Protección de Datos

Infracciones LOPDGDD: leves, graves y muy graves

Infracciones LOPDGDD (arts. 72-74): conductas muy graves, graves y leves, plazos de prescripción, criterios de graduación del art. 83.2 RGPD y multas.

También disponible en:English

En una frase. La LOPDGDD clasifica las infracciones de protección de datos en muy graves (art. 72), graves (art. 73) y leves (art. 74). Esa clasificación no cambia el importe máximo de la multa —que sigue fijado por el art. 83 RGPD en hasta 20 millones de euros o el 4 % de la facturación— pero sí determina el plazo de prescripción y sirve de guía para la graduación de la sanción por la AEPD.

Puntos clave

  • Los arts. 72-74 LOPDGDD tipifican las conductas; el art. 83 RGPD fija las cuantías máximas.
  • Dos tramos de multa en el RGPD: hasta 10 M EUR o 2 % (art. 83.4) y hasta 20 M EUR o 4 % (art. 83.5), la cifra que sea mayor.
  • Prescripción (art. 78 LOPDGDD): 3 años las muy graves, 2 años las graves, 1 año las leves.
  • La graduación se apoya en los 11 criterios del art. 83.2 RGPD: gravedad, intencionalidad, medidas adoptadas, cooperación, reincidencia.
  • Casos reales de referencia: CaixaBank 6 M EUR y BBVA 5 M EUR, por defectos de información y legitimación.

1. Cómo encaja la LOPDGDD con el RGPD

El RGPD ya establece un régimen sancionador en su art. 83, pero deja margen para que cada Estado precise las conductas. España lo hizo en los arts. 72 a 74 de la LOPDGDD, que tipifican de forma detallada qué comportamientos son muy graves, graves y leves.

Es clave entender el reparto de papeles: la cuantía de la multa la marca siempre el art. 83 RGPD; los artículos españoles describen las conductas y fijan sus plazos de prescripción. Por eso una infracción “leve” según la LOPDGDD puede, en teoría, encajar en el tramo alto del RGPD. En la práctica la AEPD usa la clasificación española como referencia para graduar. La relación general entre ambas normas la explicamos en LOPDGDD vs RGPD.

2. Infracciones muy graves (art. 72 LOPDGDD)

El art. 72 recoge las conductas más lesivas, con prescripción a los 3 años. Entre otras:

  • Tratar datos sin base jurídica o vulnerando los principios del art. 5 RGPD.
  • Tratar categorías especiales (art. 9) sin habilitación.
  • Usar los datos para fines incompatibles con los que motivaron su recogida.
  • No atender de forma sistemática el ejercicio de derechos (acceso, supresión, oposición…).
  • Transferencias internacionales sin garantías.
  • No cooperar o obstruir la labor inspectora de la AEPD.

Estas conductas se mueven en el tramo del art. 83.5 RGPD: hasta 20 M EUR o el 4 % de la facturación anual global.

3. Infracciones graves (art. 73 LOPDGDD)

Prescripción a los 2 años. Son incumplimientos relevantes de obligaciones organizativas y de información:

  • Información deficiente al interesado (arts. 13-14 RGPD): la causa más frecuente de sanción en España.
  • No mantener el registro de actividades de tratamiento o hacerlo de forma incompleta.
  • No designar DPO cuando es obligatorio (véase cuándo es obligatorio el DPO).
  • No firmar el contrato de encargo del art. 28 RGPD.
  • No notificar una brecha en plazo, o notificarla tarde.
  • Medidas de seguridad insuficientes (art. 32 RGPD).

Se ubican en el tramo del art. 83.4 RGPD: hasta 10 M EUR o el 2 %.

4. Infracciones leves (art. 74 LOPDGDD)

Prescripción a 1 año. Son en su mayoría defectos formales de las mismas conductas graves cuando su impacto es menor: información incompleta pero no ausente, retrasos puntuales en la atención de derechos, omisiones menores en el registro. La AEPD suele resolverlas con apercibimiento (art. 58.2.b RGPD) más que con multa, especialmente en pymes.

