Protección de Datos

AEPD: guía completa de la autoridad de control

Guía AEPD 2026: estructura, competencias, procedimiento sancionador, plazos y cooperación europea. Más de 1.000 sanciones desde 2018.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20265 min read

En una frase. La AEPD es la autoridad de control con mayor volumen sancionador de la Unión Europea, con más de 1.000 procedimientos resueltos desde 2018 y competencia sobre cualquier responsable establecido en España o que trate datos de residentes españoles.

Puntos clave

  • La AEPD se crea por la LOPD de 1992 y se reorganiza por la LOPDGDD (Ley Orgánica 3/2018).
  • Es una autoridad administrativa independiente del Gobierno, con personalidad jurídica propia y presupuesto autónomo.
  • En 2025 impuso 299 sanciones por importe acumulado cercano a 40 M EUR.
  • Competencias: inspección, sanción, autorización, mediación, asesoramiento normativo y representación en el CEPD.
  • Plazo de prescripción: 1 año (leves), 2 años (graves), 3 años (muy graves) según LOPDGDD art. 78.

1. Origen y marco normativo de la AEPD

La Agencia Española de Protección de Datos fue creada por la LOPD de 1992 como autoridad de control independiente, anticipándose en seis años a la Directiva 95/46/CE. El RGPD y la LOPDGDD consolidan su estatuto: independencia funcional, financiera y orgánica, designación parlamentaria del presidente y del adjunto, mandato de cinco años no renovable.

La sede está en Madrid (calle Jorge Juan 6). Cataluña, País Vasco y Andalucía cuentan con autoridades autonómicas (APDCAT, AVPD, CTPDA) con competencias limitadas al sector público autonómico y local respectivo.

2. Estructura interna

Órgano Función
Presidencia Dirección, representación, resoluciones sancionadoras
Adjunto/a Sustitución y apoyo a presidencia
Consejo Consultivo Asesoramiento (representantes ministeriales, autonómicos, sociales)
Subdirección General de Inspección Investigación y procedimientos sancionadores
Subdirección General de Registro Notificaciones, censos, publicidad
Gabinete Jurídico Resoluciones, defensa procesal
Unidad de Tecnologías Análisis técnico, ciberseguridad

3. Competencias materiales

El artículo 47 de la LOPDGDD enumera competencias de inspección, sancionadoras, normativas, de asesoramiento y de cooperación. Entre las más relevantes:

  • Investigar de oficio o por denuncia cualquier tratamiento.
  • Imponer las sanciones del artículo 83 RGPD hasta 20 M EUR o 4% facturación global.
  • Autorizar cláusulas contractuales tipo y normas corporativas vinculantes.
  • Aprobar códigos de conducta y mecanismos de certificación.
  • Emitir informes preceptivos sobre proyectos normativos que afecten al tratamiento.
  • Representar a España en el Comité Europeo de Protección de Datos (CEPD).

4. Procedimiento sancionador: fases

  1. Actuaciones previas de investigación. Plazo máximo 12 meses. La AEPD puede requerir información, realizar inspecciones in situ y solicitar auxilio judicial.
  2. Acuerdo de inicio. Notificación al presunto responsable con propuesta de calificación e importe.
  3. Alegaciones. Plazo de 10 días hábiles ampliable.
  4. Propuesta de resolución. Tras instrucción, antes de resolución definitiva.
  5. Resolución. Plazo máximo 9 meses desde inicio (LOPDGDD art. 64). Caduca si se supera.
  6. Recurso potestativo de reposición. Un mes ante la AEPD.
  7. Recurso contencioso-administrativo. Dos meses ante la Audiencia Nacional.

El procedimiento abreviado del artículo 64.2 LOPDGDD permite resolución directa cuando los hechos son claros y reconocidos, con reducción del 20% por pago voluntario y otro 20% por reconocimiento de responsabilidad.

