Es el dato de que el 72% de las sanciones fueron contra pequeñas y medianas empresas y autónomos. La AEPD no solo persigue a las grandes corporaciones. Persigue a quien incumple, independientemente de su tamaño.
Este artículo analiza las sanciones más relevantes de 2025-2026, extrae las lecciones prácticas que toda empresa debería aprender de ellas, y proporciona un checklist de cumplimiento actualizado para que puedas verificar si tu negocio está protegido o expuesto.
Las sanciones que marcaron 2025: cuando la AEPD enseña los dientes
| Empresa | Multa | Motivo | Lección para tu empresa |
| AENA | 10.000.000 euros | Reconocimiento facial biométrico sin evaluación de impacto ni base legal suficiente | Los datos biométricos requieren evaluación de impacto obligatoria y consentimiento explicito |
| Generali España | 5.000.000 euros | Brecha de seguridad que expuso datos de 1,6 millones de usuarios | Las medidas de seguridad deben ser proporciónales al volumen y sensibilidad de los datos |
| Xfera móviles (Yoigo/MasMovil) | 4.000.000 euros | SIM swapping: falta de verificación de identidad que permitió duplicados fraudulentos de SIM | Los procesos de verificación de identidad del cliente deben ser robustos y documentados |
| Orange Espagne | 1.200.000 euros | Comunicaciones comerciales sin consentimiento válido | El consentimiento para marketing debe ser específico, informado y revocable |
| LaLiga | 1.000.000 euros | Uso de datos biométricos (huella dactilar) para control de acceso sin base legal adecuada | El control biométrico requiere justificación reforzada y alternativas no biométricas |
| Vodafone España | 600.000 euros | Llamadas comerciales a usuarios inscritos en la Lista Robinson | Verificar la Lista Robinson antes de cada campaña de telemarketing es obligatorio |
Estas sanciones a grandes empresas acaparan los titulares, pero la realidad del día a día de la AEPD se compone de cientos de multas más pequeñas (entre 1.000 y 100.000 euros) impuestas a pymes, comercios, clínicas, despachos profesionales y autónomos por infracciones que, en muchos casos, se habrían evitado con una adaptación básica al RGPD.
Las sanciones que afectan a las pymes: los errores más comunes y caros
El análisis de las sanciones de la AEPD en 2025-2026 revela patrones claros. Los mismos errores se repiten una y otra vez en empresas de todos los tamaños y sectores. Estos son los más frecuentes y los que generan las multas más habituales para pequeñas y medianas empresas.
1. Instalar cámaras de videovigilancia sin cumplir los requisitos
La videovigilancia es, con diferencia, el motivo de sanción más frecuente para pymes. La AEPD sanciona regularmente a comercios, restaurantes, comunidades de vecinos y empresas que instalan cámaras de seguridad sin cumplir los requisitos básicos del RGPD: cartel informativo visible indicando que la zona está videovigilada y quien es el responsable del tratamiento, registro de la actividad de tratamiento, plazo máximo de conservación de las grabaciones (30 días como regla general), y proporción del ángulo de grabación al espacio privado (no se puede grabar la vía pública ni propiedades ajenas).
Multa típica: Entre 1.000 y 20.000 euros. La sanción más habitual es de 2.000-5.000 euros para comercios que carecen del cartel informativo o que graban espacios públicos. Puede parecer poco comparada con los millones de AENA, pero para un pequeño comercio, 5.000 euros de multa inesperada pueden ser devastadores.
2. Enviar comunicaciones comerciales sin consentimiento
Enviar emails, SMS o mensajes de WhatsApp comerciales sin tener el consentimiento explicito del destinatario es una infracción frecuente y sancionada con regularidad. El consentimiento debe ser específico (no vale un consentimiento genérico enterrado en los términos y condiciones), informado (el usuario debe saber exactamente para que está dando su consentimiento), libre (no puede estar condicionado a la prestación de un servicio), y revocable (debe existir un mecanismo sencillo para darse de baja). Además, antes de realizar cualquier campaña de telemarketing, es obligatorio consultar la Lista Robinson para verificar que los destinatarios no se han opuesto a recibir comunicaciones comerciales.
Multa típica: Entre 3.000 y 50.000 euros, dependiendo del volumen de comunicaciones y de si hay reincidencia.
