Más sanciones y de mayor importe: La AEPD sube el nivel de multas en 2025

La Agencia Española de Protección de Datos (AEPD) ha vuelto a endurecer la mano en 2025. El organismo ha reforzado su política de control y ha retomado una senda ya conocida en ejercicios anteriores: más multas y, sobre todo, de mayor cuantía. Según los datos publicados hasta la fecha, se han tramitado 394 procedimientos sancionadores, de los cuales 7 de cada 10 resoluciones han terminado en sanción económica. En total, la autoridad ha impuesto 299 multas que suman 40 millones de euros, un 14% más que los 35 millones registrados en 2024. Unas cifras que, no obstante, podrían crecer cuando la agencia publique todas las resoluciones correspondientes al ejercicio anterior y haga pública su memoria anual, prevista para la próxima primavera.

Los expertos consultados por CincoDías coinciden en que la tendencia de la entidad presidida por Lorenzo Cotino pasa por seguir elevando el importe de las multas. “La AEPD siempre ha liderado la lista de autoridades que más sanciones imponía”, afirma Paloma Arribas del Hoyo, socia de Baylos. “Las multas impuestas por la AEPD en 2025 han sido más altas que las de años anteriores, por lo que creo que la tendencia será la de seguir tramitando un gran número de reclamaciones que dará lugar a unas sanciones cada vez más elevadas”, vaticina la experta.

La radiografía sancionadora de 2025 dejó una de las resoluciones más relevantes de la historia del organismo. En noviembre, la AEPD impuso a Aena una sanción de 10 millones de euros por el uso indebido de sistemas de identificación biométrica de viajeros en ocho aeropuertos españoles. La cuantía iguala la multa impuesta a Google en 2022 por vulnerar el derecho al olvido y ceder datos personales a terceros, y duplica la mayor sanción de 2024, que recayó sobre Enérgya-VM, con 5 millones de euros, por hacer un tratamiento irregular de los datos personales de sus clientes y no adoptar medidas adecuadas para prevenir contrataciones fraudulentas.

La infracción sobre Aena confirma que el sector aeroportuario es una de las áreas más sensibles a incumplir las normas de la privacidad. Marcos Judel, socio de Audens, destaca dos motivos clave. En primer lugar, “por el volumen de interesados afectados y por la intensidad del tratamiento con elementos de biometría, videovigilancia y trazabilidad”. En segundo lugar, “porque la presión operativa por optimizar procesos lleva a desplegar tecnologías de control avanzadas que elevan el impacto sobre derechos y, por tanto, el nivel de exigencia regulatoria”.

El sector financiero también ocupa un lugar destacado en el podio sancionador. “Concentra un volumen enorme de datos personales y sensibles, lo que lo convierte en uno de los más expuestos a sanciones y brechas”, apunta Paula Garralón, abogada experta en nuevas tecnologías de Bird & Bird. Además, añade la letrada, las entidades financieras son un objetivo habitual de los ciberataques, lo que explica “las elevadas sanciones recientes por fallos de seguridad, brechas y problemas de licitud en el tratamiento”. Entre las infracciones más relevantes, destacan la multa de cuatro millones de euros a Generali y la sanción de un millón y medio a ING, ambas por permitir el acceso de intrusos en sus sistemas operativos.

Otro sector bajo la lupa es el retail, que, al igual que otras áreas, gestiona grandes volúmenes de información personal en entornos digitales. Los hace especialmente vulnerables a ataques automatizados como el credential stuffing (robo de cuentas), que ya ha afectado a decenas de miles de cuentas”, señala Garralón. El sector ha protagonizado una de las sanciones más altas del año: Carrefour fue multada con tres millones de euros por consentir accesos no autorizados a datos personales de perfiles de clientes, lo que provocó cinco brechas de seguridad que comprometieron los datos de casi 120.000 usuarios.

Aumenta la tarifa

La hoja de ruta de Protección de Datos ha sido engordar la tarifa de las multas. De todas las sanciones impuestas en 2025, nueve superan el umbral del millón de euros, concentradas en grandes empresas de los sectores de telecomunicaciones o el de energía. “El patrón español no es aislado, sino alineado con la tendencia europea de concentrar las grandes multas en sectores con tratamientos masivos de datos”, apunta la abogada Arribas del Hoyo. Por ejemplo, destaca la infracción de cuatro millones de euros a la compañía Xfera Móviles por carecer de medidas de seguridad adecuadas para no comprometer los datos personales de sus clientes.

Todas estas infracciones castigadas por la AEPD siguen el mismo esquema. Como indica Miguel Recio, presidente de la Asociación Profesional Española de Privacidad (APEP·IA), se deben a no “garantizar un nivel de seguridad adecuado al riesgo”, por tratar “datos personales sin consentimiento” o por incumplir “los principios que legitiman el tratamiento de esa información”. De las casi 300 multas que ha impuesto la Agencia en 2025, las de recopilación de información privada o las quiebras de seguridad han sido las más cuantiosas. Por otro lado, las malas prácticas asociadas a la videovigilancia irregular o la publicidad en internet concentran un gran número de expedientes registrados.

La AEPD no solo ha perseguido a grandes corporaciones, también ha multado a pymes y apercibido a Administraciones públicas. En ambos casos, las infracciones más frecuentes han sido por falta de transparencia, la conservación indebida de datos personales o la ausencia de medidas de seguridad. “El resultado es un escenario en el que no solo aumentan las cuantías [de las multas] en determinados casos, sino que se eleva el estándar de diligencia exigible para cualquier organización que trate datos a escala o con tecnologías intrusivas”, subraya Judel.

