¿Cuánto multa la AEPD? Lo que dicen 40.000 resoluciones reales
«Multas de hasta 20 millones» es el titular que todos repiten. Pero, ¿cuánto sanciona de verdad la Agencia Española de Protección de Datos, y por qué? Hemos mirado el régimen sancionador y los números agregados de su histórico de resoluciones.
El RGPD viene con un titular incorporado: multas de hasta 20 millones de euros o el 4% de la facturación mundial. Es cierto, está en la ley, y asusta. Pero ese número es el techo legal, no la vara de medir cotidiana de la AEPD. Si quieres entender el riesgo real de protección de datos en España, conviene separar tres cosas: qué dice el régimen sancionador, qué multa de verdad la Agencia y cuánto.
Lo que dice la ley: dos tramos, no uno.
El artículo 83 del RGPD no establece «una» multa máxima, sino dos tramos según la gravedad de la infracción, y en ambos se aplica la cifra que resulte mayor entre el importe fijo y el porcentaje de facturación:
| Tramo | Tope | Para qué tipo de infracciones |
|---|---|---|
| Art. 83.4 | Hasta 10 M€ o el 2% del volumen de negocio anual mundial | Obligaciones del responsable y del encargado: seguridad, registro, evaluaciones de impacto, designación de DPO… |
| Art. 83.5 | Hasta 20 M€ o el 4% del volumen de negocio anual mundial | Principios básicos, bases de licitud y consentimiento, derechos de los interesados y transferencias internacionales. |
Antes de fijar la cuantía, el art. 83.2 obliga a graduar: gravedad, intencionalidad, medidas para mitigar el daño, grado de cooperación, categorías de datos afectadas… No es un peaje fijo, sino una horquilla que se modula caso a caso. Por eso dos brechas parecidas pueden acabar en cifras muy distintas.
Lo que multa de verdad: el agregado.
SuperLawyer mantiene indexado el histórico de resoluciones de la AEPD. A día de hoy el corpus contiene:
| Métrica | Valor |
|---|---|
| Resoluciones publicadas | 40.483 |
| De ellas, con sanción económica | 6.486 |
| Importe sancionador acumulado | 297,2 millones de euros |
| Importe medio por sanción | ≈ 45.800 € (media aritmética) |
Ese importe medio engaña, y conviene decirlo: está fuertemente distorsionado por un puñado de sanciones muy grandes a grandes operadores. La realidad de la mayoría de procedimientos está bastante por debajo, y muchísimos no terminan en multa, sino en apercibimiento (un toque de atención sin coste) o en archivo. La «multa media» no es la «multa típica».
Por qué materias se multa más.
Si algo enseña el agregado es que el riesgo cotidiano no está en los grandes escándalos tecnológicos, sino en lo básico mal hecho. Estas son las materias con más resoluciones:
| Materia | Resoluciones |
|---|---|
| Derecho de supresión | 9.203 |
| Derecho de acceso | 7.374 |
| Videovigilancia | 6.875 |
| Morosidad / ficheros de solvencia | 5.529 |
| Telecomunicaciones | 2.133 |
| Marketing / spam | 1.918 |
| Brecha de seguridad | 846 |
| Cookies / web | 259 |
Traducido: cámaras mal señalizadas o que graban la vía pública, ignorar a quien pide borrar o acceder a sus datos, inscripciones indebidas en listas de morosos y llamadas comerciales no deseadas son, con diferencia, lo que más procedimientos genera. Es el pan de cada día de un DPO, y casi nunca sale en titulares.
Las grandes cifras existen (pero son excepción).
El ejemplo más conocido y verificable: en 2020 la AEPD impuso a Google LLC una multa de 10.000.000 € por comunicaciones de datos personales al «Proyecto Lumen» y por dificultar el derecho de supresión, con apoyo en los arts. 6 y 17 del RGPD.
Procedimiento sancionador PS/00140/2020 — Google LLC. Multa total de 10.000.000 € por infracciones del RGPD (arts. 6, 17 y concordantes).
AEPD · PS/00140/2020. Ver resolución (PDF) →Casos así marcan el techo mediático, pero son una porción mínima de los 6.486 expedientes sancionadores. La fotografía honesta es la contraria: un número enorme de sanciones modestas por incumplimientos corrientes, y muy pocas megamultas.
No te prepares para la multa de 20 millones que probablemente nunca llegue. Prepárate para las de verdad: atender derechos en plazo, señalizar bien las cámaras, no inscribir en morosos sin requisitos y pedir consentimiento real para el marketing.
Cifras reales, no estimaciones inventadas.
Pídele a una IA «¿cuánto multa la AEPD por X?» y, sin fuentes, te dará una cifra plausible pero falsa. SuperLawyer conecta tu asistente con las más de 40.000 resoluciones reales de la Agencia: puedes filtrar por importe, fecha o entidad y citar la resolución exacta. Datos, no humo.
Solicitar acceso →Preguntas frecuentes.
¿Cuál es la multa máxima del RGPD?
El art. 83 fija dos topes: hasta 10 M€ o el 2% del volumen de negocio anual mundial para el primer tramo, y hasta 20 M€ o el 4% para las infracciones más graves. Se aplica la cifra mayor de las dos.
¿Por qué materias multa más la AEPD?
Por volumen, las más frecuentes son el ejercicio del derecho de supresión y de acceso, la videovigilancia, la inclusión indebida en ficheros de morosidad y el marketing o spam.
¿Son habituales las multas millonarias?
No. Existen, pero son excepcionales y se concentran en grandes operadores. La mayoría de sanciones se mueve muy por debajo y muchos procedimientos terminan en apercibimiento o en pago voluntario con reducción.
¿Se puede reducir la sanción?
Sí. El reconocimiento de responsabilidad y el pago voluntario antes de la resolución permiten reducciones acumulables, y la cooperación y las medidas correctoras pesan en la graduación del art. 83.2.
Este artículo tiene finalidad divulgativa y no constituye asesoramiento jurídico. Las cifras agregadas proceden del histórico de resoluciones de la AEPD indexado por SuperLawyer y pueden variar a medida que se publican nuevas resoluciones.