5. Clasificación de infracciones (LOPDGDD art. 72-74)

  • Muy graves: tratamiento sin base jurídica, transferencias ilícitas, incumplimiento de resoluciones. Prescripción 3 años.
  • Graves: deficiencias en derechos, falta de DPO obligatorio, ausencia de registro de actividades. Prescripción 2 años.
  • Leves: incumplimientos formales sin afectación material. Prescripción 1 año.

6. Criterios de graduación

El artículo 83.2 RGPD y el 76 LOPDGDD enumeran factores agravantes y atenuantes: naturaleza, gravedad, duración, intencionalidad, número de afectados, categorías de datos, cooperación, reincidencia, beneficio económico obtenido, vinculación con actividad profesional, volumen de negocio. La AEPD publica desde 2024 un baremo orientativo que ha aumentado la previsibilidad de las multas.

7. Casos emblemáticos recientes

  • Aena (2025): 10+ M EUR por sistemas de reconocimiento facial sin EIPD previa.
  • Vodafone España (2021-2024): más de 8 M EUR acumulados por tratamientos sin consentimiento.
  • CaixaBank (2021): 6 M EUR por base jurídica inadecuada.
  • BBVA (2020): 5 M EUR por información de tratamiento insuficiente.
  • Endesa (2023): 6,1 M EUR por falta de medidas técnicas y organizativas.

8. Cooperación europea y mecanismo de ventanilla única

Cuando un tratamiento afecta a interesados en varios Estados miembros, se aplica el mecanismo de ventanilla única del artículo 56 RGPD. La AEPD actúa como autoridad principal cuando el establecimiento principal del responsable está en España, o como autoridad afectada en el resto de casos. En 2024 la AEPD lideró 28 procedimientos transfronterizos y participó como afectada en más de 200.

9. Denuncias y reclamaciones

Cualquier interesado puede reclamar ante la AEPD (sede electrónica). La AEPD valora primero si el responsable ha respondido al ejercicio previo de derechos. Si no, suele inadmitir y exigir que se intente con el responsable antes. Esto elimina aproximadamente el 40% de reclamaciones según los informes anuales.

10. Servicios de utilidad gratuita

La AEPD ofrece herramientas que reducen la carga de cumplimiento: Facilita RGPD (auto-evaluación para pymes), Gestiona EIPD (asistente de evaluación de impacto), Comunica-Brecha RGPD (notificación de violaciones), Pacto Digital y guías sectoriales (RRHH, sanidad, videovigilancia, cookies, IA).

11. Cómo prepararse para una inspección AEPD

  • Mantener checklist RGPD actualizado.
  • Registro de actividades versionado y firmado.
  • Evidencia documental de consentimientos recogidos.
  • Contratos de encargado vigentes.
  • Protocolo de respuesta a brechas con simulacros documentados.
  • Designación formal de DPO con prueba de comunicación a la AEPD.

12. Tendencias 2025-2026

La AEPD ha priorizado en su plan estratégico la inteligencia artificial generativa, el sector sanitario, los menores en plataformas digitales, las cookies y los sistemas biométricos. El reglamento europeo de IA refuerza su papel como autoridad nacional notificante para sistemas de alto riesgo que tratan datos personales.

FAQ

¿Puede la AEPD inspeccionar sin previo aviso?

Sí. Las actuaciones de investigación pueden iniciarse de oficio sin notificación previa. La AEPD puede personarse en locales del responsable con auxilio policial si es necesario.

¿La AEPD sanciona al sector público?

El artículo 77 LOPDGDD impide multas económicas a administraciones públicas. La AEPD impone apercibimientos y obligaciones de adopción de medidas, y publica las resoluciones.

¿Las autoridades autonómicas pueden sancionarme?

Solo si es responsable del sector público autonómico o local en Cataluña, País Vasco o Andalucía. El sector privado siempre depende de la AEPD.

¿Cuánto dura un procedimiento sancionador?

12 meses de investigación más 9 meses de resolución, con posible suspensión. La caducidad por superar el plazo es causa frecuente de archivo.

¿Se publican todas las resoluciones?

Sí. La AEPD publica todas las resoluciones sancionadoras en su sitio web, anonimizando datos personales pero no la identidad del responsable.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →