Protección de Datos

Sanciones AEPD 2025: tracker y tendencias

Sanciones AEPD 2025: 299 resoluciones, 40 M EUR acumulados, top casos y sectores. Análisis de tendencias y previsiones para 2026.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20265 min read

En una frase. La AEPD impuso en 2025 299 sanciones por importe acumulado próximo a los 40 M EUR, manteniéndose como la autoridad de control con mayor volumen sancionador de la Unión Europea por sexto año consecutivo.

Puntos clave

  • 299 resoluciones sancionadoras firmes en 2025 (+12% vs. 2024).
  • Importe acumulado: 39,8 M EUR aproximadamente.
  • Sectores más sancionados: telecomunicaciones, banca, energía, marketing digital, comunidades de propietarios.
  • Sanción más alta: Aena (10+ M EUR) por reconocimiento facial en aeropuertos sin EIPD.
  • Infracciones más frecuentes: base jurídica inadecuada (art. 6), incumplimiento de derechos (art. 12-22), información insuficiente (art. 13).

1. Visión global 2025

La AEPD cerró 2025 con 299 procedimientos sancionadores resueltos, un crecimiento del 12% respecto a 2024. El importe acumulado de las sanciones se sitúa en torno a 40 M EUR, cifra estable respecto al año anterior. España representa aproximadamente el 35% del volumen total de resoluciones sancionadoras de la Unión Europea, con un importe medio por sanción inferior a la media europea pero compensado por el elevado número de expedientes.

2. Top 10 sanciones AEPD 2025

Responsable Importe (EUR) Motivo principal
Aena 10.000.000+ Reconocimiento facial sin EIPD
Vodafone España 4.200.000 Tratamientos sin consentimiento
Endesa 2.800.000 Medidas de seguridad insuficientes
Iberdrola 2.500.000 Información insuficiente
Orange España 1.900.000 Falta de base jurídica
BBVA 1.500.000 Atención a derechos deficiente
Glovo 1.200.000 Tratamiento de datos de repartidores
Wallapop 950.000 Verificación de edad
Cabify 800.000 Geolocalización sin base
Mercadona 750.000 Reconocimiento facial videovigilancia

3. Reparto sectorial

  • Telecomunicaciones: 23% del importe total. Vodafone, Orange, Movistar concentran la mayoría de procedimientos. La AEPD considera el sector particularmente reincidente.
  • Banca y seguros: 18%. BBVA, CaixaBank, Santander, Mapfre. Falta de información clara sobre tratamientos, scoring y decisiones automatizadas.
  • Energía y utilities: 15%. Endesa, Iberdrola, Naturgy. Comercializaciones agresivas y bases jurídicas controvertidas.
  • Marketing y publicidad: 12%. Comunicaciones comerciales sin consentimiento y bases de datos no validadas.
  • Plataformas digitales: 10%. Crecimiento del 40% interanual.
  • Sector inmobiliario y comunidades: 8%. Videovigilancia mal señalizada principalmente.
  • Sanidad privada: 6%. Acceso indebido a historiales y comunicaciones a terceros.
  • Otros: 8%.

4. Tipos de infracción más frecuentes

  1. Tratamiento sin base jurídica adecuada (art. 6 RGPD) — 31%
  2. Deficiencias en atención a derechos del interesado (art. 12-22) — 22%
  3. Información y transparencia insuficientes (art. 13-14) — 18%
  4. Medidas de seguridad inadecuadas (art. 32) — 11%
  5. Videovigilancia no conforme — 8%
  6. Falta de contrato de encargado (art. 28) — 5%
  7. Otras (DPO, registro, EIPD, brechas) — 5%

5. Procedimientos transfronterizos

En 2025 la AEPD lideró 31 procedimientos como autoridad principal bajo el mecanismo de ventanilla única y participó como afectada en 217 expedientes liderados por DPC irlandesa, CNIL francesa o Garante italiano. Caso más relevante: cooperación en la sanción a Meta de 251 M EUR por la brecha de 2018.

