En una frase. La AEPD es la autoridad de protección de datos más activa de la Unión Europea por número de resoluciones sancionadoras, y este seguimiento recopila las multas de 2026 por sector, importe y artículo infringido, con la comparación frente a 2025 para entender hacia dónde se mueve la presión inspectora.
Puntos clave
- La AEPD resuelve varios cientos de procedimientos sancionadores al año, muy por encima de la media europea en volumen.
- Los focos recurrentes son videovigilancia, marketing sin consentimiento, brechas de seguridad y defectos de información.
- Las mayores multas históricas se concentran en banca y telecomunicaciones (CaixaBank 6M EUR, BBVA 5M EUR, Vodafone 8,15M EUR).
- La graduación se rige por el art. 83.2 RGPD y el catálogo de infracciones de los arts. 72-74 LOPDGDD.
- Las administraciones públicas reciben apercibimiento en lugar de multa (art. 77 LOPDGDD).
1. Cómo se lee este seguimiento
Este artículo se actualiza a lo largo de 2026 con las resoluciones sancionadoras que la AEPD publica en su sede electrónica. La fuente primaria es siempre el texto de la resolución, que puede consultarse en la sección de resoluciones de la AEPD. Cada entrada se clasifica por entidad, importe, sector y artículo infringido, siguiendo el mismo formato que el tracker de sanciones AEPD 2025.
Conviene recordar que el importe publicado no siempre es el importe final pagado: la LOPDGDD prevé reducciones acumulables de hasta el 40% por reconocimiento de responsabilidad y pago voluntario, de modo que la cifra efectiva suele ser inferior a la de la propuesta de resolución.
2. Los patrones que se repiten cada año
Aunque las cifras varían, la distribución sectorial de las sanciones de la AEPD es notablemente estable. Estos son los focos que concentran la mayoría de expedientes:
| Foco de sanción | Infracción típica | Base infringida |
|---|---|---|
| Videovigilancia | Cámaras sin cartel, captación de vía pública | Art. 5, 6, 13 RGPD |
| Marketing | Comunicaciones sin consentimiento | Art. 6 RGPD + art. 21 LSSI |
| Brechas de seguridad | Falta de medidas, notificación tardía | Art. 32, 33, 34 RGPD |
| Información | Cláusulas ausentes o insuficientes | Art. 13, 14 RGPD |
| Legitimación | Tratamiento sin base válida | Art. 6 RGPD |
La videovigilancia es, año tras año, la primera causa de expedientes por volumen, aunque con importes bajos; los grandes importes se concentran en banca, telecomunicaciones y energía. El desglose por sectores está en la serie de resoluciones sectoriales, por ejemplo las sanciones AEPD en videovigilancia y las de ecommerce y retail.
3. Récords históricos como referencia
Para calibrar el techo sancionador, conviene tener presentes las mayores multas confirmadas por la AEPD:
- CaixaBank — 6.000.000 EUR (2021): defectos de información y legitimación.
- BBVA — 5.000.000 EUR (2020): defectos de información y legitimación.
- Vodafone España — 8.150.000 EUR (2021): acumulación de expedientes de marketing y deficiencias de contratos de encargado.
- Mercadona — 2.520.000 EUR (2021): sistema de reconocimiento facial en tiendas sin proporcionalidad.
- Air Europa — 600.000 EUR (2021): notificación tardía de una brecha y falta de medidas.
- Google LLC — 10.000.000 EUR (2022): cesión indebida de datos a terceros y obstáculos al ejercicio del derecho de supresión.
Por volumen de expedientes, en cambio, quien encabeza la estadística no es la banca sino las telecomunicaciones y la videovigilancia, con centenares de reclamaciones al año por llamadas comerciales no deseadas, altas fraudulentas en operadoras y cámaras mal orientadas. La foto es clara: pocos expedientes de importe muy alto en el sector financiero, y muchísimos de importe moderado en telecos y cámaras.
