- JULIA GIL
Las sanciones superan por primera vez los 6.000 millones en Europa. Amadeus, Aena y Google registran las multas más elevadas en España.
La protección de datos se ha convertido en una de las grandes prioridades regulatorias en Europa en los últimos años y España la lleva a rajatabla. Tanto que es el país que más sanciones acumula por infracciones derivadas del Reglamento General de Protección de Datos (RGPD), según el último Informe de Seguimiento de Aplicación del RGPD publicado por el despacho CMS.
Desde 2018, la Agencia Española de Protección de Datos (AEPD) ha impuesto más de 1.000 multas (1.048). Esta cifra supone 116 multas más en comparación con el informe del año pasado y sitúa a España muy por delante del resto de países europeos.
Italia, segundo en el listado, registra 490 sanciones, seguida de Rumania (275) y Polonia (106). En conjunto, estos tres países no alcanzan el volumen sancionador de España por sí sola.
El alto número de expedientes se explica por la "ingente actividad inspectora de la AEPD", una autoridad que, en palabras de Javier Torre de Silva, responsable del departamento de Tecnología, Medios y Telecomunicaciones (TMC) de CMS Albiñana & Suárez de Lezo, "tiene fama de ser la más exigente de la UE". El experto añade que "sería deseable que la necesaria labor de guía e interpretación del RGPD que la agencia tiene encomendada se desarrollara principalmente a través de guías y recomendaciones, y las multas se reservaran principalmente para las actuaciones dolosas de quien decide ignorar la normativa y no tanto para quien de buena fe intenta cumplirla sin éxito", sentencia.
Solo en 2025, la agencia impuso multas por un valor superior a los 40 millones de euros. A pesar de ello, y del elevado número de expedientes, la multa media histórica en España es mucho menor que en la mayoría de los demás países. Irlanda encabeza el ránking, con la media más alta, cercana a los 119 millones de euros. Le siguen Francia, con algo más de 12 millones de euros, y Países Bajos, con aproximadamente 8 millones. España, sin embargo, ocupa el puesto 18, con una sanción media de algo más de 134.000 euros.
Mayores multas en España
En 2025, las multas más elevadas impuestas en España correspondieron principalmente a empresas de los sectores de gestión aeroportuaria y comercio minorista, según recoge el informe de CMS. Si se amplía la perspectiva al conjunto de las sanciones históricas, la multa más alta en España es la impuesta a Amadeus hace apenas dos meses por utilizar datos personales de millones de pasajeros en un proyecto piloto dirigido a aerolíneas, hoteles y agencias de viaje. El importe ascendió a 18 millones de euros. Le siguen las sanciones de 10 millones de euros fijadas contra Aena y a Google.
Entre las 30 sanciones más elevadas en España predomina el sector energético, seguido del financiero y bancario, y el de las telecomunicaciones. Esto refleja el alto nivel de exposición de estos sectores al tratamiento masivo de datos personales.
Récord en Europa
El endurecimiento de la supervisión no es exclusivo de España. A nivel europeo, el importe total de las sanciones públicas por incumplimiento del RGPD ha alcanzado por primera vez los 6.110 millones de euros, según datos analizados desde 2018 hasta marzo de 2026 por CMS. Esta cifra supone un incremento de 487,6 millones respecto al informe del año anterior.
En ese periodo se registraron un total de 2.685 multas públicas, o 3.062 si se contabilizan aquellas con información limitada sobre el importe o la fecha. Entre 2018 y 2026, la multa media ascendió a aproximadamente 2,28 millones de euros, aunque las medias siguen estando "fuertemente influenciadas", según se explica en el informe, por un número relativamente pequeño de multas excepcionalmente elevadas.
La sanción más alta hasta la fecha sigue siendo la multa de 1.200 millones de euros impuesta por la Comisión Irlandesa de Protección de Datos contra Meta Platforms Ireland Limited por transferencias internacionales ilegales de datos.
Tras la decisión del Tribunal Administrativo de Luxemburgo de anular la multa a Amazon de 746 millones de euros y devolver el asunto al CNPD en marzo de 2026, nueve de las diez multas más altas del RGPD tienen origen en Irlanda.
Según Torre de Silva, esta concentración se explica porque Irlanda alberga la sede europea de muchas grandes tecnológicas estadounidenses que operan en múltiples jurisdicciones de la UE. "El principio de proporcionalidad hace que esas multas deban ser mucho mayores por afectar en ocasiones a una parte relevante de los habitantes de la UE", concluye.
'El Rosco' tenía dueño: Fin a 15 años de pugna legal por la prueba más famosa de la TVEY Abogados, Garrigues y Baker McKenzie negocian los despidos de las tecnológicas en EspañaEcija certifica su sistema de gestión de IA Comentar ÚLTIMA HORA