Tendencia sancionadora en protección de datos en Europa

El informe de 2025 del Comité Europeo de Protección de Datos (CEPD) incluye información comparada de la actividad sancionadora de todas las autoridades de control europeas. En términos agregados, del informe se extrae que, el año pasado, las autoridades europeas de protección de datos impusieron multas por un importe de 1.145.760.374 euros. Este hecho confirma que el Reglamento General de Protección de Datos (RGPD) sigue contando con una importante capacidad de enforcement.

Los países con mayor número de sanciones impuestas en 2025 han sido:

• Eslovaquia: 542 sanciones
• Alemania: 499 sanciones
• España: 326 sanciones

En cuanto a la cuantía del impacto sancionador, la autoridad irlandesa ha sido la que ha impuesto una cuantía más elevada, alcanzando los 530.773.000 euros (con solo 4 multas); seguida por Francia, país que, con 84 sanciones, ha impuesto multas por importe de 486.854.500 euros. El tercer lugar lo ocupa Alemania, que conjuntamente entre todas sus autoridades ha alcanzado la cifra de 48.117.083 euros.

En el caso de España, la recientemente publicada Memoria de Actividad de 2025 muestra un incremento de reclamaciones recibidas: se presentaron ante la Agencia 30.931 reclamaciones, lo que supone el número de reclamaciones más alto de la historia de esta Autoridad, con un incremento del 64% respecto al año anterior. Refleja asimismo un aumento en el número de procedimientos que terminan con imposición de multa (326 en 2025 frente a 281 en 2024) y el importe de las sanciones impuestas en este ejercicio, alcanzado un volumen de 48.108.765 euros. 

A la vista de tales datos podemos afirmar que el propio desglose evidencia una realidad conocida, pero a menudo simplificada: la actividad sancionadora en Europa es profundamente heterogénea. La comparación entre países como Irlanda —con muy pocas sanciones, pero de altísimo importe— y otros como Eslovaquia o España —con mayor volumen, pero menor impacto económico medio— refleja no tanto discrepancias de intensidad punitiva, sino diferencias estructurales en los modelos de supervisión.

En este sentido, este ranking sancionador debe interpretarse con cautela. El dato cuantitativo, por sí solo, es un indicador limitado si no se contextualiza con variables como la tipología de procedimientos, el origen de las reclamaciones o el peso de la actividad transfronteriza. Asimismo, cabe señalar que este enfoque del CEPD demuestra que se sigue evaluando la aplicación del RGPD principalmente en función del número de sanciones y de su volumen económico cuando, en el fondo, el propio informe del Comité apunta a una realidad más compleja.

Así, por ejemplo, se observa cómo en el enforcement de las autoridades de control europeas ganan protagonismo otras vías (tales como las advertencias, apercibimientos, órdenes de adaptación o restricciones al tratamiento, entre otras), mientras que la norma parece contemplar a las multas dinerarias como un recurso de última instancia.

Este enfoque es importante porque demuestra que dicha capacidad de obligar al cumplimiento no es únicamente sancionadora, sino, sobre todo, preventiva y correctiva.

Y, sin embargo, apenas disponemos de métricas comparables sobre el uso de advertencias o apercibimientos, el impacto preventivo de la supervisión, o los efectos económicos positivos del cumplimiento.

El caso español: ¿menos sanciones o cambio de modelo?

Como avanzábamos, España sigue siendo una de las autoridades más activas, pero su posición relativa cambia.

Esto admite varias lecturas, entre las cuales destaca que pueda responder a un cambio en la tipología de casos (menos volumen, más complejidad).

En definitiva, lo que reflejan los datos de dicho informe es una transformación más profunda del modelo europeo de cumplimiento: menos centrado en cuánto se sanciona y más en cómo —y para qué— se actúa. Un matiz que resulta clave para interpretar correctamente la evolución del sistema y anticipar sus próximos desarrollos.

Esta situación no sólo afecta a las autoridades de control, sino que también tiene una implicación directa en la labor de los profesionales de privacidad, que puede resumirse en que la gestión del cumplimiento ya no puede abordarse exclusivamente desde el riesgo sancionador.

Efectivamente, cada vez más, se impone un enfoque de gobernanza del dato, donde la protección de datos se integra en la estrategia organizativa, en la gestión de riesgos y en la generación de confianza.