Sanciones RGPD en España: balance completo de multas AEPD y cómo evitarlas
40 millones de euros en multas en 2025: la AEPD sube el nivel
La Agencia Española de Protección de Datos (AEPD) ya no se limita a advertir. Sanciona, y cada vez más fuerte.
En 2025, 299 sanciones económicas por un total de 40 millones de euros — un incremento del 14 % respecto al ejercicio anterior. En 2024, 242 multas por más de 27 millones de euros. Los importes crecen, los procedimientos se aceleran y el perímetro de empresas afectadas se amplía.
España se ha convertido en una de las autoridades más activas de Europa en materia de protección de datos. La AEPD impone más sanciones individuales que la mayoría de sus homólogas europeas, y no distingue entre grandes corporaciones y pymes.
He aquí el balance detallado: los casos emblemáticos, los motivos recurrentes y cómo protegerse.
Las multas récord de la AEPD
Aena: 10 millones de euros (noviembre 2025)
La sanción más elevada de la AEPD. Aena fue multada con más de 10 millones de euros por desplegar sistemas de reconocimiento facial biométrico en ocho aeropuertos españoles — Madrid-Barajas, Barcelona-El Prat, Alicante, Gran Canaria, Palma de Mallorca, Menorca, Tenerife Norte e Ibiza — sin una Evaluación de Impacto en Protección de Datos (EIPD) válida.
La AEPD concluyó que Aena trató datos biométricos de millones de pasajeros sin las garantías exigidas por el artículo 35 del RGPD. El sistema fue suspendido por orden de la AEPD hasta que Aena presente una EIPD conforme.
Aena ha anunciado que recurrirá la decisión ante los tribunales.
Lección: Los datos biométricos son categorías especiales (Art. 9 RGPD). Cualquier tratamiento requiere una EIPD rigurosa antes de su despliegue — no después.
CaixaBank: 6 millones de euros (2021)
La AEPD impuso 6 millones de euros a CaixaBank: 4 millones por infracción de los artículos 13 y 14 del RGPD (falta de información) y 2 millones por infracción del artículo 6 (falta de base jurídica). El banco no proporcionaba información suficientemente clara y específica sobre el tratamiento de datos personales de sus clientes.
Lección: La transparencia no es opcional. Los avisos de privacidad genéricos o enterrados en condiciones generales no cumplen el RGPD.
Enérgya-VM: 5 millones de euros (2024)
La mayor multa de 2024. Enérgya-VM fue sancionada con 5 millones de euros por irregularidades en el tratamiento de datos personales y falta de medidas para prevenir contrataciones fraudulentas.
Lección: Las empresas del sector energético están bajo especial vigilancia de la AEPD por las prácticas de contratación irregular.
Vodafone España: 8 millones de euros (2021)
Vodafone España acumuló cuatro sanciones distintas por un total de más de 8 millones de euros, relacionadas con tácticas de telemarketing agresivo y falta de protección de datos. Dos de las multas, que suman más de 6 millones, se referían específicamente a violaciones del RGPD.
Lección: El telemarketing sin consentimiento es el motivo de sanción más frecuente en España. La AEPD aplica tolerancia cero.
La Liga: 250.000 euros (2019, confirmada en 2022)
La Liga fue multada con 250.000 euros porque su aplicación oficial de fútbol accedía al micrófono de más de 10 millones de usuarios para detectar emisiones ilegales de partidos en bares. Aunque solo captaba huellas acústicas (no audio comprensible), la AEPD consideró que La Liga debía informar a los usuarios cada vez que la app accedía al micrófono — no solo al momento de la descarga.
El Tribunal Supremo confirmó la sanción en 2022.
Lección: La transparencia debe ser continua, no puntual. Informar en el momento de la instalación no es suficiente si el tratamiento se repite.
Los 5 motivos de sanción más frecuentes en España
1. Telemarketing y comunicaciones comerciales sin consentimiento
Es el primer motivo de reclamación y sanción en España. El uso de cookies de seguimiento sin consentimiento y el tratamiento de datos para prospección comercial encabezan el ranking.
Prácticas sancionadas:
- Llamadas comerciales sin consentimiento previo
- Envío de SMS o emails publicitarios sin base legal
- Cesión de datos a terceros para fines comerciales
- Incumplimiento de la Lista Robinson
Cómo protegerse: Verificar la base legal de cada comunicación comercial. Para cookies, implementar una CMP conforme. Cookilio bloquea todos los rastreadores antes del consentimiento.
