• +34 93 737 64 01
  • info@pymelegal.es
Logo PymeLegal

🔥 20% a la Plataforma amb el codi: PYMEBLACKFRIDAY – Només fins al 30 de novembre 🔥

Les sancions RGPD més altes a Espanya el 2025: l’AEPD endureix la seva actuació davant bretxes de seguretat i tractaments il·lícits

per

L’Agència Espanyola de Protecció de Dades (AEPD) ha tancat el 2025 amb una xifra rècord de reclamacions i un dels anys més durs en matèria sancionadora des de l’entrada en vigor del Reglament General de Protecció de Dades (RGPD).

Segons la Memòria 2025 publicada per la mateixa Agència, durant aquest any es van rebre més de 30.931 reclamacions, un 64% més que el 2024, reflectint un creixement històric de conflictes relacionats amb privacitat, bretxes de seguretat, videovigilància, publicitat no desitjada i tractaments il·legítims de dades personals.

A més, les multes econòmiques també es van disparar. L’import total de sancions va arribar als 48,1 milions d’euros, un 35% més que l’any anterior.

En aquest article analitzem:

  • quines han estat les sancions RGPD més elevades a Espanya el 2025,
  • quines infraccions es repeteixen amb més freqüència,
  • quins sectors estan més exposats,
  • i quines lliçons han d’aprendre empreses i pimes per evitar multes milionàries.

Un any rècord per a la protecció de dades a Espanya

L’AEPD reconeix a la seva memòria anual que l’augment de reclamacions ha estat “espectacular”, fins al punt de reduir la taxa de resolució a causa del volum d’expedients acumulats.

Les dades més rellevants de 2025 són contundents:

  • 30.931 reclamacions presentades davant l’AEPD (+64%)
  • 23.361 reclamacions resoltes
  • 495 procediments sancionadors i apercebiments
  • 48,1 milions d’euros en multes
  • 326 sancions econòmiques imposades
  • Multa mitjana de 148.000 euros (+17%)

La mateixa Agència assenyala que l’augment de la complexitat tecnològica i de les bretxes de seguretat està darrere de l’enduriment de les actuacions inspectores.

Les 10 sancions RGPD més altes a Espanya el 2025

Aquestes han estat les multes més elevades publicades per l’AEPD durant el 2025:

 

Empresa Import Infracció
AENA, S.M.E., S.A. 10.043.002 € Art. 35 RGPD
XFERA MÓVILES, S.A.U. 4.000.000 € Arts. 5.1.f i 32
CENTROS COMERCIALES CARREFOUR, S.A. 3.200.000 € Arts. 5.1.f, 32 i 34
INFORMA D&B, S.A. 1.800.000 € Arts. 6.1 i 14
ING BANK N.V. 1.600.000 € Art. 6.1
HYUNDAI MOTOR ESPAÑA, S.L.U. 1.600.000 € Art. 5.1.f
SPRINTER MEGACENTROS DEL DEPORTE, S.L. 1.560.000 € Art. 5.1.f
SERVICIOS FINANCIEROS CARREFOUR 1.500.000 € Art. 5.1.f
REPSOL COMERCIALIZADORA 1.380.000 € Arts. 5.1.d i 32
IDCQ HOSPITALES Y SANIDAD, S.L.U. 1.200.000 € Arts. 6, 9 y 25

La multa més alta de l’any: AENA supera els 10 milions d’euros

La sanció més alta del 2025 va ser per a AENA, amb més de 10 milions d’euros per infracció de l’article 35 del RGPD.

Aquest article regula l’obligació de realitzar Avaluacions d’Impacte en Protecció de Dades (AIPD) quan un tractament pot implicar un alt risc per als drets i llibertats de les persones.

La quantia reflecteix una tendència clara: l’AEPD ja no només sanciona bretxes de seguretat o spam, sinó també errors estructurals de compliment preventiu.

Les bretxes de seguretat dominen les grans sancions

Un dels aspectes més rellevants del 2025 ha estat el fort increment d’expedients relacionats amb ciberseguretat i filtracions de dades.

L’AEPD afirma que:

  • les actuacions prèvies d’investigació per bretxes van augmentar un 69%,
  • els procediments sancionadors van créixer un 157%,
  • i l’import total de multes vinculades a bretxes va arribar a gairebé 20 milions d’euros.

Xfera Móviles: 4 milions d’euros per un ciberatac

Xfera Móviles (Yoigo) va rebre una de les sancions més altes de l’any: 4 milions d’euros per infracció dels articles 5.1.f i 32 del RGPD.

L’AEPD va concloure que existien deficiències en les mesures tècniques i organitzatives destinades a garantir la seguretat de les dades personals després d’un ciberatac.

El cas és especialment rellevant perquè demostra que:

  • patir un atac no eximeix de responsabilitat,
  • i les empreses han d’acreditar mesures de seguretat adequades i proporcionades al risc.

Carrefour i les bretxes de dades: 3,2 milions d’euros

Centros Comerciales Carrefour va ser sancionada amb 3,2 milions d’euros per vulneracions relacionades amb:

  • confidencialitat,
  • mesures de seguretat,
  • i manca de notificació adequada de bretxes.

L’AEPD considera especialment greu:

  • no protegir correctament les dades,
  • no minimitzar l’impacte de la filtració,
  • o no informar adequadament les persones afectades.

Sprinter: milions d’usuaris afectats

Un dels expedients més mediàtics del 2025 va ser el de Sprinter Megacentros del Deporte.

La bretxa va afectar:

  • 4 milions de persones a Espanya,
  • 6 milions a la UE,
  • incloent categories especials i dades sensibles.

La sanció total va superar els 1,5 milions d’euros, tot i que la memòria també menciona imports superiors derivats del mateix cas en el context transfronterer.

La resolució posa el focus en:

  • mesures tècniques insuficients,
  • mala gestió del risc,
  • i manca de protecció efectiva d’informació sensible.

El gran problema del 2025: seguretat i confidencialitat

La majoria de les grans multes comparteixen un mateix patró: errors en seguretat.

Els articles més sancionats han estat:

  • article 5.1.f RGPD → integritat i confidencialitat,
  • article 32 → seguretat del tractament,
  • article 34 → obligació de comunicar bretxes,
  • article 25 → privacitat des del disseny.

L’AEPD deixa clar que les empreses ja no poden limitar-se a “tenir documents RGPD”, sinó que han de demostrar mesures reals de protecció.

Sectors més sancionats el 2025

La memòria de l’AEPD identifica les àrees amb major import global de multes:

Sector Import total
Serveis d’internet  11,3 M€
Comerç, transport i hosteleria 10,7 M€
Bretxes de seguretat 9,8 M€
Energia i agua 3 M€
Entitats financeres 2,7 M€
Telecomunicacions 2,3 M€

Especialment cridaner és l’augment de:

  • comerç i hostaleria (+1653%),
  • i bretxes de seguretat (+348%).

Les reclamacions més freqüents davant l’AEPD

L’Agència també detalla les àrees que més reclamacions generen entre la ciutadania:

  1. Serveis d’Internet
  2. Videovigilància
  3. Administració pública
  4. Comerç i hostaleria
  5. Publicitat
  6. Fitxers de morositat
  7. Relacions laborals
  8. Entitats financeres
  9. Reclamació de deutes
  10. Sanitat

Destaca especialment:

  • l’augment del 215% en reclamacions contra administracions públiques,
  • i el creixement continu de conflictes relacionats amb Internet i privacitat digital.

Què pot aprendre una pime d’aquestes sancions?

Tot i que moltes de les multes afecten grans companyies, la realitat és que les obligacions del RGPD també afecten petites i mitjanes empreses.

I l’AEPD insisteix cada vegada més en aspectes tècnics i organitzatius com:

  • anàlisi de riscos,
  • control d’accessos,
  • xifrat,
  • polítiques internes,
  • formació d’empleats,
  • gestió de proveïdors,
  • contractes amb encarregats del tractament,
  • i protocols d’actuació davant bretxes.

A més, moltes reclamacions neixen d’errors quotidians:

  • emails enviats incorrectament,
  • càmeres mal instal·lades,
  • ús indegut de WhatsApp,
  • accessos interns no autoritzats,
  • o bases de dades mal protegides.

El RGPD entra en una nova fase: menys paper i més seguretat real

La Memòria 2025 de l’AEPD deixa una conclusió molt clara: la protecció de dades ja no és una qüestió purament documental.

Les autoritats estan centrant cada vegada més les seves inspeccions en:

  • ciberseguretat,
  • gestió tecnològica,
  • traçabilitat,
  • privacitat des del disseny,
  • i capacitat de reacció davant incidents.

Les empreses que continuïn veient el RGPD únicament com un conjunt de textos legals o plantilles corren un risc creixent de patir sancions econòmiques molt elevades.

I tot apunta que aquesta tendència continuarà augmentant durant els pròxims anys.