La multa de 310 millones de euros a LinkedIn: cómo una investigación de seis años del RGPD acabó en una de las mayores decisiones publicitarias de la DPC irlandesa

Lo esencial

El 22 de octubre de 2024, la Comisión Irlandesa de Protección de Datos (Data Protection Commission, DPC) notificó a LinkedIn Ireland Unlimited Company una decisión definitiva por la que impuso tres multas administrativas por un total de 310 millones de euros, un apercibimiento y una orden para que LinkedIn adecuara su tratamiento al RGPD. La decisión se refiere al tratamiento por parte de LinkedIn de los datos personales de sus miembros con fines de análisis conductual y publicidad dirigida. La DPC apreció infracciones de los artículos 5, apartado 1, letra a), 6, apartado 1, 13, apartado 1, letra c), y 14, apartado 1, letra c) del Reglamento General de Protección de Datos. LinkedIn invocó tres bases jurídicas del artículo 6: consentimiento, necesidad contractual e interés legítimo. La DPC rechazó cada una de ellas. El caso se inició en 28 de mayo de 2018 con una reclamación de la organización francesa sin ánimo de lucro La Quadrature du Net presentada ante la CNIL; en la investigación de la DPC quedaron finalmente representados 8.540 usuarios de LinkedIn. Seis años después, produjo una de las mayores sanciones publicitarias del RGPD impuestas por el regulador irlandés. LinkedIn ha presentado tanto un recurso estatutario como una revisión judicial; las apreciaciones materiales siguen vigentes mientras el litigio continúa. La lección de cumplimiento alcanza a toda organización que opere publicidad conductual o sistemas de contenido dirigido, no solo a las grandes plataformas.

Las cifras clave

310 M€ | Red social B2B | Big Tech (filial de Microsoft) | Comisión Irlandesa de Protección de Datos | Decisión notificada el 22 de octubre de 2024.

Lo que ocurrió: una investigación de seis años desemboca en una sanción mayor

El 28 de mayo de 2018, la organización francesa de derechos digitales La Quadrature du Net presentó una reclamación colectiva ante la autoridad francesa de protección de datos, la Commission Nationale de l'Informatique et des Libertés (CNIL). En el procedimiento posterior ante la DPC irlandesa quedaron representados 8.540 usuarios de LinkedIn. La reclamación atacaba lo que la organización llamó el "modelo de negocio GAFAM" — la vinculación del acceso a la plataforma con la aceptación obligatoria del análisis conductual y la publicidad dirigida. La reclamación de La Quadrature du Net atacaba en particular las casillas de consentimiento marcadas por defecto, las cláusulas de las condiciones de uso por las que el uso continuado del servicio constituía aceptación, y la ausencia de una verdadera opción para los usuarios que querían utilizar el servicio sin ser perfilados con fines publicitarios.

Como la sede europea de LinkedIn se encuentra en Dublín, la CNIL trasladó la reclamación a la DPC irlandesa al amparo del mecanismo de ventanilla única del artículo 56 del RGPD. La DPC pasó a actuar como autoridad de control principal del expediente. La investigación duró más de seis años. El 22 de octubre de 2024, los comisionados de protección de datos — el Dr. Des Hogan y Dale Sunderland — notificaron a LinkedIn Ireland una decisión definitiva. La DPC la anunció públicamente el 24 de octubre de 2024. La decisión incluye un apercibimiento al amparo del artículo 58, apartado 2, letra b), del RGPD, tres multas administrativas por un total de 310 millones de euros al amparo de los artículos 58, apartado 2, letra i), y 83 del RGPD, y una orden en virtud del artículo 58, apartado 2, letra d), que obliga a LinkedIn a adecuar su tratamiento al RGPD.

Antes de la decisión definitiva, el proyecto se sometió en julio de 2024 al mecanismo de cooperación del artículo 60 del RGPD. Este procedimiento permite a las demás autoridades interesadas — aquellas cuyos interesados también se ven afectados — plantear objeciones motivadas al proyecto de la autoridad principal. No se plantearon objeciones. La ausencia de objeciones significa que ninguna autoridad interesada activó el mecanismo de resolución de litigios del artículo 65; no debe interpretarse como una aprobación formal del importe por el CEPD.