2. Falta de medidas de seguridad
Vodafone (8 M€), Enérgya-VM (5 M€) y numerosas sanciones menores. Las brechas de seguridad y la falta de medidas técnicas adecuadas son un motivo creciente.
Cómo protegerse: Cifrado, control de accesos, monitorización y un plan de respuesta a incidentes documentado y testado.
3. Datos biométricos sin evaluación de impacto
Aena (10 M€). El uso de reconocimiento facial, huellas dactilares u otros datos biométricos sin EIPD válida es una infracción grave.
Cómo protegerse: Realizar una EIPD antes de cualquier tratamiento de datos biométricos.
4. Falta de transparencia e información
CaixaBank (6 M€) y numerosas sanciones a empresas que no informaban adecuadamente a sus clientes sobre el tratamiento de sus datos.
Cómo protegerse: Publicar una política de privacidad completa y específica. Complio audita automáticamente su sitio web e identifica las carencias.
5. Transferencias internacionales no reguladas
El uso de herramientas estadounidenses (Google Analytics, AWS, Mailchimp) sin garantías adecuadas sigue siendo un riesgo.
Cómo protegerse: Mapear los flujos de datos hacia terceros países. Mirage Analytics está alojado en Scaleway en Francia — ningún dato sale de la UE.
La AEPD y las pymes
A diferencia de otras autoridades europeas, la AEPD sanciona con especial frecuencia a pymes y autónomos. Las infracciones más comunes:
- Falta de consentimiento para envío de comunicaciones comerciales
- Política de privacidad ausente o incompleta en el sitio web
- Cookies instaladas sin banner de consentimiento conforme
- Videovigilancia sin cartel informativo o con grabaciones excesivas
- Falta de respuesta a solicitudes de ejercicio de derechos
En 2025, las multas a pymes oscilaron entre 2.000 y 300.000 euros, según la gravedad.
Cómo evitar una sanción AEPD: la checklist
Nivel 1: urgencias (< 1 semana)
- Auditar su sitio web — Complio realiza esta auditoría en minutos con un informe de conformidad.
- Implementar una CMP conforme — Cookilio bloquea todos los rastreadores antes del consentimiento.
- Sustituir Google Analytics — Mirage Analytics no transfiere datos fuera de la UE, sin cookies, 19 €/mes.
- Publicar una política de privacidad completa — Específica, clara, accesible.
Nivel 2: conformidad estructural (< 1 mes)
- Registro de actividades de tratamiento — Obligatorio (Art. 30 RGPD).
- Contratos con encargados del tratamiento — Verificar todos los DPA.
- Lista Robinson — Verificar que su base de datos de marketing no incluya números inscritos.
- Proceso de gestión de derechos — Responder en menos de un mes.
Nivel 3: conformidad proactiva (continuo)
- Formar a los equipos — El RGPD afecta a toda la organización.
- EIPD — Obligatoria para tratamientos de alto riesgo (biometría, perfilado, videovigilancia).
- Auditorías regulares — La conformidad se degrada con el tiempo.
El verdadero coste del incumplimiento
El cálculo es simple:
- Una sanción AEPD a una pyme: entre 2.000 € y 300.000 €
- Una auditoría web con Complio: 89 € en 10 minutos
- Una CMP conforme con Cookilio: despliegue en 5 minutos
- Analytics soberano con Mirage Analytics: 19 €/mes
La conformidad no es un coste. Es un seguro.
FAQ
¿Cuál es la multa máxima del RGPD en España?
Hasta 20 millones de euros o el 4 % de la facturación anual mundial. La AEPD ha impuesto hasta 10 millones de euros (Aena, 2025).
¿La AEPD sanciona a pymes y autónomos?
Sí, con especial frecuencia. España es uno de los países de la UE con mayor número de sanciones a pequeñas empresas.
¿Cuáles son los sectores más sancionados?
Energía (11,7 M€ en 2024), entidades financieras (5,4 M€), servicios de internet (4,5 M€) y telecomunicaciones (3,3 M€).
¿Cómo sé si mi sitio es conforme?
Complio realiza una auditoría automática con informe detallado y recomendaciones priorizadas.
Lea también — Los 10 errores RGPD más comunes | Checklist RGPD sitio web | Auditoría RGPD sitio web: guía completa 2026
Fuentes: AEPD — Resoluciones, ECIJA — Sanciones AEPD 2025, Infobae — Multa Aena, EDPB — CaixaBank Sanction. Publicado el 30 de marzo de 2026.