• +34 93 737 64 01
  • info@pymelegal.es
Logo PymeLegal

🔥 20% en la Plataforma con el código: PYMEBLACKFRIDAY – Solo hasta el 30 de noviembre 🔥

Las sanciones RGPD más altas en España en 2025: la AEPD endurece su actuación ante brechas de seguridad y tratamientos ilícitos

por

La Agencia Española de Protección de Datos (AEPD) ha cerrado 2025 con una cifra récord de reclamaciones y uno de los años más duros en materia sancionadora desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD).

Según la Memoria 2025 publicada por la propia Agencia, durante este año se recibieron más de 30.931 reclamaciones, un 64% más que en 2024, reflejando un crecimiento histórico de conflictos relacionados con privacidad, brechas de seguridad, videovigilancia, publicidad no deseada y tratamientos ilegítimos de datos personales.

Además, las multas económicas también se dispararon. El importe total de sanciones alcanzó los 48,1 millones de euros, un 35% más que el año anterior.

En este artículo analizamos:

  • cuáles han sido las mayores sanciones RGPD en España en 2025,
  • qué infracciones se repiten con más frecuencia,
  • qué sectores están más expuestos,
  • y qué lecciones deben aprender empresas y pymes para evitar multas millonarias.

Un año récord para la protección de datos en España

La AEPD reconoce en su memoria anual que el aumento de reclamaciones ha sido “espectacular”, hasta el punto de reducir la tasa de resolución debido al volumen de expedientes acumulados.

Los datos más relevantes de 2025 son contundentes:

  • 30.931 reclamaciones presentadas ante la AEPD (+64%)
  • 23.361 reclamaciones resueltas
  • 495 procedimientos sancionadores y apercibimientos
  • 48,1 millones de euros en multas
  • 326 sanciones económicas impuestas
  • Multa media de 148.000 euros (+17%)

La propia Agencia señala que el aumento de la complejidad tecnológica y de las brechas de seguridad está detrás del endurecimiento de las actuaciones inspectoras.

Las 10 mayores sanciones RGPD en España en 2025

Estas han sido las multas más elevadas publicadas por la AEPD durante 2025:

Empresa Importe Infracción
AENA, S.M.E., S.A. 10.043.002 € Art. 35 RGPD
XFERA MÓVILES, S.A.U. 4.000.000 € Arts. 5.1.f y 32
CENTROS COMERCIALES CARREFOUR, S.A. 3.200.000 € Arts. 5.1.f, 32 y 34
INFORMA D&B, S.A. 1.800.000 € Arts. 6.1 y 14
ING BANK N.V. 1.600.000 € Art. 6.1
HYUNDAI MOTOR ESPAÑA, S.L.U. 1.600.000 € Art. 5.1.f
SPRINTER MEGACENTROS DEL DEPORTE, S.L. 1.560.000 € Art. 5.1.f
SERVICIOS FINANCIEROS CARREFOUR 1.500.000 € Art. 5.1.f
REPSOL COMERCIALIZADORA 1.380.000 € Arts. 5.1.d y 32
IDCQ HOSPITALES Y SANIDAD, S.L.U. 1.200.000 € Arts. 6, 9 y 25

La mayor multa del año: AENA supera los 10 millones de euros

La sanción más alta de 2025 fue para AENA, con más de 10 millones de euros por infracción del artículo 35 del RGPD.

Este artículo regula la obligación de realizar Evaluaciones de Impacto en Protección de Datos (EIPD) cuando un tratamiento puede implicar un alto riesgo para los derechos y libertades de las personas.

La cuantía refleja una tendencia clara: la AEPD ya no solo sanciona brechas de seguridad o spam, sino también fallos estructurales de cumplimiento preventivo.

Las brechas de seguridad dominan las grandes sanciones

Uno de los aspectos más relevantes de 2025 ha sido el fuerte incremento de expedientes relacionados con ciberseguridad y filtraciones de datos.

La AEPD afirma que:

  • las actuaciones previas de investigación por brechas aumentaron un 69%,
  • los procedimientos sancionadores crecieron un 157%,
  • y el importe total de multas vinculadas a brechas alcanzó casi 20 millones de euros.

Xfera Móviles: 4 millones de euros por un ciberataque

Xfera Móviles (Yoigo) recibió una de las mayores sanciones del año:
4 millones de euros por infracción de los artículos 5.1.f y 32 del RGPD.