3. No tener actualizada la política de privacidad
Una política de privacidad desactualizada, incompleta o copiada de internet sin adaptar a la realidad de la empresa es una infracción que la AEPD puede sancionar directamente. La política debe identificar al responsable del tratamiento con nombre, NIF y datos de contacto, explicar que datos se recogen, para que se usan y durante cuánto tiempo se conservan, informar sobre la base jurídica de cada tratamiento (consentimiento, ejecución de contrato, interés legítimo, obligación legal), listar los destinatarios o categorías de destinatarios de los datos, informar sobre transferencias internacionales de datos (si usas herramientas como Google Analytics, Mailchimp o servicios en la nube con servidores fuera de la UE, estas realizando transferencias internacionales), y explicar los derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad, limitación) y como ejercerlos.
Multa típica: Entre 1.000 y 10.000 euros por información insuficiente. La sanción aumenta si se demuestra que la falta de información ha causado perjuicio al interesado.
4. No gestionar correctamente las brechas de seguridad
Desde la entrada en vigor del RGPD, las empresas están obligadas a notificar a la AEPD cualquier brecha de seguridad que afecte a datos personales en un plazo máximo de 72 horas desde que se detecta. Si la brecha supone un alto riesgo para los derechos de los afectados, también hay que comunicárselo directamente a ellos. Muchas pymes no tienen un protocolo de gestión de brechas, lo que provoca que cuando ocurre un incidente (un hackeo, un robo de portátil con datos de clientes, un envío masivo de emails con destinatarios visibles) no sepan cómo actuar ni cumplan los plazos legales.
Multa típica: Entre 10.000 y 100.000 euros por no notificar una brecha en plazo. La multa se agrava si la brecha es consecuencia de medidas de seguridad inadecuadas.
5. Incluir a personas en ficheros de morosos sin cumplir los requisitos
Las empresas que incluyen a clientes en ficheros de morosidad (ASNEF, BADEXCUG) sin cumplir los requisitos legales se exponen a sanciones significativas. Para incluir legítimamente a alguien en un fichero de morosos, la deuda debe ser cierta, vencida y exigible, se debe haber requerido previamente el pago al deudor, y deben haber transcurrido al menos 30 días desde el requerimiento sin que se haya producido el pago ni se haya impugnado la deuda. Incluir a alguien en ASNEF por una deuda discutida judicialmente, por un importe erróneo, o sin haberle requerido previamente el pago, es una infracción sancionable.
Multa típica: Entre 6.000 y 60.000 euros. Las sanciones por inclusión indebida en ficheros de morosos son de las más frecuentes de la AEPD.
Las tendencias sancionadoras de 2026: donde está poniendo el foco la AEPD
La AEPD no sanciona al azar. Cada año identifica áreas prioritarias de actuación basándose en las denuncias recibidas, las tendencias tecnológicas y los riesgos emergentes para los derechos de los ciudadanos. En 2026, las areas de mayor atención son:
Inteligencia artificial y decisiones automatizadas. Con la entrada en vigor del Reglamento Europeo de IA (AI Act) y la proliferación de herramientas de IA en las empresas, la AEPD está prestando especial atención al uso de IA para la toma de decisiones que afectan a personas (scoring crediticio automatizado, selección de personal con IA, perfilado de clientes). El RGPD ya prohíbe las decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos sobre una persona, salvo excepciones. Las empresas que usen IA para evaluar a candidatos, clientes o empleados deben garantizar la transparencia del proceso y el derecho del interesado a obtener intervención humana.
Cookies y rastreadores web. La AEPD continúa sancionando a sitios web que instalan cookies no esenciales sin consentimiento previo del usuario. El banner de cookies que dice «Al navegar por este sitio, aceptas nuestras cookies» no es un consentimiento válido. El consentimiento debe ser activo (el usuario debe hacer clic para aceptar), granular (debe poder elegir que categorías de cookies acepta), previo (las cookies no pueden instalarse antes de que el usuario consienta), y revocable (debe existir un mecanismo para retirar el consentimiento). Si tu web instala Google Analytics, Meta Pixel, o cualquier otro tracker antes de que el usuario acepte las cookies, estas en infracción.
Biometría. Tras la multa histórica a AENA, la AEPD ha dejado claro que el tratamiento de datos biométricos (reconocimiento facial, huella dactilar, iris) requiere una evaluación de impacto obligatoria, una base legal reforzada (consentimiento explicito o necesidad por razones de interés público esencial), y la existencia de alternativas no biométricas para el mismo fin. Las empresas que implementan control de acceso biométrico para empleados o clientes sin cumplir estos requisitos se exponen a sanciones graves.
Transferencias internacionales de datos. El uso de servicios en la nube, herramientas de marketing y plataformas tecnológicas con servidores en Estados Unidos o en otros países fuera del Espacio Económico Europeo plantea riesgos crecientes. Aunque el marco de transferencias UE-EEUU (Data Privacy Framework) proporciona cobertura legal para muchas transferencias, las empresas deben verificar que sus proveedores están certificados bajo este marco y documentar las garantías adecuadas para cada transferencia.
Checklist de cumplimiento RGPD: las 12 preguntas que toda empresa debe responder
Si puedes responder afirmativamente a estas 12 preguntas, tu empresa tiene un nivel básico de cumplimiento del RGPD que reduce significativamente el riesgo de sanción. Si no puedes responder a alguna, tienes un punto de vulnerabilidad que deberías abordar.
1. Tienes un Registro de Actividades de Tratamiento actualizado? Es obligatorio para empresas con más de 250 empleados y para cualquier empresa que trate datos sensibles o de forma no ocasional (lo que incluye prácticamente a todas las empresas).
2. Tu política de privacidad esta actualizada y accesible en tu web? Debe reflejar todos los tratamientos actuales, la base jurídica de cada uno, los plazos de conservación y los derechos del interesado.
3. Tienes un banner de cookies que cumple los requisitos? Consentimiento activo, granular, previo y revocable. No se instalan cookies no esenciales antes de la aceptación.
4. Has firmado contratos de encargado del tratamiento con todos tus proveedores que tratan datos personales? Gestoria, empresa de hosting, herramientas de email marketing, CRM, servicios en la nube: todos necesitan contrato de encargado del tratamiento.
5. Tienes un protocolo de gestión de brechas de seguridad? Debe incluir cómo detectar una brecha, a quien comunicarla internamente, cómo evaluar el riesgo, y como notificar a la AEPD en 72 horas y a los afectados si es necesario.
6. Tus empleados han recibido formación básica sobre protección de datos? No necesita ser un curso de 40 horas. Una sesión de 2 horas sobre las obligaciones básicas y los errores comunes puede prevenir la mayoría de las infracciones involuntarias.
7. ¿Si tratas datos sensibles, has realizado una Evaluación de Impacto (EIPD)? Los datos sensibles incluyen datos de salud, biométricos, de menores, de origen étnico, afiliación sindical, orientación sexual y condenas penales.
8. Tienes un canal para que los interesados ejerzan sus derechos? Acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. Debes poder atender estas solicitudes en un plazo máximo de un mes.
9. ¿Si haces videovigilancia, tienes el cartel informativo y cumples los requisitos? Cartel visible, grabaciones limitadas a 30 días, ángulo de grabación proporcionado, registro de la actividad de tratamiento.
10. Verificas la Lista Robinson antes de campanas de marketing? Obligatorio antes de cualquier comunicación comercial por teléfono, email o SMS.
11. Has designado un Delegado de Protección de Datos (DPO) si estas obligado? Obligatorio para administraciones públicas, empresas con tratamientos a gran escala de datos sensibles, y empresas cuya actividad principal requiera observación sistemática y regular de interesados a gran escala.
12. Has documentado las transferencias internacionales de datos? Si usas Google, Meta, Amazon Web Services, Mailchimp, Salesforce u otros proveedores con servidores fuera de la UE, necesitas documentar la base legal de cada transferencia.
Si has respondido negativamente a 3 o más preguntas: Tu empresa tiene un riesgo significativo de sanción por parte de la AEPD. No se trata de alarmismo: la AEPD actúa de oficio (no necesita que alguien te denuncie) y también a raiz de denuncias de clientes, empleados, competidores o cualquier ciudadano. La adaptación al RGPD no es un gasto: es una inversión en la protección jurídica de tu negocio.
El coste de cumplir frente al coste de no cumplir
Muchas empresas, especialmente pymes y autónomos, perciben el cumplimiento del RGPD como un gasto innecesario. Veamos los números reales para poner las cosas en perspectiva.