¿La IA será un problema?

El aterrizaje de la inteligencia artificial (IA) se ha convertido en un auténtico quebradero de cabeza para usuarios y organizaciones. “Es muy probable que provoque un aumento significativo de las infracciones en los próximos años”, señala Paula Garralón. “La IA introduce una complejidad técnica y jurídica sin precedentes: exige evaluaciones de impacto mucho más rigurosas, análisis de proporcionalidad frente a alternativas menos intrusivas y un conocimiento profundo del tratamiento de datos altamente sensibles”, advierte la experta. En esta línea, Miguel Recio alerta de que los neurodatos también podrían convertirse en un nuevo foco de reclamaciones en los próximos años.

A ello se suma un marco regulatorio cada vez más exigente, que obliga a empresas y usuarios a cumplir simultáneamente con varias normativas. Como explica Daniel López, socio de privacidad y protección de datos en Ecija, la entrada en vigor de normas como el reglamento DORA o la directiva NIS2 –que deben aplicarse en paralelo a otras leyes ya vigentes, como el Estatuto de los Trabajadores o el Reglamento de Protección de Datos– dificulta cumplir sin pisar minas legales. Este escenario, señala el experto, es el caldo de cultivo para que la AEPD “intensifique su supervisión para marcar límites claros al uso de la IA desde la óptica de la privacidad, unido a la labor de concienciación y divulgación de su uso responsable por empresas, Administraciones y ciudadanos”.

De hecho, 2025 dejó una de las primeras sanciones por el uso indebido de herramientas de inteligencia artificial. En octubre, la AEPD dio a conocer una multa impuesta a un ciudadano por crear y difundir una deepfake sexual de varios menores de edad en Almendralejo (Badajoz). El montaje llegó a los dispositivos de más de 30.000 vecinos y la sanción ascendió a 2.000 euros, cuantía que se redujo a 1.200 euros por pronto pago. Al calor del auge de las manipulaciones mediante IA –visibilizado recientemente por casos como el de Grok–, los expertos anticipan un incremento de sanciones de este tipo.

Tendencias para 2026

De cara a 2026, todo apunta a que la AEPD seguirá la misma hoja de ruta que en ejercicios anteriores. Eso sí, “con un foco muy definido en biometría, seguridad de la información y, cada vez más, en el uso de la inteligencia artificial aplicada a procesos empresariales”, resalta López, quien avisa de que el organismo regulador seguirá reforzando su papel “en el control y la gobernanza del dato, especialmente en organizaciones con mayor impacto sistémico”.

La seguridad de la información continuará siendo una prioridad absoluta para la AEPD. Y no es para menos. Según los datos de la propia agencia, en 2025 se recibieron 2.765 notificaciones de brechas de datos personales, de las cuales el 80% correspondieron al sector privado, principalmente por ciberataques de tipo ransomware (robo de datos) y accesos no autorizados a sistemas de información.

“El fuerte incremento en las notificaciones de brechas y el número creciente de personas afectadas han situado la ciberseguridad en el centro de las exigencias regulatorias”, indica Paula Garralón. Según esta experta, la agencia insistirá en la adopción de modelos de seguridad más robustos –como la autenticación multifactor, la detección temprana de accesos anómalos y la respuesta rápida ante incidentes–, sobre todo en sectores donde se gestiona un gran volumen de datos, tales como los servicios financieros, el e-commerce o las plataformas digitales.

Además, Marcos Judel identifica otro frente que, previsiblemente, seguirá generando expedientes con frecuencia: las transferencias internacionales de datos y la dependencia de proveedores situados fuera del Espacio Económico Europeo (EEE). “Cualquier debilidad en las garantías, evaluaciones o cláusulas contractuales puede tener consecuencias sancionadoras”, alerta.

La palabra del Supremo

Las resoluciones sancionadoras de la AEPD pueden resultar papel mojado si la justicia las revisa. El daño económico y reputacional que supone una sanción de la AEPD para una empresa hace que muchas de ellas las recurran ante los tribunales para que las anulen o las rebajen. Uno de los casos más mediáticos ha sido el de CaixaBank, en el que la Audiencia Nacional rebajó la multa de seis a dos millones de euros, al entender que las infracciones por las que fueron expedientados no debían sancionarse de forma separada. La Agencia había multado a la entidad con dos millones por no informar correctamente a los clientes y con otros cuatro millones por tratar datos personales sin consentimiento válido.

Esta resolución arroja una importante novedad: el Tribunal Supremo puede entrar para fijar criterio sobre cómo debe sancionar la AEPD cuando se vulneran varios artículos de la ley de protección de datos. Según Paloma Arribas del Hoyo, su dictamen puede suponer “un cambio de criterio en la AEPD y en la forma de interponer multas cuando concurran varias infracciones”.

Junto a la reciente resolución sobre CaixaBank, la Audiencia Nacional también ha revisado otras multas impuestas por la agencia. Así, redujo una multa a Mercadona de 170.000 a 7.000 euros por considerar que actuó conforme a la normativa de privacidad. De igual modo, el tribunal rebajó una sanción a Vodafone de 8,5 a 4,5 millones de euros al no apreciar pruebas suficientes para imponer una multa de tal magnitud.