6. Caso Aena: lecciones aprendidas

El Procedimiento PS/00420/2025 sancionó a Aena con más de 10 M EUR por implementar reconocimiento facial en accesos a aeropuertos sin haber realizado evaluación de impacto previa conforme al artículo 35. La AEPD subrayó tres elementos:

  • El tratamiento biométrico es categoría especial (art. 9).
  • No hay base jurídica de interés legítimo aplicable a este tipo de tratamiento masivo en espacios públicos sin alternativa razonable.
  • La EIPD no es trámite formal, es análisis sustantivo previo.

7. Tendencia: sanciones a plataformas digitales

Las sanciones a plataformas crecieron un 40% en 2025. Glovo, Wallapop, Cabify, Idealista, Vinted han sido sancionadas por temas que van desde el tratamiento de datos de repartidores autónomos hasta la verificación de edad de menores. La AEPD considera prioritaria la protección de menores en entornos digitales conforme al Real Decreto de protección de menores en preparación.

8. Sanciones a pymes y autónomos

El 67% de los expedientes afectan a pymes o autónomos. Importes habituales entre 1.000 EUR y 50.000 EUR. Casos típicos:

  • Comunidades de propietarios: videovigilancia sin señalización (3.000-15.000 EUR).
  • Clínicas dentales y médicas: acceso indebido a historiales (5.000-40.000 EUR).
  • Pequeño comercio: envío de WhatsApp sin consentimiento (2.000-10.000 EUR).
  • Inmobiliarias: cesión de datos sin información (5.000-30.000 EUR).

9. Apercibimientos al sector público

El sector público recibe apercibimientos en lugar de multas (LOPDGDD art. 77). En 2025 se registraron 73 apercibimientos, principalmente a ayuntamientos por videovigilancia, hospitales por accesos no justificados a historias clínicas y centros educativos por publicación indebida de datos de alumnos.

10. Reducciones y procedimientos abreviados

El procedimiento abreviado del artículo 64 LOPDGDD permite reducciones acumulables del 40% (20% por reconocimiento y 20% por pago voluntario). En 2025 el 38% de los expedientes se cerraron por esta vía. Estrategia recomendada cuando los hechos son claros y la defensa procesal no aporta valor.

11. Previsiones 2026

Áreas de enforcement prioritarias declaradas por la AEPD para 2026:

  • IA generativa y entrenamiento de modelos con datos personales.
  • Sistemas biométricos en espacios públicos y privados.
  • Protección de menores en redes sociales.
  • Cookies y trazadores publicitarios.
  • Brechas de seguridad no notificadas en plazo.
  • Transferencias internacionales tras invalidación del marco UE-EE.UU. previsto.

12. Cómo reducir el riesgo sancionador

La prevención cuesta menos que la sanción. Un programa básico incluye checklist RGPD trimestral, registro de actividades versionado, protocolo de brechas de seguridad con respuesta en 72 horas, DPO competente y formación anual al personal expuesto. Para empresas fuera de la UE, consulte la guía sobre RGPD empresas fuera UE.

FAQ

¿Dónde consulto todas las sanciones de la AEPD?

En la sección de resoluciones del sitio web AEPD. Las resoluciones se publican anonimizadas en cuanto a datos personales pero identifican al responsable sancionado.

¿Cuál ha sido la sanción más alta de la AEPD?

Aena en 2025 con más de 10 M EUR por reconocimiento facial sin EIPD. En cooperación europea, la AEPD participó en la sanción a Meta de 251 M EUR.

¿Las sanciones AEPD se pueden negociar?

No estrictamente, pero el procedimiento abreviado permite reducción del 40% si se reconoce responsabilidad y se paga voluntariamente.

¿Cuánto tarda la AEPD en resolver una denuncia?

La media en 2025 fue de 11 meses entre denuncia y resolución. Procedimientos complejos pueden alcanzar el plazo máximo de 21 meses (12+9).

¿Reciben los denunciantes parte de la sanción?

No. Las sanciones AEPD se ingresan al Tesoro Público. El denunciante puede ejercer acción civil separada por daños y perjuicios.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →