La Agencia Española de Protección de Datos (AEPD) ha impuesto más de 1.000 sanciones —concretamente 1.048— desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018, según el último Informe de Seguimiento de Aplicación del RGPD elaborado por el despacho CMS Albiñana & Suárez de Lezo y recogido por Expansión. La cifra, actualizada a marzo de 2026, sitúa a España como el país europeo con mayor número de sanciones por incumplimiento de la normativa, con 116 multas más que en el informe anterior.
El volumen, sin embargo, no equivale a dureza sancionadora: según los datos analizados, la multa media histórica en España se sitúa en algo más de 134.000 euros, muy por debajo de la media europea. Irlanda, sede europea de muchas grandes tecnológicas estadounidenses, lidera el ránking con una sanción media cercana a los 119 millones de euros, seguida de Francia, con algo más de 12 millones, y Países Bajos, con aproximadamente 8 millones. España ocupa el puesto 18 en este ranking de dureza media, a pesar de encabezar el de número de sanciones.
El alto número de expedientes se explica, según CMS, por la ingente actividad inspectora de la AEPD, una autoridad que, en palabras de Javier Torre de Silva, responsable de Tecnología, Medios y Telecomunicaciones (TMC) de CMS, «tiene fama de ser la más exigente de la UE». El experto añade que «sería deseable que la necesaria labor de guía e interpretación del RGPD que la agencia tiene encomendada se desarrollara principalmente a través de guías y recomendaciones, y las multas se reservaran principalmente para las actuaciones dolosas de quien decide ignorar la normativa y no tanto para quien de buena fe intenta cumplirla sin éxito».
El informe también dibuja la foto del conjunto europeo: el importe total acumulado de sanciones públicas por incumplimiento del RGPD ha alcanzado por primera vez los 6.110 millones de euros, lo que supone un incremento de 487,6 millones respecto al ejercicio anterior. Y apunta a un cambio relevante en el ranking: tras la decisión del Tribunal Administrativo de Luxemburgo de anular la multa a Amazon de 746 millones de euros y devolver el asunto al CNPD en marzo de 2026, nueve de las diez multas más altas del RGPD tienen origen en Irlanda.
En España, el desglose sectorial de las 30 sanciones más elevadas muestra que el sector energético lidera el ranking, seguido del financiero-bancario y de las telecomunicaciones, lo que refleja el alto nivel de exposición al tratamiento masivo de datos personales. En 2025, las multas más elevadas correspondieron a empresas de gestión aeroportuaria y comercio minorista. Si se amplía la perspectiva al conjunto histórico, la multa más alta en España es la impuesta a Amadeus hace apenas dos meses por utilizar datos personales de millones de pasajeros en un proyecto piloto dirigido a aerolíneas, hoteles y agencias de viaje, con un importe de 18 millones de euros. Le siguen las sanciones de 10 millones fijadas contra Aena y Google.
El dato tiene consecuencias prácticas inmediatas para empresas y entidades españolas:
- La AEPD mantiene un ritmo inspector muy alto, lo que multiplica la probabilidad de expedientes sancionadores para empresas de sectores expuestos (energía, banca, telecos, retail, gran consumo).
- El importe medio de las sanciones en España sigue siendo bajo, pero la multa máxima crece: 18M€ a Amadeus, 10M€ a Aena y Google marcan un nuevo suelo en la práctica sancionadora.
- El modelo sancionador irlandés explica las grandes multas europeas y condiciona la estrategia de cumplimiento de las grandes tecnológicas con sede europea en Dublín; el resto de la UE queda expuesta a inspecciones locales con importes menores pero más frecuentes.
En Adara Legal trabajamos con empresas y entidades en el diseño y revisión de programas de cumplimiento del RGPD y de la LOPDGDD, así como en la defensa frente a inspecciones de la AEPD y en la respuesta a eventuales requerimientos y sanciones. Si su organización opera en sectores expuestos al tratamiento masivo de datos —energía, banca, telecomunicaciones, retail, plataformas digitales o turismo—, conviene revisar el marco de cumplimiento, los registros de actividades de tratamiento y la documentación de las bases legitimadoras antes de que la actividad inspectora de la AEPD cierre el siguiente expediente.