Cómo una reclamación de 2018 reconfiguró el derecho europeo de la publicidad en línea

La reclamación de La Quadrature du Net no se presentó aisladamente. El 28 de mayo de 2018, tres días después de la entrada en aplicación del RGPD el 25 de mayo de 2018, La Quadrature du Net presentó cinco reclamaciones colectivas coordinadas ante la CNIL — contra Facebook (hoy Meta), Google, Apple, Amazon y LinkedIn — respaldadas por aproximadamente 12.000 firmantes. Cada reclamación apuntaba al mismo problema arquitectónico: la vinculación del acceso a la plataforma con la aceptación obligatoria de tratamiento conductual, el uso de mecanismos de consentimiento marcados por defecto o presuntos, y la ausencia de cualquier vía real de rechazo. La estrategia fue deliberada. Al lanzar las cinco reclamaciones al inicio mismo de la era RGPD, La Quadrature du Net creó un caso de prueba coordinado para la arquitectura del consentimiento y las bases jurídicas del Reglamento, aplicada al modelo de negocio dominante de la internet comercial.

Los primeros resultados de esas reclamaciones paralelas trazaron el panorama jurídico que finalmente alcanzaría a LinkedIn. En enero de 2019, la CNIL multó a Google con 50 millones de euros — la primera gran sanción del RGPD contra una plataforma de las Big Tech — por incumplimientos de licitud y transparencia en la publicidad personalizada. En enero de 2023, la DPC irlandesa sancionó a Meta con 390 millones de euros (210 M€ a Facebook y 180 M€ a Instagram) sobre la misma base de necesidad contractual del artículo 6 que LinkedIn intentaría más tarde, sin éxito, defender. En mayo de 2023, Meta recibió una sanción adicional de 1.200 millones de euros por transferencias transfronterizas de datos. Cada decisión estrechó la interpretación. Cuando la DPC irlandesa emitió su decisión sobre LinkedIn en octubre de 2024, la jurisprudencia del TJUE y la práctica de las autoridades de control ya habían estrechado el margen del artículo 6: la necesidad contractual no cubre la publicidad conductual en una red social, y el consentimiento debe ser auténticamente granular y libre. El caso LinkedIn es una aplicación adicional de esa línea, no una decisión aislada de novedad.

Para las organizaciones fuera del sector de las plataformas, la conclusión práctica es que las cuestiones jurídicas ya no están abiertas. El Tribunal de Justicia de la Unión Europea, en su sentencia de 4 de julio de 2023 en el asunto Meta Platforms contra Bundeskartellamt (C-252/21), ya confirmó que la condición "necesario para la ejecución de un contrato" del artículo 6, apartado 1, letra b), debe interpretarse estrictamente, que el responsable soporta la carga de demostrar la necesidad y que la personalización con fines de ingresos publicitarios no constituye necesidad contractual. El TJUE cerró así la puerta que LinkedIn y otros intentaban mantener abierta. La decisión LinkedIn aplica ese cierre.

La decisión: cuatro artículos, tres bases jurídicas rechazadas

La investigación de la DPC examinó un único flujo de trabajo — el tratamiento de los datos personales de los miembros con fines de análisis conductual y publicidad dirigida — frente a todo el aparato del RGPD de principios, base jurídica y transparencia. La investigación apreció infracciones de cuatro artículos: artículo 5, apartado 1, letra a), artículo 6, apartado 1, artículo 13, apartado 1, letra c), y artículo 14, apartado 1, letra c), del RGPD. En una sentencia preliminar dictada el 20 de abril de 2026 dentro de la impugnación de LinkedIn, la High Court irlandesa determinó que la sección 142 de la Ley de Protección de Datos de 2018 limita esa vía de recurso estatutario a la decisión de imponer la propia multa; las apreciaciones subyacentes de infracción no son recurribles por la sección 142 y permanecen vigentes mientras se desarrolla el litigio más amplio.

Artículo 5, apartado 1, letra a) — el principio de licitud, lealtad y transparencia

El artículo 5 establece los principios fundamentales del RGPD. El artículo 5, apartado 1, letra a), exige que los datos personales sean "tratados de manera lícita, leal y transparente en relación con el interesado". La DPC apreció que la cadena de publicidad conductual de LinkedIn infringía cada uno de estos tres subprincipios. La licitud fracasaba porque ninguna de las bases del artículo 6 sostenía el tratamiento. La transparencia fracasaba porque la política de privacidad no divulgaba adecuadamente las bases jurídicas invocadas. La lealtad fracasaba porque los usuarios no contaban con una verdadera posibilidad de comprender o rechazar el tratamiento. La cita de la DPC resume el principio: "La licitud del tratamiento es un aspecto fundamental del derecho de protección de datos, y el tratamiento de datos personales sin una base jurídica adecuada es una infracción clara y grave del derecho fundamental del interesado a la protección de datos."

Artículo 6, apartado 1 — ninguna de las tres bases jurídicas se sostuvo

El artículo 6, apartado 1, obliga al responsable a identificar una base jurídica antes del tratamiento. LinkedIn invocó tres: consentimiento (artículo 6, apartado 1, letra a)), necesidad contractual (artículo 6, apartado 1, letra b)) e interés legítimo (artículo 6, apartado 1, letra f)). La DPC examinó cada una y rechazó cada una.

