Aplicación del GDPR en 2025: Qué infracciones cuestan más y cómo evitarlas

La aplicación del RGPD continuó intensificándose a lo largo de 2025, con las autoridades supervisoras de todo el EEE emitiendo más de 2.100 decisiones de aplicación y multas totales superiores a 2.100 millones de euros para el año natural. La tendencia es inequívoca: los reguladores no aflojan el ritmo. Para las pymes, entender qué infracciones atraen las sanciones más severas es esencial para priorizar las inversiones en cumplimiento normativo.

2025 La aplicación de la ley de un vistazo

Varias estadísticas clave configuraron el panorama de la aplicación de la ley en 2025:

• Total de multas impuestas: Aproximadamente 2 100 millones de euros en todas las Autoridades de Protección de Datos del EEE
• Número de decisiones de ejecución: Más de 2.100, un aumento de aproximadamente el 18% a partir de 2024
• La mayor multa individual: 1 200 millones de euros impuestos por la Comisión Irlandesa de Protección de Datos (CPD).
• APD más activas por volumen de decisiones: AEPD española, Garante italiana, ANSPDCP rumana y NAIH húngara.
• APD más activas por importe de la multa: CPD irlandés, CNIL francés, Garante italiano y CNPD luxemburgués.

Una novedad notable en 2025 fue el aumento de la actividad de las APD más pequeñas. Las autoridades de Austria (DSB), Finlandia (Tietosuojavaltuutettu) y Croacia (AZOP) impusieron las mayores multas de su historia, lo que indica una maduración de la capacidad coercitiva en toda la UE.

Las 3 principales categorías de infracciones

1. Base jurídica insuficiente para el tratamiento (artículo 6)

El tratamiento de datos personales sin una base jurídica válida siguió siendo la infracción más citada y sancionada en 2025. En esta categoría se incluyen las organizaciones que se basaron en un consentimiento que no cumplía la norma del artículo 7, alegaron intereses legítimos sin llevar a cabo una prueba de sopesamiento adecuada o trataron datos para fines incompatibles con la finalidad original de la recogida (violación del principio de limitación de la finalidad en virtud del artículo 5, apartado 1, letra b)).

La CNIL impuso varias multas significativas en esta categoría, incluidas sanciones contra organizaciones que rastreaban a los usuarios a través de sitios web sin un consentimiento válido. La CNIL ha sostenido sistemáticamente que los mecanismos de consentimiento de cookies que utilizan patrones oscuros, opciones preseleccionadas o dificultan innecesariamente el rechazo no constituyen un consentimiento válido con arreglo a los artículos 6 y 7.

Lección para las PYMES: audite cada actividad de tratamiento en busca de una base jurídica documentada y defendible. Si se basa en el consentimiento, asegúrese de que sus mecanismos de consentimiento cumplen la norma de consentimiento libre, específico, informado e inequívoco. Si se basa en intereses legítimos, documente la prueba de sopesamiento.

2. Medidas de seguridad técnicas y organizativas inadecuadas (artículo 32)

Las infracciones del artículo 32 representaron una proporción sustancial de las medidas coercitivas en 2025. Las autoridades de supervisión sancionaron a las organizaciones por fallos como: datos personales sin cifrar, contraseñas débiles o predeterminadas, controles de acceso inadecuados, no aplicación oportuna de parches de seguridad y supervisión y registro insuficientes.

El Garante italiano se mostró especialmente activo en este ámbito, imponiendo múltiples multas a proveedores de asistencia sanitaria por medidas de seguridad inadecuadas que dieron lugar a un acceso no autorizado a los historiales de los pacientes. La AEPD española continuó con su patrón establecido de sancionar a pequeñas y medianas organizaciones por fallos básicos de seguridad, incluidos casos en los que las bases de datos de clientes quedaron expuestas debido a una mala configuración del almacenamiento en la nube.

El Comisario Federal alemán de Protección de Datos (BfDI) se centró en las deficiencias sistémicas de seguridad, haciendo hincapié en que el artículo 32 exige no sólo medidas técnicas adecuadas, sino también controles organizativos que incluyan políticas de seguridad, procedimientos de gestión del acceso y pruebas periódicas de la eficacia de la seguridad.

Lección para las PYME: la higiene básica de la seguridad no es negociable. Implemente el cifrado, aplique una autenticación fuerte, aplique parches con prontitud y restrinja el acceso basándose en el principio del menor privilegio. Documente sus medidas de seguridad y la justificación de su elección.