La AEPD concluyó que existían deficiencias en las medidas técnicas y organizativas destinadas a garantizar la seguridad de los datos personales tras un ciberataque.

El caso es especialmente relevante porque demuestra que:

  • sufrir un ataque no exime de responsabilidad,
  • y las empresas deben acreditar medidas de seguridad adecuadas y proporcionadas al riesgo.

Carrefour y las brechas de datos: 3,2 millones de euros

Centros Comerciales Carrefour fue sancionada con 3,2 millones de euros por vulneraciones relacionadas con:

  • confidencialidad,
  • medidas de seguridad,
  • y falta de notificación adecuada de brechas.

La AEPD considera especialmente grave:

  • no proteger correctamente los datos,
  • no minimizar el impacto de la filtración,
  • o no informar adecuadamente a los afectados.

Sprinter: millones de usuarios afectados

Uno de los expedientes más mediáticos de 2025 fue el de Sprinter Megacentros del Deporte.

La brecha afectó a:

  • 4 millones de personas en España,
  • 6 millones en la UE,
  • incluyendo categorías especiales y datos sensibles.

La sanción total superó los 1,5 millones de euros, aunque la memoria también menciona importes superiores derivados del mismo caso en el contexto transfronterizo.

La resolución pone el foco en:

  • medidas técnicas insuficientes,
  • mala gestión del riesgo,
  • y falta de protección efectiva de información sensible.

El gran problema de 2025: seguridad y confidencialidad

La mayoría de las grandes multas comparten un mismo patrón:
fallos en seguridad.

Los artículos más sancionados han sido:

  • artículo 5.1.f RGPD: integridad y confidencialidad,
  • artículo 32: seguridad del tratamiento,
  • artículo 34: obligación de comunicar brechas,
  • artículo 25: privacidad desde el diseño.

La AEPD deja claro que “las empresas ya no pueden limitarse a “tener documentos RGPD”, sino que deben demostrar medidas reales de protección.

Sectores más sancionados en 2025

La memoria de la AEPD identifica las áreas con mayor importe global de multas:

Sector Importe total
Servicios de internet  11,3 M€
Comercio, transporte y hostelería 10,7 M€
Quiebras de seguridad 9,8 M€
Energía y agua 3 M€
Entidades financieras 2,7 M€
Telecomunicaciones 2,3 M€

Especialmente llamativo es el aumento de:

  • comercio y hostelería (+1653%),
  • y quiebras de seguridad (+348%).

Las reclamaciones más frecuentes ante la AEPD

La Agencia también detalla las áreas que más reclamaciones generan entre ciudadanos:

  1. Servicios de Internet
  2. Videovigilancia
  3. Administración pública
  4. Comercio y hostelería
  5. Publicidad
  6. Ficheros de morosidad
  7. Relaciones laborales
  8. Entidades financieras
  9. Reclamación de deudas
  10. Sanidad

Destaca especialmente:

  • el aumento del 215% en reclamaciones contra administraciones públicas,
  • y el crecimiento continuo de conflictos relacionados con Internet y privacidad digital.

¿Qué puede aprender una pyme de estas sanciones?

Aunque muchas de las multas afectan a grandes compañías, la realidad es que las obligaciones del RGPD también afectan a pequeñas y medianas empresas.

Y la AEPD insiste cada vez más en aspectos técnicos y organizativos como:

  • análisis de riesgos,
  • control de accesos,
  • cifrado,
  • políticas internas,
  • formación de empleados,
  • gestión de proveedores,
  • contratos con encargados de tratamiento,
  • y protocolos de actuación ante brechas.

Además, muchas reclamaciones nacen de errores cotidianos:

  • emails enviados incorrectamente,
  • cámaras mal instaladas,
  • uso indebido de WhatsApp,
  • accesos internos no autorizados,
  • o bases de datos mal protegidas.

El RGPD entra en una nueva fase: menos papel y más seguridad real

La Memoria 2025 de la AEPD deja una conclusión muy clara: la protección de datos ya no es una cuestión puramente documental.

Las autoridades están centrando cada vez más sus inspecciones en:

  • ciberseguridad,
  • gestión tecnológica,
  • trazabilidad,
  • privacidad desde el diseño,
  • y capacidad de reacción ante incidentes.

Las empresas que sigan viendo el RGPD únicamente como un conjunto de textos legales o plantillas corren un riesgo creciente de sufrir sanciones económicas muy elevadas.

Y todo apunta a que esta tendencia seguirá aumentando durante los próximos años.