Sobre el consentimiento (artículo 6, apartado 1, letra a)): la DPC aplicó el estándar del artículo 4, punto 11, del RGPD — el consentimiento debe ser "libre, específico, informado e inequívoco" — y apreció que el mecanismo de LinkedIn fallaba en los cuatro criterios. Los usuarios no disponían de una elección clara y granular entre utilizar la plataforma con publicidad conductual y utilizarla sin ella. El flujo de consentimiento agrupaba múltiples finalidades de tratamiento. La información no decía a los usuarios qué base jurídica se invocaba para qué tratamiento. Faltaba un opt-in activo para el análisis conductual. Conclusión: el consentimiento no podía, jurídicamente, validar el tratamiento.

Sobre la necesidad contractual (artículo 6, apartado 1, letra b)): la DPC siguió las directrices del CEPD de 2019 sobre el artículo 6, apartado 1, letra b), en el contexto de los servicios en línea. La publicidad conductual no es "necesaria" para la ejecución de un contrato de red social; es, como mucho, una elección comercial del prestador para financiar el servicio. Un usuario puede utilizar LinkedIn para su finalidad principal — networking, búsqueda de empleo, contenidos — sin ser perfilado con fines publicitarios. La necesidad falla.

Sobre el interés legítimo (artículo 6, apartado 1, letra f)): la DPC aplicó la prueba de ponderación en tres pasos — identificación del interés, evaluación de la necesidad, ponderación frente a los derechos y libertades del interesado. El interés comercial de LinkedIn en los ingresos por publicidad conductual es legítimo en el primer paso. La DPC concluyó, sin embargo, que el tratamiento no era estrictamente necesario para ese interés (existen medios menos intrusivos, como la publicidad contextual) y que el impacto sobre los derechos del interesado — incluido el derecho a la protección de datos del artículo 8 de la Carta de los Derechos Fundamentales de la UE — superaba el interés del responsable. El interés legítimo falla la ponderación.

Artículos 13, apartado 1, letra c), y 14, apartado 1, letra c) — la obligación de transparencia no se cumplió

Los artículos 13 y 14 obligan al responsable a facilitar al interesado información específica en el momento de la recogida. La letra c) del apartado 1 de cada artículo exige la comunicación de "los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento". La DPC apreció que la política de privacidad de LinkedIn no divulgaba adecuadamente, respecto del análisis conductual y la publicidad dirigida, qué base jurídica del artículo 6 se invocaba para qué finalidad concreta. Una política de privacidad que se limita a indicar "podemos tratar sus datos sobre la base del consentimiento, el contrato o el interés legítimo" sin decir al usuario qué base corresponde a qué finalidad infringe el artículo 13/14, apartado 1, letra c). La obligación de transparencia es granular: por finalidad, por base jurídica, en lenguaje claro.

La respuesta de LinkedIn, el recurso y la situación actual

LinkedIn emitió una breve declaración oficial el 24 de octubre de 2024: "Hoy la Comisión Irlandesa de Protección de Datos (IDPC) ha alcanzado una decisión definitiva sobre reclamaciones de 2018 relativas a algunas de nuestras actividades publicitarias digitales en la UE. Aunque consideramos que hemos estado cumpliendo el Reglamento General de Protección de Datos (RGPD), estamos trabajando para que nuestras prácticas publicitarias se ajusten a esta decisión dentro del plazo fijado por la IDPC." La declaración no reconocía infracción alguna ni anunciaba cambios concretos.

LinkedIn abrió entonces dos vías jurídicas paralelas. El 18 de noviembre de 2024 presentó un recurso estatutario al amparo de las secciones 142 y 150 de la Ley irlandesa de Protección de Datos de 2018. El 16 de diciembre de 2024, la magistrada Mary Rose Gearty, de la High Court irlandesa, concedió a LinkedIn autorización para instar una revisión judicial. Los motivos planteados por LinkedIn incluyen impugnaciones constitucionales de la Ley de 2018, el argumento de que la multa de 310 millones de euros es "de naturaleza penal o punitiva" por su cuantía y desencadena por tanto las garantías de un proceso justo de la Carta de los Derechos Fundamentales y del Convenio Europeo de Derechos Humanos, y impugnaciones procesales del proceso decisorio de la DPC. LinkedIn sostiene además que "la DPC no es un tribunal independiente e imparcial en el sentido de la Carta".

