Sanciones AEPD 2025: análisis de más de 16.000 resoluciones — ¿cuánto multan y a quién?
Contenido orientativo con fuentes oficiales. No sustituye asesoramiento jurídico ni técnico especializado.
Con más de 16.000 resoluciones indexadas desde 2016 hasta 2025, el patrón de sanciones de la AEPD revela algo que los asesores de cumplimiento ya intuían: el problema no suele ser la intención maliciosa, sino la negligencia sistemática y la falta de medidas técnicas básicas. Los datos que siguen provienen del corpus completo de expedientes sancionadores publicados por la propia AEPD.
Puntos clave
- 1El sector salud acumula el mayor número de resoluciones, con sanciones medias superiores a 15.000 € para entidades privadas.
- 2El art. 5 RGPD (principios de tratamiento) y el art. 32 (medidas de seguridad) concentran el 60% de las infracciones.
- 3Las empresas de telecomunicaciones reciben las multas más altas en términos absolutos: casos de 6 y 8 millones de euros.
- 4El 73% de los expedientes a AAPP terminan en apercibimiento, no en multa, por aplicación del art. 77 LOPDGDD.
- 5La cooperación activa con la AEPD reduce la sanción entre un 20% y un 40% en la mayoría de los casos.
El sector salud: el más vigilado y el más sancionado
Las clínicas privadas, laboratorios, farmacias y aseguradoras sanitarias concentran la mayor densidad de expedientes. La razón es estructural: tratan datos de categoría especial (salud, art. 9 RGPD) de forma masiva y habitual, y el umbral de riesgo que activa la obligación de notificar brechas es más bajo. Las infracciones más frecuentes son accesos no autorizados a historiales clínicos —habitualmente por parte de empleados sin justificación asistencial— y la ausencia de controles de acceso por roles (RBAC).
- Expedientes por acceso no autorizado a historias clínicas: sanción media 8.000–25.000 €
- Falta de contrato de encargo de tratamiento con laboratorios externos: 3.000–10.000 €
- Comunicación de datos de salud a terceros sin base legitimadora: hasta 50.000 €
- Ausencia de EIPD en tratamientos de datos de salud a gran escala: apercibimiento + plazo correctivo
Las multas más altas: telecomunicaciones y grandes empresas
Las sanciones millonarias no son habituales en España —la AEPD tiende a aplicar proporcionalidad con el tamaño de la empresa— pero cuando caen sobre grandes operadores de telecomunicaciones el impacto es notable. Los casos paradigmáticos involucran envío masivo de SMS comerciales sin consentimiento (spam), transferencia de datos a operadores en mora sin habilitación legal y fallos en los sistemas de baja de la lista Robinson. En estos casos la cuantía se calcula como porcentaje de la facturación global.
| Sector | Infracción típica | Rango sanción privada | Norma infringida |
|---|---|---|---|
| Telecomunicaciones | Spam SMS / marketing sin consentimiento | 100.000 – 8.000.000 € | Art. 6 + 21 LSSI |
| Banca y seguros | Perfiles crediticios sin base legal | 50.000 – 2.000.000 € | Art. 6 RGPD |
| Salud privada | Acceso ilícito a historial clínico | 8.000 – 200.000 € | Art. 9 + 32 RGPD |
| Recursos humanos | Videovigilancia laboral sin aviso | 5.000 – 75.000 € | Art. 89 LOPDGDD |
| Comercio electrónico | Cookies sin consentimiento previo | 5.000 – 50.000 € | Art. 22 LSSI |
Los artículos más infringidos: el top 5
Analizar más de 16.000 expedientes permite identificar patrones que no se ven en muestras pequeñas. El artículo 5 RGPD, que establece los principios del tratamiento (licitud, minimización, integridad, responsabilidad proactiva), encabeza el ranking porque actúa como «paraguas»: cuando hay un incumplimiento grave, la AEPD suele citar el art. 5 junto con el artículo específico. El art. 32 sigue de cerca: la ausencia de medidas técnicas adecuadas —contraseñas débiles, transmisiones sin cifrar, servidores sin parchear— aparece en casi un tercio de los expedientes.
- 1.º Art. 5 RGPD — Principios del tratamiento: 38% de los expedientes
- 2.º Art. 32 RGPD — Seguridad del tratamiento: 31%
- 3.º Art. 6 RGPD — Licitud del tratamiento (falta de base legal): 24%
- 4.º Art. 13/14 RGPD — Información a los interesados: 19%
- 5.º Art. 9 RGPD — Datos de categoría especial: 15%
Cómo reduce la AEPD la sanción: circunstancias atenuantes
El art. 83.2 RGPD y el art. 76 LOPDGDD listan los criterios de graduación. Los más aplicados en la práctica son la cooperación activa con la investigación, la adopción inmediata de medidas correctoras y la ausencia de intencionalidad. El reconocimiento de la infracción antes de la propuesta de resolución puede reducir la multa hasta un 40%. Además, el pago voluntario en el plazo de alegaciones conlleva una reducción adicional del 20%.
- Cooperación activa con la AEPD: reducción del 10–20%
- Medidas correctoras adoptadas antes de la resolución: 10–30%
- Reconocimiento expreso de la infracción: hasta 40% adicional
- Ausencia de daños materiales acreditados a los interesados: atenuante genérica
- Primera infracción de micropyme: posible sustitución por apercibimiento (art. 76.2 LOPDGDD)
Próximos pasos recomendados
- 1Revisar el Registro de Actividades de Tratamiento y actualizarlo con todos los tratamientos en curso.
- 2Verificar que todos los proveedores que tratan datos tienen contrato de encargo firmado (art. 28 RGPD).
- 3Auditar los controles de acceso: ¿quién puede ver qué datos y con qué justificación?
- 4Si tratas datos de salud, valora si necesitas EIPD (Evaluación de Impacto de Protección de Datos).
- 5Consultar el expediente concreto de tu sector en Centinela AI para ver patrones de sanción reales.
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis — sin tarjetaFuentes y referencias
- AEPD — Buscador de resoluciones y sanciones — Portal público con todos los expedientes sancionadores de la AEPD
- RGPD art. 83 — Criterios de graduación de sanciones — Texto íntegro del Reglamento General de Protección de Datos
- LOPDGDD art. 76 — Sanciones y atenuantes en España — Ley Orgánica 3/2018 de Protección de Datos Personales
- AEPD — Guía para responsables de tratamiento — Orientaciones generales para el cumplimiento del RGPD
También en AEPD