Més sancions i multes més altes: l'AEPD apuja el nivell de les multes el 2025
L'Agència Espanyola de Protecció de Dades (AEPD) ha reforçat significativament la seva política sancionadora durant el 2025, amb un augment tant en el nombre de multes imposades com en la seva quantia. Segons les dades publicades fins ara, l'autoritat ha imposat 299 sancions econòmiques per un total de 40 milions d'euros, la qual cosa representa un augment del 14 % respecte a l'any anterior.
Aquesta tendència confirma una línia d'actuació ja anticipada en anys anteriors, amb un impacte particular en els sectors que duen a terme tractaments massius o intensius de dades personals i que incorporen tecnologies especialment intrusives, com ara la biometria, la videovigilància avançada o els sistemes algorítmics.
Entre les multes més significatives de l'any hi va haver la de 10 milions d'euros imposada a Aena per l'ús indegut de sistemes d'identificació biomètrica als aeroports, una de les més altes imposades per l'AEPD fins ara, que situa la seguretat i la proporcionalitat d'aquests tractaments al centre del debat regulador.
En aquest context, Daniel López, soci de Privacitat i Protecció de Dades d'ECIJA, subratlla que l'augment de les sancions no es pot analitzar en isolament, sinó com una conseqüència directa d'un marc normatiu cada cop més complex i superposat. En particular, destaca que la entrada en vigor i aplicació simultànies de normatives com ara la NIS2, la DORA, el Reglament general de protecció de dades i l'Estatut dels treballadors crea un entorn de compliment normatiu especialment exigent per a les organitzacions.
Segons López, aquesta acumulació de normatives "complica el compliment sense trepitjar mines legals", la qual cosa crea un terreny fèrtil perquè l'AEPD intensifiqui la seva supervisió amb l'objectiu d'establir límits clars, especialment en l'ús de les tecnologies emergents. Al seu parer, l'autoritat està reforçant el seu paper no només en matèria de sancions, sinó també en l'àmbit de la formació i la governança, en un moment en què la intel·ligència artificial comença a desplegar-se àmpliament en processos empresarials crítics.
El soci de l'ECIJA també adverteix que la IA està emergint com una de les principals àrees de risc per a sancions en els propers anys, ja que introdueix una complexitat tècnica i jurídica sense precedents pel que fa a la protecció de dades, la proporcionalitat i la transparència. L'AEPD ja ha començat a marcar el to amb sancions vinculades al mal ús de les eines d'IA, i s'anticipa un major escrutini dels sistemes automatitzats, el perfilatge algorítmic i les decisions basades en dades.
De cara al 2026, tot apunta que l'Agència mantindrà aquesta fuita de treball, amb un enfocament cada cop més definit en la biometria, la ciberseguretat i la governança de dades, especialment en les organitzacions amb un impacte sistèmic o les que operen en entorns altament digitalitzats. En aquest escenari, el compliment normatiu deixa de ser un exercici formal i es converteix en un element estructural de l'estratègia empresarial.
Accediu a l'article complet publicat a Cinco Días aquí.