La DPC presentó su escrito de oposición el 25 de febrero de 2025. El Estado irlandés hizo lo propio el 18 de marzo de 2025. El 20 de abril de 2026, la High Court resolvió cuestiones preliminares — en particular, declaró que la sección 142 de la Ley de 2018 solo permite recurrir la decisión de imponer una multa, no las apreciaciones subyacentes de infracción ni el ejercicio de otras medidas correctoras como la orden de adecuación. Las apreciaciones materiales del RGPD siguen, por tanto, vigentes durante el procedimiento de recurso. Para las organizaciones que sigan este caso a efectos de cumplimiento, el recurso es un litigio sobre cuantía y procedimiento — no sobre el análisis material del consentimiento, la base jurídica y la transparencia.

Qué podría haber hecho LinkedIn de otra forma — el corazón del caso

La decisión de la DPC no es una curiosidad técnica entre un regulador y un demandado Big Tech. Es una demostración metódica de cómo una cadena de publicidad conductual puede fallar simultáneamente en cada una de las bases jurídicas del artículo 6, y de cómo sería una alternativa conforme. Toda organización que opere publicidad conductual — incluidas las empresas SaaS B2B con scoring de account-based marketing, los comercios electrónicos que personalizan recomendaciones de producto y los editores que monetizan mediante display dirigido — está expuesta al mismo análisis. Cuatro capas de prevención habrían cambiado el resultado.

Capa 1 — el defecto específico de arquitectura del consentimiento

El flujo de consentimiento de LinkedIn presentaba al usuario, según el análisis de la DPC, una lógica de "lo tomas o lo dejas". La divulgación de las bases jurídicas era genérica — "consentimiento, contrato o interés legítimo" — en lugar de granular por finalidad de tratamiento. Faltaba el opt-in activo para el análisis conductual; la plataforma se apoyaba en una lógica de uso continuado como consentimiento implícito. No existía una vía "Rechazar todo" con la misma prominencia visual que "Aceptar todo" en la interfaz de recogida del consentimiento. Ninguna de estas decisiones de diseño es exclusiva de LinkedIn. Eran el estándar del sector en 2018 y seguían siendo habituales en el momento de la investigación. El punto de la DPC es que el RGPD, desde el 25 de mayo de 2018, exige algo distinto, y un estándar de la industria no se convierte en lícito por estar extendido.

Capa 2 — el control técnico que lo habría evitado

La alternativa conforme está bien definida. Una Consent Management Platform (CMP) granular con interruptores de opt-in separados y de igual prominencia para cada finalidad de tratamiento — visualización de datos de perfil, inferencia conductual, publicidad dirigida, combinación con datos de terceros — satisface el criterio de especificidad del artículo 4, punto 11. Una vía "Rechazar todo" operativa y con la misma prominencia visual que "Aceptar todo" responde al criterio "libre". El posicionamiento por defecto en OFF de cada interruptor de análisis conductual, con opt-in activo obligatorio, responde al criterio "inequívoco". Un registro de consentimiento por finalidad, recuperable a solicitud del interesado, marcado en el tiempo y versionado con la información mostrada en el momento del consentimiento, responde al criterio "informado". Nada de esto es ingeniería exótica. Los frameworks de CMP de código abierto lo permiten; los principales proveedores comerciales de CMP lo anuncian. El coste de implantación de una CMP conforme para una organización del tamaño de LinkedIn se sitúa entre 500.000 € y 2 M€, más el coste operativo anual. Para una pyme, la misma arquitectura cuesta entre 5.000 € y 50.000 €.

Capa 3 — el control organizativo que la habría detectado

Una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en virtud del artículo 35 del RGPD es obligatoria antes de implantar un tratamiento de alto riesgo — y la publicidad conductual a gran escala constituye, por cualquier interpretación razonable, un tratamiento de alto riesgo con seguimiento sistemático en el sentido del artículo 35, apartado 3, letra b). Una EIPD realizada antes del despliegue, firmada por el Delegado de Protección de Datos y contrastada con el análisis de base jurídica por finalidad, habría hecho aflorar el defecto de arquitectura del consentimiento. Una revisión trimestral documentada de la calidad del consentimiento — porcentaje de opt-in por finalidad, porcentaje de rechazo, porcentaje de retirada, volumen de reclamaciones — habría elevado el asunto al nivel directivo mucho antes de que se iniciara un expediente. Un visto bueno claro del DPD a la política de privacidad, con una lista de verificación de los requisitos del artículo 13/14, apartado 1, letra c), habría detectado la fórmula genérica "consentimiento, contrato o interés legítimo". Cada uno de estos controles es higiene básica de gobierno en un programa de RGPD maduro.

