Mais sanções e coimas mais elevadas: a AEPD aumenta o nível das coimas em 2025
A Agência Espanhola de Proteção de Dados (AEPD) reforçou significativamente a sua política sancionatória durante 2025, com um aumento tanto no número de multas aplicadas como no seu montante. De acordo com os dados publicados até ao momento, a autoridade impôs 299 sanções económicas no valor de 40 milhões de euros, o que representa um aumento de 14% em relação ao ano anterior.
Esta tendência confirma uma linha de ação já antecipada em anos anteriores, com especial impacto nos sectores que efectuam tratamentos massivos ou intensivos de dados pessoais e que incorporam tecnologias particularmente intrusivas, como a biometria, a videovigilância avançada ou os sistemas algorítmicos.
Entre as coimas mais significativas do ano, destaca-se a de 10 milhões de euros aplicada à Aena pela utilização indevida de sistemas de identificação biométrica nos aeroportos, uma das mais elevadas aplicadas pela AEPD até à data, colocando a segurança e a proporcionalidade destes tratamentos no centro do debate regulatório.
Neste contexto, Daniel López, sócio da área de Privacidade e Proteção de Dados da ECIJA, sublinha que o aumento das sanções não pode ser analisado de forma isolada, mas como consequência direta de um quadro regulamentar cada vez mais complexo e sobreposto. Em particular, destaca que a entrada em vigor e a aplicação simultânea de regulamentos como o NIS2, o DORA, o Regulamento Geral de Proteção de Dados e o Estatuto do Trabalho criam um ambiente de conformidade particularmente exigente para as organizações.
Segundo López, esse acúmulo de normas "complica o compliance sem pisar em minas legais", o que cria um terreno fértil para que a AEPD intensifique sua fiscalização com o objetivo de estabelecer limites claros, principalmente no uso de tecnologias emergentes. Para ele, a autoridade está reforçando seu papel não só em questões sancionatórias, mas também nas áreas de capacitação e governança, em um momento em que a inteligência artificial começa a ser amplamente implantada em processos críticos de negócios.
O sócio da ECIJA alerta ainda para o facto de a IA estar a emergir como uma das principais áreas de risco para as sanções nos próximos anos, uma vez que introduz uma complexidade técnica e jurídica sem precedentes em matéria de proteção de dados, proporcionalidade e transparência. A AEPD já começou a dar o mote com sanções relacionadas com a utilização indevida de ferramentas de IA, prevendo-se um maior escrutínio dos sistemas automatizados, da definição de perfis algorítmicos e das decisões baseadas em dados.
Olhando para 2026, todos os sinais apontam para que a Agência mantenha este fluxo de trabalho, com um foco cada vez mais definido na biometria, cibersegurança e governação de dados, especialmente em organizações com impacto sistémico ou que operam em ambientes altamente digitalizados. Nesse cenário, a conformidade regulatória deixa de ser um exercício formal e passa a ser um elemento estruturante da estratégia de negócios.
Acesse o artigo completo publicado no Cinco Días aqui.
