AEPD 2025: Un Año de Sanciones y Lecciones para el Cumplimiento del GDPR

¿Cuántas veces hemos escuchado que el GDPR es “la regulación más estricta del mundo”? En 2025, la Agencia Española de Protección de Datos (AEPD) ha decidido demostrarlo con hechos, no con comunicados. El resultado: un año en el que las sanciones han dejado de ser la excepción y se han convertido en la nueva normalidad. Pero más allá de los titulares y las cifras, la pregunta incómoda es otra: ¿realmente ha aprendido algo el sector privado o seguimos jugando al escondite con el cumplimiento?

El giro de la AEPD: de la pedagogía al castigo (y vuelta a empezar)

Durante años, la AEPD mantuvo una postura casi maternal: advertencias, guías, webinars y una paciencia que rozaba lo heroico. Pero en 2025, la agencia ha decidido que la pedagogía tiene un límite. El número de expedientes sancionadores se ha disparado, y no solo contra gigantes tecnológicos. Pymes, administraciones públicas y hasta ONGs han sentido el rigor de la sanción, muchas veces por errores que se repiten como un mantra: consentimientos ambiguos, brechas de seguridad notificadas tarde o, directamente, ignoradas.

El mensaje es claro: el tiempo de las excusas ha terminado. La AEPD ha dejado de lado el paternalismo y ha optado por una estrategia de disuasión real, con sanciones que, aunque no siempre millonarias, sí son lo suficientemente dolorosas como para que el compliance deje de ser una casilla en un checklist y pase a ser un proceso vivo.

Radiografía de las sanciones: lo que de verdad preocupa al regulador

Si algo ha dejado claro la estadística de 2025 es que la AEPD tiene sus obsesiones. El artículo 32 del GDPR, que exige medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, ha sido el más citado en las resoluciones. No se trata solo de tener un antivirus actualizado o un firewall decente: el regulador exige análisis de riesgos periódicos, cifrado real (no solo en backups), y una respuesta ágil ante incidentes. El “ya lo miraremos” ha pasado a ser sinónimo de sanción.

Otro clásico reincidente: el consentimiento. El artículo 7 del GDPR establece que debe ser libre, informado, específico e inequívoco. Pero seguimos viendo banners de cookies que rozan el sarcasmo (“Si sigues navegando, aceptas todo”) y formularios donde el consentimiento se esconde entre cláusulas legales interminables. ¿Resultado? Sanción. Y, por si fuera poco, la AEPD ha afinado el tiro con la gestión de derechos ARCO (acceso, rectificación, cancelación y oposición): plazos incumplidos, respuestas vagas, o directamente silencio administrativo. El regulador no perdona.

¿Por qué siguen fallando las empresas? El eterno retorno del compliance de fachada

No nos engañemos: muchas organizaciones siguen viendo el GDPR como un trámite molesto, no como una obligación estratégica. El compliance de fachada —ese arte de aparentar que todo está bajo control mientras los datos personales circulan sin protección real— sigue vivo y coleando. ¿La prueba? Los mismos errores de hace cinco años siguen apareciendo en las resoluciones de 2025.

¿Dónde está el fallo? Primero, en la falta de recursos: muchos delegados de protección de datos (DPO) siguen siendo figuras decorativas, sin poder real ni presupuesto. Segundo, en la ausencia de una cultura de privacidad. Y tercero, en la externalización sin control: subcontratar el tratamiento de datos no exime de responsabilidad (artículo 28 del GDPR), pero a juzgar por las sanciones, esto aún no ha calado en la práctica.

Ejemplos reales: cuando la sanción deja de ser abstracta

Tomemos el caso de una cadena de clínicas privadas sancionada por no cifrar historiales médicos almacenados en la nube. La excusa de “el proveedor nos dijo que era seguro” no convenció a la AEPD, que recordó —con cierta sorna, todo hay que decirlo— que el responsable del tratamiento no puede delegar la seguridad en terceros (art. 32 y 28). Resultado: sanción económica y obligación de revisar todos los contratos con proveedores cloud.

Otro ejemplo: una empresa de marketing digital que seguía utilizando bases de datos antiguas sin renovar el consentimiento. El argumento de “eran leads heredados de antes del GDPR” no solo no sirvió, sino que agravó la sanción. La AEPD fue tajante: el consentimiento debe poder probarse en todo momento y debe ser renovado cuando cambian las finalidades del tratamiento.

Y aún más sangrante, el caso de una administración pública que tardó semanas en notificar una brecha de seguridad. La AEPD recordó que el plazo es de 72 horas (art. 33), salvo que la brecha no suponga riesgo para los derechos y libertades. La falta de un protocolo interno claro fue el argumento definitivo para la sanción.

Implicaciones operativas: del papel al control real

La teoría está clara, pero ¿qué implica esto en el día a día de un CISO o un responsable de compliance? Aquí no hay atajos. El análisis de riesgos debe ser periódico, no un documento olvidado en una carpeta. El cifrado debe aplicarse tanto en tránsito como en reposo, y los accesos deben estar controlados y auditados (GDPR art. 32, ISO 27001 Anexo A control 8.2 y 8.3). La gestión de brechas exige protocolos claros, simulacros y una cadena de mando definida.

En la práctica, esto significa:

• Revisión anual (como mínimo) de los análisis de riesgos y actualización de medidas técnicas.
• Auditorías internas y externas que no sean puro teatro: deben incluir pruebas de penetración y revisión de logs de acceso.
• Formación periódica y obligatoria para todo el personal, incluyendo directivos (no, el e-learning de 30 minutos no basta).
• Contratos con encargados del tratamiento que incluyan cláusulas específicas de seguridad, subcontratación y derecho de auditoría (art. 28.3 GDPR).
• Procedimientos documentados para la gestión de derechos de los interesados, con trazabilidad y métricas de cumplimiento.

¿Todo esto es costoso? Sí. ¿Más caro que una sanción y el daño reputacional? No lo dudes.

Riesgos de cumplimiento: cuando el regulador no es el único problema

El riesgo de sanción es solo la punta del iceberg. Cada expediente de la AEPD genera un efecto dominó: reclamaciones colectivas, demandas civiles y, en algunos casos, investigaciones penales si hay indicios de negligencia grave. El seguro de ciber no siempre cubre la totalidad de daños, y la reputación de la empresa puede quedar tocada durante años.

Además, la cooperación entre autoridades nacionales y europeas es cada vez más estrecha. Un incumplimiento en España puede derivar en investigaciones paralelas en otros países, especialmente en sectores como el financiero, el sanitario o el tecnológico. El principio de “ventanilla única” (art. 56 GDPR) agiliza los procedimientos, pero también amplifica el alcance de las sanciones.

Por si fuera poco, los clientes y socios comerciales empiezan a exigir pruebas de cumplimiento real, no solo declaraciones de intenciones. Las auditorías de terceros y las certificaciones (ISO 27701, Esquema Nacional de Seguridad) han pasado de ser un “nice to have” a un requisito contractual en muchos sectores.

Acciones concretas: el roadmap que todo CISO y compliance officer debería tener ya

Si tu entidad todavía está en modo reactivo, es hora de cambiar el chip. Aquí va un roadmap operativo (y sí, el orden importa):

1. Diagnóstico realista: Revisión exhaustiva del estado de cumplimiento, con inventario de tratamientos, flujos de datos y análisis de riesgos actualizado.
2. Gobernanza clara: Definir roles y responsabilidades, empoderar al DPO y asegurar su independencia real (art. 38 GDPR).
3. Controles técnicos y organizativos: Implantar medidas de seguridad adaptadas al riesgo, incluyendo cifrado, autenticación fuerte y control de accesos.
4. Gestión de incidentes: Protocolos claros, simulacros periódicos y canales de comunicación internos y externos definidos.
5. Formación continua: Programas prácticos y adaptados a cada perfil, con métricas de seguimiento.
6. Relación con terceros: Revisar contratos, exigir garantías y auditar a proveedores críticos.
7. Monitorización y mejora continua: Revisar KPIs de cumplimiento, aprender de incidentes propios y ajenos, y ajustar el plan cada año.

¿Demasiado ambicioso? No si quieres dormir tranquilo cuando llegue la notificación de la AEPD.

La auditoría que viene: criterios, sorpresas y lo que nunca se cuenta en los foros

Las auditorías de la AEPD en 2025 han dejado claro que el regulador ya no se conforma con papeles bien escritos. Los inspectores preguntan por la trazabilidad de las decisiones, piden evidencias de la ejecución de controles y, cuando hay dudas, exigen pruebas técnicas en tiempo real. No basta con tener un “registro de actividades” (art. 30 GDPR): hay que demostrar que los datos están protegidos, que los accesos se revisan y que los incidentes se gestionan sin dilación.

Un detalle que ha sorprendido a más de un auditor interno: la AEPD pregunta por la implicación de la alta dirección. Si el comité de dirección no está al tanto de los riesgos y no participa en las decisiones clave, la sanción puede agravarse. Y sí, hay empresas que han visto multiplicada la multa por falta de implicación ejecutiva.

Otra tendencia: la revisión de transferencias internacionales. Con el caos de los acuerdos de transferencia (Privacy Shield, SCCs, etc.), la AEPD exige justificaciones sólidas y revisiones periódicas. Si tu empresa sigue enviando datos a EEUU “porque siempre lo hemos hecho así”, vete preparando para una inspección a fondo.

Lecciones y cierre: el compliance ya no es negociable

La conclusión de 2025 es tan incómoda como necesaria: el cumplimiento del GDPR ya no es opcional, ni negociable, ni delegable. La AEPD ha dejado de ser un actor secundario y se ha convertido en protagonista. Las empresas que siguen viendo la privacidad como un coste acabarán pagando mucho más, en todos los sentidos.

¿La buena noticia? El compliance bien entendido es una ventaja competitiva. Las organizaciones que invierten en privacidad, que empoderan a sus DPO y que entienden el valor de los datos personales, no solo evitan sanciones: ganan confianza, clientes y resiliencia. Y, visto lo visto, eso vale mucho más que cualquier multa.

Así que la próxima vez que alguien en tu empresa diga “esto del GDPR es un lío, ya lo veremos”, enséñale la lista de sanciones de 2025. Y pregúntale si prefiere ser noticia por innovar o por aparecer en el BOE.