Tabla de referencia rápida

Tipo Artículo Prescripción Tramo RGPD Ejemplo típico
Muy grave Art. 72 LOPDGDD 3 años Hasta 20 M€ / 4 % (art. 83.5) Tratar sin base legal; ceder datos sensibles
Grave Art. 73 LOPDGDD 2 años Hasta 10 M€ / 2 % (art. 83.4) Información deficiente; sin ROPA; brecha no notificada
Leve Art. 74 LOPDGDD 1 año Hasta 10 M€ / 2 % (art. 83.4) Defectos formales; retraso puntual

6. Cómo gradúa la AEPD: los criterios del art. 83.2 RGPD

La clasificación en tres niveles no es automática: la multa concreta depende de once criterios del art. 83.2 RGPD que la AEPD pondera caso a caso:

  1. Naturaleza, gravedad y duración de la infracción.
  2. Intencionalidad o negligencia.
  3. Medidas adoptadas para mitigar el daño.
  4. Grado de responsabilidad, considerando las medidas técnicas y organizativas.
  5. Infracciones anteriores (reincidencia).
  6. Cooperación con la autoridad.
  7. Categorías de datos afectadas.
  8. Forma en que la autoridad conoció la infracción.
  9. Cumplimiento de medidas correctivas previas.
  10. Adhesión a códigos de conducta o certificaciones.
  11. Otros factores agravantes o atenuantes (por ejemplo, beneficio económico).

La LOPDGDD añade en su art. 76 factores agravantes y atenuantes propios: la vinculación de la actividad con el tratamiento de datos, el volumen de afectados o el beneficio obtenido. El resultado real puede consultarse en el tracker de sanciones de la AEPD 2025.

7. Qué muestran los casos reales

La foto española confirma dos patrones. Primero, el sector con mayores multas es el financiero: CaixaBank 6 M EUR (2021) y BBVA 5 M EUR, ambas por defectos de información y legitimación —infracciones graves del art. 73—. Segundo, la conducta más sancionada no es el ciberataque espectacular, sino el incumplimiento del deber de información y la falta de base jurídica.

Reducir ese riesgo es, en esencia, un problema de documentación y trazabilidad. Ordenar bases jurídicas, plazos e información en los formularios —lo que una herramienta de cumplimiento como Legiscope mantiene actualizado— ataca directamente las dos causas de sanción más frecuentes. Un buen punto de partida es el checklist RGPD para España y la referencia general sobre sanciones RGPD.

Un tercer patrón conviene subrayarlo: la AEPD no solo mira la conducta, sino la actitud del responsable una vez detectada. Cooperar, subsanar de inmediato y acreditar que existían medidas razonables opera como atenuante (art. 83.2.c y f RGPD); ocultar, obstruir o reincidir agrava la multa. En la práctica, dos empresas con la misma infracción pueden acabar con sanciones muy distintas según cómo gestionen la fase de instrucción. Por eso la respuesta a un requerimiento de la AEPD no es un trámite menor: es parte del cálculo de la sanción.

Conviene además recordar que el pago voluntario y el reconocimiento de responsabilidad permiten, en el procedimiento español, reducciones acumulables de hasta el 40 % sobre la multa propuesta (art. 85 de la Ley 39/2015). No convierte una infracción grave en anecdótica, pero cambia sustancialmente el importe final y, con él, la decisión de recurrir o no.

8. Recursos oficiales

Véase también: APDCAT, la autoridad catalana, AVPD, la agencia vasca y el CTPDA de Andalucía.

FAQ

¿La clasificación en leve, grave o muy grave cambia el importe de la multa?

No directamente. El importe máximo lo fija el art. 83 RGPD (10 M€/2 % o 20 M€/4 %). La clasificación de la LOPDGDD determina sobre todo el plazo de prescripción y orienta la graduación, pero el cálculo final depende de los criterios del art. 83.2 RGPD.

¿Cuándo prescribe una infracción de protección de datos?

Según el art. 78 LOPDGDD: las muy graves a los 3 años, las graves a los 2 años y las leves al 1 año, contados desde que se cometió la infracción.

¿Cuál es la infracción más común en España?

El incumplimiento del deber de información (arts. 13-14 RGPD) y la falta o mala elección de base jurídica (art. 6). La mayoría de las grandes multas de la AEPD, incluidas las del sector bancario, se apoyan en estas conductas.

¿Una pyme puede acabar solo con un apercibimiento?

Sí. El art. 58.2.b RGPD permite a la AEPD apercibir en lugar de multar, y es habitual en infracciones leves o graves de pymes sin reincidencia ni ánimo de lucro. No es garantía: depende de la ponderación del art. 83.2.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →