Las sanciones de la AEPD en 2024: patrones y lecciones para las empresas
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
La Agencia Española de Protección de Datos publica todas sus resoluciones sancionadoras en su sede electrónica. El análisis de esas resoluciones revela patrones repetidos de incumplimiento que cualquier empresa puede identificar y corregir antes de recibir una inspección. Este artículo repasa las cinco áreas con mayor concentración de expedientes.
Puntos clave
- 1La videovigilancia es el origen del mayor número de reclamaciones a la AEPD
- 2La notificación tardía de brechas de seguridad puede acumular sanciones independientes
- 3Los banners de cookies con 'rechazar' más difícil que 'aceptar' son motivo frecuente de multa
- 4No responder a derechos ARCO-POL en plazo acarrea sanciones directas
- 5Los datos de salud y otras categorías especiales generan las multas más altas
- 6Las multas pueden ser graduadas a la baja ante cooperación activa y corrección voluntaria
1. Videovigilancia: el área con más expedientes
La instalación de cámaras de seguridad sigue siendo el origen del mayor número de reclamaciones. Los incumplimientos más repetidos son: ausencia de cartel informativo o cartel con información insuficiente, captación de espacio público sin habilitación legal, conservación de imágenes más de 30 días sin autorización, y ausencia de contrato de encargo con el instalador.
2. Brechas de seguridad notificadas tarde o sin medidas previas
El RGPD obliga a notificar brechas en 72 horas desde que el responsable tiene conocimiento. Las resoluciones muestran dos patrones combinados: notificación fuera de plazo (días o semanas después) y medidas de seguridad previas insuficientes que permitieron el incidente. Ambas infracciones pueden sancionarse de forma acumulada.
3. Cookies y publicidad comportamental
La AEPD aplica la LSSI y el RGPD de forma conjunta. Los incumplimientos más frecuentes son: banner donde rechazar es más difícil que aceptar, cookies de terceros instaladas antes de recibir el consentimiento, y política de cookies desactualizada que no refleja todos los terceros que reciben datos.
| Área de incumplimiento | Artículo infringido | Sanción orientativa |
|---|---|---|
| Videovigilancia sin cartel | Art. 13 RGPD | Apercibimiento – 50.000 € |
| Brecha notificada fuera de plazo | Art. 33 RGPD | 5.000 – 300.000 € |
| Cookies sin consentimiento válido | Art. 22.2 LSSI + Art. 6 RGPD | 10.000 – 150.000 € |
| Derechos ignorados | Arts. 12/17/21 RGPD | 5.000 – 100.000 € |
| Datos de salud sin base legal | Art. 9 RGPD | 100.000 – 4 M€ |
Próximos pasos recomendados
- 1Revisa tu instalación de videovigilancia: cartel, captación, plazos, contratos
- 2Verifica que tienes un protocolo de respuesta a brechas con el plazo de 72 horas documentado
- 3Audita el banner de cookies con una herramienta como CookieBot o Axeptio para verificar el cumplimiento técnico
- 4Establece o verifica el canal de derechos ARCO-POL y los plazos de respuesta internos
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- AEPD — Resoluciones sancionadoras — Buscador de resoluciones de la AEPD con todos los expedientes publicados
- AEPD — Memorias de actividad — Memorias anuales de actividad de la AEPD con estadísticas de sanciones
- RGPD arts. 32-34 (brechas) — EUR-Lex — Marco legal de obligaciones ante brechas de seguridad
- AEPD — Herramienta gestión de brechas — Herramienta de la AEPD para notificar y documentar brechas de seguridad
También en AEPD