Capa 4 — coste frente a multa: la aritmética cierra el debate

La DPC impuso 310 millones de euros en multas administrativas, que siguen siendo objeto del recurso de LinkedIn, y LinkedIn afronta además el coste de adecuar el tratamiento conforme a la orden de la DPC. El coste de prevención — una CMP conforme, un proceso de EIPD, auditorías periódicas de calidad del consentimiento, tiempo del DPD dedicado a la política de privacidad — habría supuesto entre 500.000 € y 2 M€ para una organización del tamaño de LinkedIn. La proporción es de aproximadamente 150 a 600 veces el coste de prevención. Para una pyme las magnitudes son distintas, pero la lógica es idéntica: la prevención se mueve normalmente entre 5.000 € y 50.000 €; las multas comparables en el tramo de pyme (donde las autoridades modulan la sanción según el tamaño) suelen estar entre 100.000 € y 2 M€. La aritmética es aplastante en cualquier escala. La pregunta para cualquier responsable de cumplimiento no es si la prevención merece la inversión, sino si la organización actuará antes o después de que lo haga el regulador.

¿Quiere saber si su organización tiene la misma exposición que LinkedIn? Realice el diagnóstico gratuito de 10 minutos de Viktoria Compliance → Compara su posición actual en publicidad conductual y bases jurídicas con los artículos del RGPD que la DPC irlandesa aplicó efectivamente en esta decisión, e identifica las brechas específicas que un regulador encontraría primero.

Lección sectorial: quién está expuesto hoy

La decisión LinkedIn es una de las mayores sanciones del RGPD relacionadas con publicidad que la DPC irlandesa ha impuesto, pero no es un hecho aislado. Pertenece a un patrón de aplicación claro que se ha acelerado desde 2022, en el que la DPC irlandesa y otras autoridades principales han desmontado sistemáticamente las pretensiones de base jurídica de las plataformas con publicidad conductual. Las multas a Meta de enero de 2023 (210 M€ a Facebook y 180 M€ a Instagram por fallos similares de base jurídica en publicidad personalizada), la multa de 345 M€ a TikTok en septiembre de 2023 (datos de menores y transparencia) y la multa de 290 M€ a Uber en agosto de 2024 de la autoridad neerlandesa de protección de datos (transferencias ilícitas de datos de conductores a los Estados Unidos al amparo del capítulo V del RGPD) se inscriben en la misma línea. La decisión LinkedIn es el punto más reciente, no el primero.

La exposición no se limita a las redes sociales ni a las Big Tech. Tres categorías de organizaciones están especialmente expuestas a reproducir la posición jurídica de LinkedIn. Primero, las empresas SaaS B2B que despliegan plataformas de account-based marketing, sistemas de scoring conductual o modelos de priorización de leads. El análisis de base jurídica es idéntico: quien perfila a personas físicas de la UE (decisores dentro de cuentas objetivo) necesita una base limpia del artículo 6 para el perfilado, no solo para el registro CRM subyacente. Segundo, los comercios electrónicos que personalizan recomendaciones, precios dinámicos o retargeting a partir del comportamiento en el sitio combinado con datos de terceros. Tercero, los editores y organizaciones de medios que monetizan mediante publicidad programática — la decisión de la autoridad belga contra IAB Europe (2 de febrero de 2022) y la posterior sentencia del TJUE en IAB Europe contra Gegevensbeschermingsautoriteit (C-604/22, 7 de marzo de 2024) ya establecieron que la señal TCF constituye dato personal, que IAB Europe es corresponsable y que el consentimiento recogido solo a través de un banner TCF puede no cumplir el RGPD. Todo editor que opere TCF debe leer la decisión LinkedIn como una advertencia: la paciencia del regulador se ha agotado.

La conexión con los banners de cookies: TCF, IAB Europe y la aplicación contra los dark patterns

La arquitectura de consentimiento de LinkedIn forma parte de un problema mayor que la UE está desmontando sistemáticamente. La resolución de la autoridad belga de protección de datos de febrero de 2022 contra IAB Europe — la asociación sectorial detrás del Transparency and Consent Framework (TCF), infraestructura técnica utilizada por la mayoría de editores y proveedores de adtech europeos — declaró que la señal TCF constituye en sí dato personal, que IAB Europe es corresponsable de la cadena de consentimiento generada por los banners TCF y que el consentimiento recogido mediante los mecanismos TCF en su forma vigente entonces no cumplía el RGPD. El TJUE confirmó y matizó esta posición en IAB Europe contra Gegevensbeschermingsautoriteit (C-604/22, 7 de marzo de 2024).