3. Incumplimiento de los derechos del interesado (artículos 15 a 22)

El hecho de no responder a las solicitudes de los interesados en el plazo legal de un mes, o de proporcionar respuestas incompletas, generó un volumen significativo de medidas coercitivas en 2025. Las infracciones más comunes fueron:

• Falta de respuesta a las solicitudes de acceso (artículo 15) en el plazo de un mes
• Negativa a suprimir los datos cuando se solicite con arreglo al artículo 17 sin motivos válidos para seguir tratándolos
• Excesivos requisitos de verificación de identidad que obstaculizaban de hecho el ejercicio de los derechos
• No facilitar datos en formato portátil cuando se soliciten con arreglo al artículo 20

El Garante italiano impuso múltiples multas por respuestas tardías o inadecuadas a las solicitudes de acceso de los interesados, incluidos casos en los que las organizaciones tardaron varios meses en responder sin justificación. La autoridad polaca de protección de datos (UODO) también dictó decisiones notables en este ámbito, especialmente en relación con el derecho de supresión.

Lección para las PYME: implantar un sistema de seguimiento de las solicitudes de los interesados con alertas automáticas de plazos. Formar al personal de atención al cliente para que reconozca las solicitudes de los interesados aunque no estén formuladas explícitamente en el lenguaje del RGPD. Un cliente que dice "eliminar mi cuenta" está ejerciendo su derecho en virtud del artículo 17.

Medidas de ejecución destacadas

CPD irlandés: Ejecución de transferencias transfronterizas

El CPD irlandés siguió aprovechando su papel de autoridad de control principal para muchas grandes empresas tecnológicas. Sus decisiones de aplicación en 2025 se centraron en las transferencias transfronterizas de datos (capítulo V) y en la adecuación de las salvaguardias para las transferencias a terceros países. La multa récord de 1 200 millones de euros subrayó que los mecanismos de transferencia requieren salvaguardias auténticas y evaluadas, no meras formalidades contractuales.

CNIL: Aplicación de la normativa sobre cookies y rastreo

La CNIL siguió centrándose en el seguimiento y el consentimiento en línea. En 2025, amplió la aplicación más allá de las grandes plataformas para abarcar el comercio electrónico y las organizaciones de medios de comunicación del mercado medio. La CNIL hizo especial hincapié en los mecanismos de retirada del consentimiento: hacer que sea más difícil retirar el consentimiento que darlo vulnera el requisito del artículo 7, apartado 3, de que la retirada sea igualmente fácil.

BfDI: Tratamiento de datos de los empleados

La BfDI alemana intensificó el escrutinio del tratamiento de datos de los empleados, especialmente en lo relativo a la vigilancia del lugar de trabajo, los programas informáticos de control de empleados y el uso de datos biométricos para el control de acceso. Se impusieron varias multas por tratar los datos de los empleados sin una base jurídica adecuada o sin la debida transparencia (artículos 13 y 14).

Garante: Sanidad y sector público

La Garante italiana continuó aplicando activamente la normativa en el sector sanitario, sancionando a hospitales y autoridades sanitarias por violaciones de la seguridad, acceso no autorizado a historiales de pacientes y no realización de EIPD para tratamientos de alto riesgo. También adoptó decisiones sobre el uso en el sector público del reconocimiento facial y la toma de decisiones basada en la IA.

Qué significa esto para las PYME

Los datos sobre el cumplimiento de la ley en 2025 confirman varias tendencias sobre las que las PYME deben actuar:

1. El cumplimiento básico no es negociable. Las multas más frecuentes son por incumplimientos fundamentales: ausencia de base jurídica, ausencia de medidas de seguridad, ausencia de respuesta a las solicitudes de los interesados. No se trata de retos normativos complejos, sino de obligaciones fundamentales.
2. El tamaño no proporciona inmunidad. La AEPD española y otras APD multan regularmente a organizaciones pequeñas. Una multa de 50.000 euros puede ser pequeña en el contexto de la aplicación total del RGPD, pero es importante para una PYME.
3. La documentación es su defensa. Las autoridades supervisoras evalúan el cumplimiento basándose en lo que usted puede demostrar. El cumplimiento no documentado es, desde el punto de vista normativo, incumplimiento.
4. El cumplimiento proactivo es más barato que la aplicación reactiva. El coste de implantar una documentación adecuada sobre la base jurídica, medidas de seguridad y procedimientos sobre los derechos de los interesados es una fracción del coste de una multa, los honorarios legales asociados y el daño a la reputación.

La trayectoria de aplicación del RGPD no muestra signos de invertirse. Las organizaciones que inviertan ahora en el cumplimiento de la normativa serán las que eviten los titulares de 2026.