Sanciones del RGPD: cómo calcula la AEPD las multas a empresas

Q: ¿Cómo decide la AEPD si impone una multa o solo una advertencia?

La AEPD aplica los diez criterios de graduación del artículo 83.2 del RGPD. Si concurren factores atenuantes —primera infracción, daño real limitado, cooperación activa, medidas de cumplimiento previas acreditadas— el procedimiento puede terminar en advertencia sin sanción económica. Si hay reincidencia, intencionalidad o categorías especiales de datos afectadas, la multa es prácticamente inevitable.

Q: ¿Tiene la misma sanción una gran empresa que una pyme?

No exactamente. El RGPD fija topes absolutos (10 o 20 millones de euros) y porcentuales (2% o 4% de la facturación anual global). La AEPD aplica la cuantía que resulte mayor. Para una pyme, el porcentaje de facturación suele ser inferior al tope absoluto, por lo que la multa real es proporcional al tamaño de la empresa.

Q: ¿Puede una empresa reducir la multa una vez iniciado el procedimiento?

Sí. La cooperación activa con la AEPD, la adopción de medidas correctoras antes de la resolución y el pago voluntario en período voluntario (con reducción automática del 20%) son factores que la AEPD considera para reducir la cuantía. Si la empresa acredita medidas de cumplimiento previas no valoradas en la propuesta de resolución, puede lograrse una reducción o la sustitución por advertencia.

Q: ¿Cuáles son los incumplimientos más sancionados por la AEPD en España?

Según las resoluciones publicadas por la AEPD, los más frecuentes son: tratamiento sin base jurídica, falta de información al interesado, videovigilancia ilegal, cesiones de datos sin base legal, falta de atención a derechos ARCO en plazo y brechas no notificadas. Las sanciones por videovigilancia y campañas de marketing sin consentimiento son especialmente frecuentes.

El marco del Reglamento General de Protección de Datos (RGPD) introdujo un escenario punitivo diseñado para ser verdaderamente disuasorio, fijando techos económicos de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de una corporación.

No obstante, es un error metodológico habitual entre los directivos asumir que estas cuantías máximas se aplican de forma automática ante cualquier quiebra de seguridad o desajuste administrativo. Los importes multimillonarios constituyen la excepción, no la regla general.

La Agencia Española de Protección de Datos (AEPD) fundamenta la determinación de sus penalizaciones en un riguroso proceso de ponderación y dosimetría jurídica regulado por el artículo 83 del reglamento.

Conocer los engranajes de este método de cálculo posee una utilidad de negocio crítica: no persigue facilitar el regateo normativo, sino visibilizar analíticamente el impacto financiero que tiene la inversión preventiva en políticas de seguridad.

Ante un mismo tipo de brecha incidental, disponer de salvaguardas documentadas determina que el procedimiento concluya con una simple advertencia o con una multa de protección de datos a la empresa de consecuencias patrimoniales severas.

Este artículo desglosa la arquitectura del régimen sancionador, analiza los niveles de gravedad fijados por la normativa europea y examina los diez criterios de graduación que aplica el regulador español para ponderar el alcance de las responsabilidades corporativas.

Dos niveles de multa y qué infracciones activan cada uno

El régimen sancionador articula las conductas infractoras en dos grandes bloques de gravedad creciente. Esta división previa acota el margen de maniobra de la autoridad inspectora, definiendo el umbral máximo de partida aplicable según el precepto legal vulnerado:

Nivel de gravedad	Precepto Legal (RGPD)	Techo sancionador máximo	Tipologías infractoras clave
Nivel 1	Artículo 83.4	10 millones de euros o el 2% de la facturación global del ejercicio previo.	Incumplimiento de obligaciones del responsable o encargado, omisión de Evaluaciones de Impacto (EIPD), fallos en la designación del DPD y deficiencias en la gestión de menores.
Nivel 2	Artículo 83.5	20 millones de euros o el 4% de la facturación global del ejercicio previo.	Vulneración de los principios básicos del tratamiento (minimización, licitud), desatención de los derechos ARCO, transferencias internacionales ilegales o uso de categorías especiales de datos sin base jurídica.

Para el espectro de las pequeñas y medianas empresas en España, los porcentajes sobre el volumen de negocio consolidado suelen quedar por debajo de los límites fijos absolutos. En estos escenarios, la AEPD utiliza los mínimos relativos adecuados a la dimensión económica de la organización como base de la propuesta de resolución.

Los 10 criterios de graduación del art. 83.2 RGPD

La obligatoriedad de que la penalización económica resulte proporcionada, efectiva y disuasoria exige que los instructores de la AEPD pasen el expediente por el filtro de los criterios tasados de ponderación. Estos elementos actúan como atenuantes o agravantes directos sobre la cuantía final:

Criterio técnico	Descripción Operativa y Alcance
Naturaleza y gravedad	Evalúa el contexto del tratamiento, el propósito comercial, el volumen de afectados y la magnitud del perjuicio real causado.
Intencionalidad o negligencia	Distingue la acción dolosa deliberada (búsqueda de lucro omitiendo la ley) del descuido involuntario o falta de diligencia por omisión.
Medidas de mitigación	Valora las decisiones urgentes ejecutadas por la organización para acotar y reducir los daños una vez detectada la anomalía.
Grado de responsabilidad	Mide el nivel técnico de las políticas organizativas ya existentes antes de que ocurriese el incidente.
Infracciones anteriores	Examina el historial del infractor en busca de antecedentes o expedientes sancionadores firmes en los últimos tres años.
Categorías de datos	Eleva el reproche legal de forma automática si se constata el uso de datos sensibles (salud, biometría, infracciones penales o menores).
Vía de conocimiento	Premia la proactividad si la entidad autodenunció el fallo, frente al inicio por denuncia de un tercero o inspección de oficio.
Cooperación con el regulador	Califica la actitud del sujeto obligado a lo largo del proceso inspector para facilitar el esclarecimiento de los hechos.
Notificación a los afectados	Analiza si la corporación cumplió con la comunicación transparente a los interesados cuando el riesgo era considerado alto.
Garantías de cumplimiento	Pondera la adhesión formal a códigos de conducta validados por el sector o certificaciones de seguridad acreditadas.

Qué factores reducen la sanción en la práctica

La mitigación del riesgo económico ante un expediente en curso depende directamente de la capacidad de la empresa para probar su debida diligencia. Los factores atenuantes de mayor peso estadístico en las resoluciones de las sanciones AEPD 2026 son los siguientes:

Ausencia de reincidencia: Acreditar un expediente histórico limpio de sanciones en la materia.
Contención del daño inmediata: Desactivar el foco de fuga o revocar los accesos indebidos de forma fulminante tras constatar la quiebra técnica.
Notificación transparente en plazo: Ejecutar la obligatoria notificación de brechas de seguridad a la AEPD en 72 horas antes de que trascienda públicamente o se reciban reclamaciones de los afectados.
Acción correctora espontánea: Demostrar que la entidad subsanó la vulnerabilidad jurídica o estructural por iniciativa propia con anterioridad a recibir la propuesta de sanción del instructor.
Arquitectura de cumplimiento previa: Presentar las evidencias de una estructura de cumplimiento al día (Registro de Actividades, auditorías periódicas ejecutadas y formación constatable al personal con acceso a los sistemas).

Qué factores agravan la sanción

En el extremo opuesto, aquellas compañías que operan bajo un modelo de despreocupación o asunción del riesgo por costes incurren en conductas agravantes que elevan la sanción hacia el tramo superior fijado por la ley:

Reincidencia activa: Haber sido objeto de apercibimientos o sanciones firmes por vulneraciones de naturaleza análoga en el trienio anterior.
Opacidad o resistencia: Desatender los requerimientos técnicos de información emitidos por los inspectores o demorar la entrega de la documentación requerida.
Lucro derivado del incumplimiento: Casos flagrantes donde la organización asume deliberadamente omitir la base del consentimiento para rentabilizar bases de datos comerciales o campañas masivas de prospección.
Vulnerabilidad de colectivos protegidos: Tratamiento indebido que afecte de forma directa a menores de edad, personas en situación de exclusión o el uso desregulado de identificadores biométricos corporativos.

El papel del cumplimiento previo

El análisis de la jurisprudencia administrativa de la AEPD revela un patrón inequívoco: aquellos procedimientos que concluyen con la sustitución de la multa económica por una resolución de apercibimiento o advertencia corresponden a empresas que logran certificar documentalmente un sólido marco preventivo previo.

La documentación del cumplimiento no actúa como un mero formalismo burocrático de cara a la galería. Disponer de un RAT permanentemente actualizado, de las Evaluaciones de Impacto preceptivas y de revisiones externas periódicas constituye la prueba objetiva de que la organización opera bajo el principio de responsabilidad proactiva.

Si deseas verificar si las defensas documentales e informáticas de tu negocio resistirían una inspección de oficio, evaluar los procesos mediante una por qué es necesaria una auditoría de protección de datos es la herramienta de control idónea para anticiparse al riesgo.

El blindaje corporativo real se fundamenta en la capacidad de detección temprana. En este sentido, contratar de forma externa una rigurosa auditoría de protección de datos te dotará de un mapa de debilidades corregidas antes de que estas se traduzcan en una denuncia con repercusión económica.

Conclusión

La AEPD no actúa bajo un modelo de tasación automática de máximos. El cálculo del importe de las sanciones RGPD obedece a una ponderación detallada de la trayectoria, la diligencia y la transparencia demostrada por la organización. Mitigar de manera efectiva el impacto de cualquier contingencia pasa por edificar un entorno de gobernanza del dato auditable, estructurado y proactivo.

En Acorán diseñamos estrategias integrales de cumplimiento, localizamos los desajustes normativos de tu estructura empresarial mediante auditorías de control avanzadas y redactamos la documentación probatoria necesaria para proteger tu marca frente a eventuales inspecciones de la autoridad de control. Consúltanos sin compromiso y protege los activos de tu organización.

Preguntas frecuentes sobre sanciones del RGPD

¿Cómo decide la AEPD si impone una multa o solo una advertencia?

La autoridad de control fundamenta su dictamen en el análisis cruzado de los diez criterios recogidos en el artículo 83.2 del RGPD y el desarrollo específico de la LOPDGDD. Si se constata que se trata de una primera infracción de carácter leve, que no ha mediado intencionalidad, que el perjuicio hacia los ciudadanos es inexistente y que la empresa ha acreditado medidas correctoras y políticas previas estables, el procedimiento tiende a cerrarse con una advertencia no económica.

¿Tiene la misma sanción una gran empresa que una pyme?

No de forma absoluta. El marco normativo del RGPD opera combinando techos económicos fijos y variables indexados a la facturación anual consolidada global. Puesto que las sanciones deben guardar un equilibrio de proporcionalidad con la capacidad económica del infractor para no provocar la quiebra técnica de entidades medianas, las multas impuestas a las pymes se adecuan a su escala financiera real, mientras que las multinacionales afrontan sanciones acordes a sus balances.

¿Puede una empresa reducir la multa una vez iniciado el procedimiento?

Sí, la normativa contempla vías específicas de bonificación y reducción de la cuantía acumulada. El reconocimiento de la responsabilidad de los hechos de forma temprana y el abono voluntario de la propuesta de sanción en periodo ordinario conllevan reducciones acumulativas que pueden alcanzar hasta un 40% del importe inicial (20% por pago voluntario y un 20% por reconocimiento de responsabilidad).

¿Cuáles son los incumplimientos más sancionados por la AEPD en España?

Las estadísticas oficiales del regulador español sitúan a la cabeza de los expedientes sancionadores la realización de tratamientos de datos comerciales sin base jurídica válida (especialmente en sectores de telecomunicaciones y energía), las deficiencias graves en los deberes de información al usuario, la implantación de sistemas de videovigilancia invasivos, la omisión de las evaluaciones de impacto obligatorias y la gestión deficiente o tardía de las brechas de seguridad.

CÓMO ELIMINAR LAS COOKIES DE LOS NAVEGADORES MÁS COMUNES
Chrome	https://support.google.com/eliminar cookies de Chrome
Internet Explorer. Versión 11	https://support.microsoft.com/como eliminar cookies de Internet Explorer
Firefox. Versión 65.0.1	https://www.mozilla.org/eliminar cookies de Mozilla
Safari Versión 5.1	https://support.apple.com/gestionar las cookies
Opera	https://help.opera.com/cookies

Analíticas			Activar/desactivar Todas
Propiedad	Cookie	Finalidad	Plazo
acoran.es	_ga	ID utiliza para identificar a los usuarios	en 2 años
acoran.es	_gid	ID utiliza para identificar a los usuarios durante 24 horas después de la última actividad	en 22 horas

Editor	Política de privacidad
Google Analytics	https://privacy.google.com/take-control.html
Google	https://privacy.google.com/take-control.html

CÓMO GESTIONAR LAS COOKIES DESDE EL NAVEGADOR
Eliminar las cookies del dispositivo	Las cookies que ya están en un dispositivo se pueden eliminar borrando el historial del navegador, con lo que se suprimen las cookies de todos los sitios web visitados. Sin embargo, también se puede perder parte de la información guardada (por ejemplo, los datos de inicio de sesión o las preferencias de sitio web).
Gestionar las cookies específicas del sitio	Para tener un control más preciso de las cookies específicas de cada sitio, los usuarios pueden ajustar su configuración de privacidad y cookies en el navegador.
Bloquear las cookies	Aunque la mayoría de los navegadores modernos se pueden configurar para evitar que se instalen cookies en los dispositivos, eso puede obligar al ajuste manual de determinadas preferencias cada vez que se visite un sitio o página. Además, algunos servicios y características pueden no funcionar correctamente (por ejemplo, los inicios de sesión con perfil).

Sanciones del RGPD: cómo calcula la AEPD las multas y qué factores reducen la sanción

Dos niveles de multa y qué infracciones activan cada uno

Los 10 criterios de graduación del art. 83.2 RGPD

Qué factores reducen la sanción en la práctica

Qué factores agravan la sanción

El papel del cumplimiento previo

Conclusión

Preguntas frecuentes sobre sanciones del RGPD

¿Cómo decide la AEPD si impone una multa o solo una advertencia?

¿Tiene la misma sanción una gran empresa que una pyme?

¿Puede una empresa reducir la multa una vez iniciado el procedimiento?

¿Cuáles son los incumplimientos más sancionados por la AEPD en España?

Artículos relacionados en nuestro blog

Entradas recientes

Comentarios recientes

Archivos

Categorías

CONTACTA CON NOSOTROS

Acoran Consultoría y Formación