Las Directrices 3/2022 del CEPD sobre "patrones de diseño engañosos en las interfaces de las plataformas de redes sociales" (adoptadas en marzo de 2022, versión definitiva publicada en febrero de 2023) exponen, con ejemplos trabajados, las decisiones de diseño que constituyen dark patterns prohibidos por el RGPD. Los flujos de consentimiento que minimizan visualmente la opción de rechazo, que requieren clics adicionales para rechazar, que enmarcan el rechazo en términos negativos o que premarcan casillas, son todos señalados. La Opinión 08/2024 del CEPD sobre modelos "consentimiento o pago" añadió un nuevo dato y subrayó que se debe ofrecer al usuario una opción real, en lugar de empujarle de hecho al rastreo conductual. La tendencia es coherente: los reguladores ya no aceptan flujos de consentimiento cuya finalidad principal es extraer opt-ins. El estándar es: consentimiento auténtico, granular, libre — o ningún tratamiento.

Para las organizaciones que operan banners de cookies o flujos de consentimiento dentro del producto, la decisión LinkedIn debe leerse junto con el informe del grupo de trabajo del CEPD sobre banners de cookies (enero de 2023, sobre la práctica del consentimiento específico de cookies) y las Directrices 3/2022 del CEPD sobre patrones de diseño engañosos (adoptadas en marzo de 2022). El mensaje combinado es operativo: una organización que no haya rediseñado su arquitectura de consentimiento frente a este cuerpo de orientaciones está expuesta a la aplicación, y los reguladores han demostrado que las multas alcanzan los cientos de millones en los mayores infractores y los cientos de miles en organizaciones de tamaño intermedio.

Mirada al futuro: el segundo régimen de cumplimiento — el Reglamento de IA — se aplica desde el 2 de agosto de 2026

La publicidad conductual es, en lo técnico, perfilado automatizado. A partir del 2 de agosto de 2026, el Reglamento europeo de Inteligencia Artificial (Reglamento de IA) se aplica a una categoría definida de sistemas de IA y superpone obligaciones adicionales al RGPD. Cuando un sistema utilizado en publicidad cae en el anexo III del Reglamento de IA — en particular las categorías que cubren los sistemas empleados en decisiones de empleo o acceso a servicios esenciales — el artículo 14 del Reglamento de IA impone al proveedor una obligación de diseño orientada a la supervisión humana, el artículo 26, apartado 7, impone al responsable del despliegue una obligación de información hacia las personas físicas, y el artículo 86 crea un derecho a una explicación clara del papel jugado por el sistema de IA en la decisión. Las organizaciones que no hayan reparado la capa del consentimiento y la base jurídica del RGPD para el 2 de agosto de 2026 entrarán en un segundo régimen con otras obligaciones, otros actores y un techo paralelo de 15 M€ o el 3 % de la facturación mundial por no conformidad de alto riesgo. La implicación práctica: arreglar la capa del RGPD ahora es a la vez preparación para el Reglamento de IA. Los dos regímenes se solapan exactamente sobre los flujos que examinó la decisión LinkedIn.

Por qué este caso es un precedente para cualquier responsable del tratamiento

La tentación, al leer una decisión contra una filial mundial de Microsoft, es archivarla como "problema de Big Tech" y suponer que el análisis no alcanza a una organización de 200 empleados en Berlín o de 50 empleados en Liubliana. Esa suposición es errónea, y la estructura del razonamiento de la DPC la hace errónea por diseño. La DPC no fundó su decisión en el tamaño de LinkedIn, en su alcance global, en su matriz ni en el volumen de usuarios afectados. La fundó en la arquitectura jurídica del consentimiento y de la base jurídica del RGPD — una arquitectura que se aplica de modo uniforme a un responsable que trate datos de una única persona física de la UE o de cien millones. Cada paso del análisis de la DPC — la prueba de cuatro criterios del consentimiento del artículo 4, punto 11; la lectura estricta de la necesidad contractual; la ponderación en tres pasos del interés legítimo; la exigencia de información granular del artículo 13/14, apartado 1, letra c) — se aplica a un CRM en una SaaS B2B regional exactamente igual que al pipeline publicitario global de LinkedIn.

Lo que cambia con la diferencia de tamaño es la cuantía de la multa, no la existencia de la infracción. El artículo 83, apartado 2, del RGPD enumera los factores que la autoridad debe tener en cuenta al fijar la sanción — entre ellos, la naturaleza, gravedad y duración de la infracción, las categorías de datos afectados, el grado de cooperación del responsable y "cualquier otra circunstancia agravante o atenuante aplicable al caso". Para una pyme, la misma infracción que generó los 310 millones de euros para LinkedIn produciría normalmente una multa entre 50.000 € y 500.000 € — sigue siendo significativa, a menudo existencial, siempre evitable. Para una organización intermedia con una facturación anual entre 50 M€ y 500 M€, la multa equivalente suele estar entre 1 M€ y 10 M€. Las bandas de multas escalan; el análisis jurídico no. Leer la decisión LinkedIn como un manual de lo que no hay que hacer es la respuesta correcta, sea cual sea el tamaño de la organización.

