La Agencia Española de Protección de Datos incrementó un 16 % el número de sanciones en 2025, elevando la recaudación un 35 % hasta rozar los 50 millones de euros.
Las reclamaciones directas tramitadas casi se duplicaron respecto al año anterior, superando los 30.000 expedientes gestionados.
El informe evidencia una asimetría estructural que penaliza el cumplimiento de las empresas españolas frente a las grandes tecnológicas.
El sector plantea tres cambios sistémicos para equilibrar el modelo, destacando una modulación proporcional de las multas según el tamaño empresarial.
El crecimiento de la actividad supervisora y sancionadora
La Agencia Española de Protección de Datos (AEPD) ha publicado su Memoria Anual correspondiente a 2025. El documento detalla exhaustivamente cómo ejerce la institución su potestad de supervisión y su poder sancionador en materia de privacidad. Los datos revelan un aparato regulatorio en plena expansión y con una actividad sin precedentes.
Durante este último ejercicio, el número de sanciones impuestas experimentó un incremento del 16 %. Paralelamente, el volumen económico de las multas creció un 35 %, alcanzando una recaudación cercana a los 50 millones de euros. La sanción más elevada del año se impuso a la entidad AENA, rondando los 10 millones de euros.
Un incremento exponencial en la tramitación de expedientes
La Memoria oficial refleja que la AEPD gestionó cerca de 50.000 consultas ciudadanas y respondió a 429 peticiones de delegados de protección de datos. Además, la autoridad tramitó 2.765 notificaciones de brechas de seguridad. Estos graves incidentes llegaron a afectar a un total de 200 millones de personas.
El dato más llamativo es la gestión de 30.931 reclamaciones presentadas directamente ante la Agencia, frente a las 18.855 del ejercicio anterior. También se tramitaron 1.118 casos transfronterizos procedentes de otras autoridades de la Unión Europea, frente a los 825 previos, mostrando un repunte muy significativo.
La asimetría del modelo: pymes frente a gigantes tecnológicos
La aplicación del Reglamento General de Protección de Datos (RGPD) evidencia una clara asimetría estructural. El sistema actual sanciona con mayor rapidez y facilidad a las entidades con domicilio, contabilidad y representación en España. Como resultado, las pymes asumen el mayor peso de esta estricta supervisión.
Por el contrario, las grandes plataformas tecnológicas —como Meta, Google, TikTok o Amazon— operan bajo el mecanismo de ventanilla única. Al tener su sede en Irlanda, la AEPD actúa solo como autoridad interesada. Esto genera resoluciones lentas cuyas multas millonarias no impactan materialmente en las cuentas de estas corporaciones.
El impacto económico del cumplimiento preventivo
Existe una carga profunda que no aparece cuantificada en las estadísticas oficiales: el coste del cumplimiento preventivo. Las compañías que actúan con diligencia deben invertir recursos significativos para evitar infracciones. Esto abarca desde la contratación de profesionales especializados hasta la revisión de contratos con encargados del tratamiento.
Casi la mitad de las organizaciones que acudieron a la Agencia buscando orientación sobre tratamientos de alto riesgo no comprendían correctamente el procedimiento. Esto se debe a la gran complejidad del sistema regulatorio, donde los recursos institucionales de apoyo para operadores medios siguen siendo insuficientes.
Propuestas para un sistema sancionador más proporcional
Para abordar las deficiencias expuestas en la Memoria 2025, se plantean tres modificaciones sistémicas. En primer lugar, se reclama una modulación más explícita de las sanciones en función del tamaño del infractor. El objetivo es evitar que multas idénticas asfixien a una pequeña empresa mientras resultan irrelevantes para los grandes bancos.
En segundo lugar, resulta urgente dotar de mayor agilidad a la resolución de los procedimientos transfronterizos. El mecanismo de ventanilla única no debe actuar como un escudo protector para los grandes operadores tecnológicos, garantizando así la igualdad de todos los actores del mercado ante la ley.
Finalmente, se requiere una inversión sostenida en orientación preventiva dirigida a los pequeños operadores. Aunque la AEPD contempla esta necesidad fundamental en su Plan Estratégico 2025-2030, reconoce carecer de los recursos necesarios. Esta brecha de medios afecta principalmente a la mediana y pequeña empresa española.