Coste de una adaptación básica al RGPD para una pyme: Entre 500 y 2.500 euros (dependiendo del tamaño y complejidad del negocio), más un mantenimiento anual de 200 a 600 euros para actualizaciones y revisión periódica. Esto incluye el registro de actividades de tratamiento, la política de privacidad adaptada, los contratos de encargado del tratamiento, el protocolo de brechas y la formación básica del equipo.
Coste medio de una sanción de la AEPD a una pyme: Entre 3.000 y 20.000 euros. A esto hay que sumar los honorarios del abogado para gestionar el procedimiento sancionador (1.500-5.000 euros adicionales), el daño reputacional (difícilmente cuantificable pero muy real, especialmente si la sanción se pública), y el coste de la adaptación urgente que habrá que hacer de todas formas para evitar futuras sanciones.
La conclusión es matemática: adaptarse al RGPD cuesta entre 5 y 10 veces menos que una sanción media de la AEPD. Y la adaptación previene todas las sanciones futuras, mientras que pagar una multa no te protege de la siguiente.
El derecho al olvido: la cara menos conocida de la protección de datos
Aunque el grueso de las sanciones de la AEPD se centra en empresas, hay un área de la protección de datos que afecta directamente a los particulares: el derecho al olvido. Este derecho, reconocido en el artículo 17 del RGPD y en la Ley Orgánica 3/2018, permite a cualquier persona solicitar la eliminación de sus datos personales de motores de búsqueda como Google, Bing o Yahoo cuando la información es inexacta, ya no es necesaria, causa un perjuicio desproporcionado o se refiere a hechos del pasado que no tienen relevancia pública actual.
El Tribunal Supremo ha ampliado recientemente el alcance del derecho al olvido, reconociendo que se aplica incluso a búsquedas realizadas solo con los dos apellidos de la persona (sin incluir el nombre). Google fue sancionada con 10 millones de euros en 2022 por obstaculizar sistemáticamente el ejercicio de este derecho. En Sweet Water Group, tramitamos solicitudes de derecho al olvido ante Google, ante la AEPD y ante los tribunales, logrando la desindexación efectiva de contenidos que perjudican la reputación y la vida profesional de nuestros clientes.
La protección de datos no es burocracia: es la defensa de tu negocio
Las sanciones de la AEPD en 2025-2026 envían un mensaje claro: la era de la protección de datos como mero trámite ha terminado. La agencia tiene más recursos, más capacidad de investigación y una actitud más agresiva que nunca. Y no distingue entre grandes corporaciones y pequeños comercios a la hora de sancionar.
Pero la protección de datos no debería verse solo como una obligación para evitar multas. Es también una herramienta de confianza comercial. Los consumidores son cada vez más conscientes de sus derechos sobre sus datos personales, y cada vez más exigentes con las empresas que los tratan. Cumplir con el RGPD no es solo proteger tu empresa frente a la AEPD: es demostrar a tus clientes que respetas su privacidad y que te tomas en serio la seguridad de su información.
La pregunta ya no es si la AEPD te va a investigar. Es si, cuando lo haga, encontrara tu empresa preparada o expuesta. La diferencia entre un escenario y otro suele ser una inversión de 500 a 2.500 euros y unas pocas horas de trabajo profesional. En términos de coste-beneficio, es probablemente la mejor inversión que puede hacer cualquier empresa española en 2026.
¿Tu empresa cumple con el RGPD? Descúbrelo gratis.
En Sweet Water Group realizamos auditorias de cumplimiento RGPD, adaptamos tu empresa a la normativa vigente y te protegemos frente a procedimientos sancionadores de la AEPD. También tramitamos solicitudes de derecho al olvido para particulares y empresas. Primera consulta gratuita.
info@sweetwatergroup.es | 911 86 80 99
Luis Gerez
Director Jurídico de Sweet Water Group, S.L.
Abogado colegiado | Especialista en protección de datos, RGPD y derecho digital
Madrid | sweetwatergroup.es
Aviso legal: Este artículo tiene carácter informativo y no constituye asesoramiento legal personalizado. Los importes de sanciones citados proceden de resoluciones públicas de la AEPD y de informes sectoriales. Los costes de adaptación al RGPD son rangos orientativos que pueden variar según la complejidad y el sector de actividad de cada empresa. Cada caso requiere un análisis individual por un profesional cualificado. Sweet Water Group, S.L. no tiene relación con la Agencia Española de Protección de Datos ni con las empresas sancionadas mencionadas en este artículo. Última actualización: marzo 2026.