Plan de adecuación en 90 días

Para una organización que ha leído hasta aquí y reconoce la exposición, este es un plan de 90 días calibrado para un responsable de tamaño intermedio con un programa de RGPD existente pero inversión limitada en arquitectura de consentimiento granular o en EIPD sobre tratamientos conductuales. Cada fase está acotada por un entregable claro y un responsable de aprobación.

Días 1 a 30 — mapeo y análisis de brechas. Extraer del registro de actividades (artículo 30) toda actividad que implique perfilado, inferencia conductual, marketing personalizado, lead scoring, contenidos dinámicos o analítica que cruce la frontera de agregado a individual. Documentar por cada actividad: la finalidad concreta, las categorías de datos tratados, la base jurídica invocada al amparo del artículo 6, la existencia de EIPD, si la política de privacidad divulga la base jurídica por finalidad y si el mecanismo de consentimiento (si se invoca) es realmente granular. El entregable es un registro con una fila por actividad y una columna específica por brecha. Aprueba: el DPD.

Días 31 a 60 — adecuación arquitectónica. Sustituir o reconfigurar la CMP para que cada finalidad tenga un opt-in separado, posicionado por defecto en OFF, y produzca un registro de consentimiento por finalidad, recuperable a solicitud del interesado. Añadir una vía "Rechazar todo" con la misma prominencia en cada interfaz de recogida. Reescribir la política de privacidad para divulgar, por finalidad, la base jurídica del artículo 6 invocada — en lenguaje claro, no en jerga jurídica. Realizar EIPD al amparo del artículo 35 para toda actividad marcada en la fase 1 como perfilado sistemático o análisis conductual a gran escala. Aprueban: el CTO (para la CMP) y el DPD (para EIPD y política).

Días 61 a 90 — operacionalización y auditoría. Formar a los equipos de cara al cliente en los nuevos flujos y en el tratamiento de las solicitudes de los interesados derivadas de la nueva información. Implantar una auditoría trimestral de calidad del consentimiento con porcentaje de opt-in por finalidad, porcentaje de rechazo, porcentaje de retirada, volumen de reclamaciones y tiempo de respuesta a derechos. Documentar la cadencia de auditoría y la ruta de escalado para desviaciones materiales. Informar al órgano de gobierno de la nueva posición, los riesgos residuales identificados en las EIPD y el calendario de auditoría. Aprueba: el órgano de gobierno, con el DPD como secretario. El entregable de esta fase es una base de gobierno sostenible que sobrevive a la rotación de personal y a los cambios de producto.

Autoevaluación: cinco preguntas antes de que las haga el regulador

Aplique este breve test a sus propios tratamientos. Si alguna respuesta es incierta, la brecha es real.

• ¿Puede señalar, por finalidad de tratamiento, la base jurídica concreta del artículo 6, apartado 1 (letras a a f), en la que se apoya — y aportar la evaluación documentada que la sustenta?
• Si se apoya en el consentimiento: ¿es su recogida realmente granular (un interruptor por finalidad), con opt-in activo (por defecto OFF, no uso continuado), una vía "Rechazar todo" con igual prominencia visual que "Aceptar todo" y un registro por finalidad recuperable a solicitud del interesado?
• Si se apoya en el interés legítimo: ¿ha realizado y documentado un test de ponderación en tres pasos (identificación del interés, valoración de la necesidad, ponderación frente a los derechos del interesado) — y resiste un cuestionamiento por "medios menos intrusivos"?
• ¿Indica su política de privacidad a cada interesado, por finalidad, la base jurídica precisa del artículo 6 que invoca para esa finalidad — y no fórmulas genéricas de cajón?
• ¿Ha realizado y documentado una EIPD al amparo del artículo 35 del RGPD para cualquier tratamiento que implique perfilado sistemático o análisis conductual a gran escala de personas físicas de la UE?

Si alguna de esas preguntas ha aflorado incertidumbre, el diagnóstico gratuito de 10 minutos de Viktoria Compliance → mapeará su exposición concreta en todos los módulos del RGPD — incluidos los de base jurídica, transparencia, EIPD y encargados y transferencias, más directamente afectados por la decisión LinkedIn — y producirá una lista priorizada de remediación antes de que lo haga un regulador.

Preguntas frecuentes

¿Cómo se calculó la cifra de 310 M€?