Estas cifras muestran que el riesgo real no está en la excepción sino en errores estructurales: falta de base jurídica e información deficiente son las causas de las dos mayores multas del país. El régimen general de importes se explica en la guía de sanciones del RGPD y la tipología de infracciones en el catálogo de infracciones de la LOPDGDD.
4. Cómo se gradúa una sanción
Entender el importe exige entender la graduación. El art. 83.2 RGPD enumera los factores que la AEPD pondera para fijar la multa: la naturaleza, gravedad y duración de la infracción; su carácter intencional o negligente; las medidas adoptadas para paliar el daño; el grado de responsabilidad y las medidas técnicas y organizativas implantadas; las infracciones anteriores; el grado de cooperación con la Agencia; las categorías de datos afectadas, y la forma en que la autoridad tuvo conocimiento de la infracción.
A ese marco europeo se añade el art. 76 LOPDGDD, que precisa criterios como la vinculación de la actividad del infractor con el tratamiento de datos, los beneficios obtenidos o la continuidad de la conducta. En la práctica, dos infracciones idénticas pueden recibir importes muy distintos según el volumen de afectados, la intencionalidad y la actitud de la empresa durante el procedimiento. Por eso la lectura de resoluciones concretas es más útil que fijarse solo en el tope legal.
Conviene recordar también que la AEPD no es la única autoridad: en el sector público autonómico existen autoridades propias como la APDCAT catalana, la AVPD vasca o el CTPDA andaluz, con competencias limitadas a sus administraciones. La inmensa mayoría de las resoluciones sancionadoras del sector privado, sin embargo, corresponden a la AEPD.
5. Qué hacer para no aparecer en este tracker
La mayoría de las sanciones nacen de tres carencias documentales que una auditoría detecta en horas: falta de registro de actividades, contratos de encargado inexistentes y ausencia de información en la recogida de datos. Un checklist de cumplimiento del RGPD en España permite anticipar los puntos que la AEPD revisa primero cuando recibe una reclamación. La guía de la AEPD como autoridad de control detalla el procedimiento que sigue la Agencia desde la denuncia hasta la resolución.
Mantener esta documentación viva es más fácil con una plataforma que centralice el registro de tratamientos, los contratos y las evidencias; Legiscope es una de las opciones europeas orientadas a ese objetivo. La diferencia entre el RGPD y la norma española que lo desarrolla se explica en LOPDGDD frente a RGPD.
Véase también: sanciones AEPD en educación y sanciones AEPD en hostelería y turismo.
FAQ
¿Cuántas sanciones impone la AEPD al año?
La AEPD resuelve varios cientos de procedimientos sancionadores anuales, lo que la sitúa como la autoridad más activa de la UE por número de resoluciones. El importe agregado varía según el año y la presencia de grandes multas al sector financiero o de telecomunicaciones.
¿La multa publicada es la que paga la empresa?
No siempre. La LOPDGDD permite reducir la sanción hasta un 40% acumulando el reconocimiento de responsabilidad y el pago voluntario antes de la resolución. Por eso el importe efectivo suele ser inferior al de la propuesta inicial que aparece en muchas noticias.
¿Multa la AEPD a las administraciones públicas?
No con multa económica. El art. 77 LOPDGDD somete a las administraciones a un régimen de apercibimiento y medidas correctoras en lugar de sanción pecuniaria, aunque la infracción se declara igualmente y puede exigirse responsabilidad al personal.
¿Dónde se consultan las resoluciones originales?
En la sede electrónica de la AEPD, en la sección de resoluciones publicadas. Cada resolución identifica los hechos, los artículos infringidos y el importe, y es la única fuente fiable frente a los resúmenes de prensa, que a menudo omiten las reducciones o el sentido final del expediente.
Compara con el año anterior en el tracker de sanciones AEPD 2025.
Referencias oficiales: AEPD, Reglamento General de Protección de Datos (EUR-Lex), LOPDGDD (BOE).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial