Más sanciones y de mayor importe: La AEPD sube el nivel de multas en 2025
La Agencia Española de Protección de Datos (AEPD) ha reforzado de manera notable su política sancionadora durante 2025, con un aumento tanto en el número de multas impuestas como en su cuantía. Según los datos publicados hasta la fecha, la autoridad ha dictado 299 sanciones económicas por un importe total de 40 millones de euros, lo que supone un incremento del 14 % respecto al ejercicio anterior.
Esta tendencia confirma una línea de actuación ya anticipada en ejercicios previos, con especial impacto en sectores que realizan tratamientos masivos o intensivos de datos personales y que incorporan tecnologías especialmente intrusivas, como la biometría, la videovigilancia avanzada o los sistemas algorítmicos.
Entre las sanciones más relevantes del año destaca la multa de 10 millones de euros impuesta a Aena por el uso indebido de sistemas de identificación biométrica en aeropuertos, una de las resoluciones más elevadas dictadas por la AEPD hasta la fecha y que sitúa a la seguridad y proporcionalidad de estos tratamientos en el centro del debate regulatorio.
En este contexto, Daniel López, socio de Privacidad y Protección de Datos de ECIJA, subraya que el incremento de las sanciones no puede analizarse de forma aislada, sino como consecuencia directa de un marco normativo cada vez más complejo y superpuesto. En particular, destaca que la entrada en vigor y aplicación simultánea de normas como NIS2, DORA, el Reglamento General de Protección de Datos y el Estatuto de los Trabajadores genera un entorno de cumplimiento especialmente exigente para las organizaciones.
Según López, esta acumulación normativa “dificulta cumplir sin pisar minas legales”, lo que crea el caldo de cultivo para que la AEPD intensifique su supervisión con el objetivo de fijar límites claros, especialmente en el uso de tecnologías emergentes. En su opinión, la autoridad está reforzando su papel no solo sancionador, sino también pedagógico y de gobernanza, en un momento en el que la inteligencia artificial empieza a desplegarse de forma generalizada en procesos empresariales críticos.
El socio de ECIJA advierte además de que la IA se perfila como uno de los principales focos de riesgo sancionador en los próximos años, al introducir una complejidad técnica y jurídica inédita en materia de protección de datos, proporcionalidad y transparencia. La AEPD ya ha comenzado a marcar este terreno con sanciones vinculadas al uso indebido de herramientas de IA, anticipando un mayor escrutinio sobre sistemas automatizados, perfiles algorítmicos y decisiones basadas en datos.
De cara a 2026, todo apunta a que la Agencia mantendrá esta hoja de ruta, con un foco cada vez más definido en biometría, ciberseguridad y gobernanza del dato, especialmente en organizaciones con impacto sistémico o que operan en entornos altamente digitalizados. En este escenario, el cumplimiento normativo deja de ser un ejercicio formal para convertirse en un elemento estructural de la estrategia empresarial.
Accede al artículo completo publicado en Cinco Días aquí.
