Las sanciones por el RGPD superan los 6.000 millones de euros mientras la actividad supervisora gana intensidad
Con datos analizados hasta marzo de este año, el importe total de las sanciones conocidas públicamente ha superado por primera vez los 6.000 millones de euros, alcanzando aproximadamente los 6.110 millones. El número de casos registrados también continúa aumentando, reflejando una actividad supervisora sostenida en toda Europa.
Este crecimiento viene acompañado de un cambio claro de enfoque: las autoridades están centrando cada vez más su atención en cuestiones prácticas de cumplimiento, más allá de los casos aislados de gran repercusión.
Transparencia y cumplimiento operativo, en el centro
En la práctica, las investigaciones se centran cada vez más en aspectos operativos como las obligaciones de transparencia, las medidas de ciberseguridad, el uso de cookies y herramientas de seguimiento online, el tratamiento de datos de empleados o la utilización de tecnologías basadas en inteligencia artificial.
El informe destaca especialmente la creciente relevancia de los requisitos de transparencia como prioridad transversal de supervisión. Deficiencias en las políticas de privacidad, los banners de cookies, la información a empleados y otras comunicaciones dirigidas a usuarios son cada vez más objeto de análisis, junto con tratamientos ilícitos o carencias en materia de seguridad.
Asimismo, el incumplimiento de los principios generales de protección de datos y la insuficiencia de medidas técnicas y organizativas siguen siendo los principales detonantes de sanciones. En este contexto, los ciberincidentes y las brechas de seguridad se han consolidado como un punto de partida habitual para investigaciones más amplias sobre los sistemas de gobernanza del dato en las organizaciones.
Aunque las grandes plataformas digitales y los modelos de negocio basados en datos siguen siendo un foco relevante, la actividad supervisora se está ampliando progresivamente a otros ámbitos. Administraciones públicas, organizaciones sin ánimo de lucro, asociaciones deportivas e incluso particulares son cada vez más objeto de actuaciones cuando manejan volúmenes significativos de datos personales.
Al mismo tiempo, la revisión judicial está ganando peso, con un número creciente de sanciones recurridas ante los tribunales nacionales. Esta tendencia contribuye a clarificar cuestiones jurídicas clave, aunque también pone de manifiesto diferencias en la aplicación del RGPD entre los Estados miembros.
España: foco en brechas de seguridad y datos biométricos
En España, la actividad de la Agencia Española de Protección de Datos (AEPD) ha mostrado en 2025 una orientación clara hacia incumplimientos relacionados con la seguridad y el tratamiento de datos sensibles. En los casos más relevantes, la autoridad ha puesto el foco en brechas de seguridad derivadas de medidas técnicas insuficientes, el incumplimiento de los principios generales del RGPD y el tratamiento ilícito de datos biométricos, especialmente cuando no se ha realizado adecuadamente una evaluación de impacto.
Las brechas de datos personales se consolidan como uno de los principales detonantes de la actuación de la AEPD, en un contexto en el que las sanciones impuestas en 2025 superan los 40 millones de euros, según los datos disponibles.
“En España estamos viendo cómo muchas de las actuaciones de la AEPD se inician a partir de brechas de seguridad, pero no se quedan ahí: derivan en revisiones más amplias sobre cómo las empresas gestionan la protección de datos en su operativa diaria”, señala Javier Torre de Silva, socio responsable del área de TMC de CMS Albiñana & Suárez de Lezo.
En términos de tendencia, se observa un aumento progresivo de las reclamaciones y del potencial de acciones colectivas, lo que apunta a un incremento de la litigiosidad en los próximos años, junto con sanciones más elevadas en los casos más graves.
