Mientras los titulares se llenan de filtraciones, la Agencia Española de Protección de Datos no está mirando hacia otro lado. Según los datos publicados por el medio CincoDías y recogidos por el sector, la AEPD impuso en 2025 un total de 299 sanciones económicas que sumaron 40 millones de euros, un 14% más que los 35,6 millones registrados en 2024 (cifra oficial de la Memoria Anual de la AEPD publicada en mayo de 2025). Entre las resoluciones más relevantes destaca la sanción de 10 millones de euros impuesta a Aena en noviembre por el uso indebido de sistemas biométricos en aeropuertos sin las garantías exigidas por la normativa.
Diversas publicaciones sectoriales han destacado que una parte muy relevante de las sanciones afecta también a autónomos, micropymes y pequeños negocios, especialmente por errores en videovigilancia, publicidad, formularios web o gestión deficiente de datos personales.
Sí, las grandes corporaciones llenan los titulares cuando reciben sanciones de seis o siete cifras. Pero la gran mayoría del trabajo sancionador de la AEPD se desarrolla en un terreno mucho más cercano al tejido empresarial real: cookies sin consentimiento explícito, comunicaciones comerciales sin base legal, falta de información en formularios web, gestión deficiente de los derechos de acceso o supresión, ausencia de contratos de encargado de tratamiento con proveedores externos. Cuestiones que, vistas en frío, parecen menores. Hasta que llegan con un expediente sancionador de 60.000, 100.000 o 300.000 euros.
Y es aquí donde la conversación se vuelve incómoda para muchas empresas. Porque el RGPD no exige resultados, exige diligencia, y la diferencia es enorme. Si una empresa demuestra que tenía implantadas medidas técnicas y organizativas adecuadas, que había evaluado los riesgos, que había formado a su personal y que actuó con celeridad cuando ocurrió el incidente, la AEPD puede decidir no sancionar o aplicar una multa simbólica. Si una empresa no puede demostrar nada de eso, da igual lo bienintencionada que fuera, puede suponerle una sanción económica considerable.
Inteligencia artificial y protección de datos: el nuevo gran frente abierto
A todo lo anterior se suma un escenario que los expertos llevan meses anticipando y que empieza a materializarse. La intersección entre el RGPD y el Reglamento Europeo de Inteligencia Artificial está generando un terreno gris en el que muchas empresas están operando sin saberlo.»Cualquier compañía que esté usando herramientas de IA con datos personales, automatizando decisiones o tratando información sensible debería revisar si ese uso cuenta con base legal, información adecuada, medidas de seguridad y control humano suficiente.
Durante la jornada «Inteligencia artificial y protección de datos» celebrada en febrero en la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid, y recogida por Noticias Jurídicas, el representante de la AEPD advirtió que el número de reclamaciones relacionadas con IA todavía es bajo, pero las primeras sanciones de calado están a la vuelta de la esquina. El mensaje desde el regulador fue inequívoco: cumplir con el Reglamento de IA no exime de cumplir con el RGPD. Son obligaciones acumulativas, no alternativas.
La propia AEPD ya ha tratado casos donde sistemas automatizados o IA intervienen en comunicaciones comerciales y ejercicio de derechos, lo que refuerza el interés práctico del tema.
Esto, traducido al día a día empresarial, significa que cualquier organización que haya incorporado herramientas de IA a sus procesos en los últimos dieciocho meses (es decir, prácticamente todas) tiene un trabajo de revisión por delante que muy pocas han abordado con la seriedad que merece.
El coste real de no invertir en protección de datos
Según algunos datos, el coste medio de un ciberataque para una empresa pequeña en España oscila entre 35.000 y 80.000 euros.
Si a eso le sumamos la posible sanción administrativa, que en infracciones graves puede alcanzar los 10 millones de euros o el 2% de la facturación global anual (lo que sea mayor), y en infracciones muy graves los 20 millones o el 4%, el balance financiero de no haber invertido a tiempo en cumplimiento se vuelve indefendible.
Pero hay un coste que rara vez aparece en los informes y que en muchos casos es el más letal: el reputacional. Una empresa que sale en los medios porque ha filtrado datos de sus clientes pierde algo que no se recupera con un comunicado bien redactado. Pierde la confianza. Y la confianza, en el entorno digital de 2026, es uno de los activos más importantes de una empresa, independientemente del tamaño de la misma.
Por qué tu empresa necesita hoy un servicio profesional de protección de datos
Si has leído hasta aquí y te estás preguntando si tu empresa está realmente preparada para resistir una inspección de la AEPD o un incidente de seguridad como los que están ocupando portadas de algunos medios, la respuesta probablemente sea que no del todo. No por negligencia, sino porque la complejidad del marco normativo actual ha superado lo que cualquier departamento interno puede gestionar en paralelo a su actividad principal.
Ahí es donde entra Protection Report. Y no como un servicio más de cumplimiento, sino como un socio estratégico que entiende que la protección de datos en 2026 ya no se resuelve con un documento de políticas en un cajón y una casilla marcada en una auditoría anual. Se resuelve con un análisis serio del ecosistema de proveedores, con contratos de encargado de tratamiento revisados y vigentes, con evaluaciones de impacto reales para cada nuevo proyecto que toque datos personales, con protocolos de respuesta ante incidentes que se hayan probado antes de necesitarlos, y con un acompañamiento continuo que permita anticiparse a los cambios regulatorios en lugar de correr detrás de ellos.
La pregunta que cualquier responsable empresarial debería hacerse hoy mismo no es si su empresa puede permitirse contratar un servicio profesional de protección de datos; es si puede permitirse evitarlo. Porque cuando llega la notificación de la AEPD, cuando aparece el correo del proveedor diciendo que ha habido un acceso no autorizado, o cuando un cliente presenta una reclamación que escala hasta convertirse en un expediente sancionador, ya no hay tiempo de ponerse al día.
Si quieres revisar si tu empresa está preparada ante una inspección, una brecha de seguridad o el uso de herramientas de inteligencia artificial, desde Protection Report podemos ayudarte con un diagnóstico claro y adaptado a tu actividad.
Especialista en cumplimiento normativo y seguridad de la información, con experiencia en gestión de brechas de seguridad, control de plataformas digitales y CRM, análisis de riesgos, supervisión de procesos y realización de evaluaciones de impacto en protección de datos.