El total de 310 M€ se estructuró como tres multas administrativas, cada una al amparo de los artículos 58, apartado 2, letra i), y 83 del RGPD. La DPC, en su comunicado público, no publicó el desglose por artículo; el texto íntegro de la decisión contiene el detalle. Lo que está verificado públicamente es que el total de 310 M€ corresponde a las apreciaciones de infracción de los artículos 5, apartado 1, letra a), 6, apartado 1, 13, apartado 1, letra c), y 14, apartado 1, letra c). La multa cae en la banda superior del artículo 83, apartado 5 — techo de 20 M€ o el 4 % del volumen de negocios anual mundial, lo que resulte mayor. El volumen de negocios del grupo LinkedIn sitúa los 310 M€ muy por debajo del techo legal del 4 %.

¿Emitió el CEPD una decisión vinculante en virtud del artículo 65?

No. El procedimiento de cooperación del artículo 60 se desarrolló sin objeciones de las autoridades interesadas. El proyecto de decisión se presentó en julio de 2024; ninguna otra autoridad planteó objeciones motivadas dentro del plazo legal. En consecuencia, no se activó procedimiento alguno de resolución de conflictos del artículo 65 ante el Comité Europeo de Protección de Datos. La ausencia de objeciones significa, por tanto, únicamente que ninguna autoridad interesada activó el artículo 65; no debe describirse como un aval formal del importe o de la gravedad por parte del CEPD.

¿Es definitiva la multa o podría reducirla el recurso?

Las apreciaciones materiales de infracción de los artículos 5, apartado 1, letra a), 6, apartado 1, 13, apartado 1, letra c), y 14, apartado 1, letra c), no son recurribles a través de la vía estatutaria de la sección 142 — la High Court lo confirmó en su sentencia preliminar de 20 de abril de 2026. El litigio más amplio incluye todavía argumentos constitucionales y la revisión judicial, por lo que la formulación más prudente es que las apreciaciones permanecen vigentes mientras esos procedimientos continúan. El recurso se centra, por tanto, en la cuantía y en los argumentos constitucionales y de la Carta. Una reducción es jurídicamente posible; una anulación total del análisis material es altamente improbable. La orden de adecuación al amparo del artículo 58, apartado 2, letra d), permanece operativa en todo caso.

¿Qué implica para empresas B2B que no son plataformas publicitarias?

Toda organización que perfile a personas físicas de la UE con fines de marketing, priorización de leads, scoring de cuentas o contenido personalizado está expuesta al mismo análisis que la DPC aplicó a LinkedIn. Las preguntas jurídicas son idénticas: ¿qué base del artículo 6 sostiene el perfilado? ¿Es el consentimiento (si se invoca) libre y granular? ¿Resiste el interés legítimo (si se invoca) la ponderación? ¿Divulga la política de privacidad la base jurídica por finalidad? Una SaaS B2B que opere una plataforma de account-based marketing debe tratar esta decisión como un precedente directo.

¿Sigue aplicándose el RGPD a las organizaciones británicas tras el Brexit?

Sí — por dos vías. El UK GDPR (versión británica del Reglamento) impone obligaciones materialmente idénticas, aplicadas por la Information Commissioner's Office. El RGPD europeo se sigue aplicando extraterritorialmente a las organizaciones británicas que ofrezcan bienes o servicios a interesados en la UE o que vigilen su comportamiento en la UE (artículo 3, apartado 2, del RGPD). Una empresa británica que opere publicidad conductual dirigida a la UE está expuesta a ambos regímenes a la vez.

¿Cuál es un calendario realista de adecuación para una organización de tamaño medio?

Para una organización de tamaño medio (50 a 500 empleados) con un programa de RGPD existente, un plan de 90 días es realista: 30 días para mapear cada actividad con perfilado o análisis conductual y auditar la base jurídica invocada para cada una; 30 días para implantar una CMP granular y reescribir las políticas de privacidad afectadas para satisfacer los artículos 13/14, apartado 1, letra c); 30 días para realizar una EIPD sobre el tratamiento de mayor riesgo y desplegar el ciclo de auditoría de calidad del consentimiento. Para una organización que parta de una base baja de RGPD, el calendario se duplica. El diagnóstico de Viktoria Compliance produce una versión priorizada de este plan, adaptada a las brechas identificadas.

Conclusión: la aplicación ya no es hipótesis

La decisión LinkedIn cierra un arco de seis años, abierto por la reclamación de una pequeña organización francesa de derechos digitales y cerrado con una de las mayores multas publicitarias que la DPC irlandesa ha impuesto. El análisis jurídico aplicado por la DPC se apoya hoy firmemente en la jurisprudencia del TJUE y en la práctica de las autoridades de control. Los controles técnicos y organizativos que habrían evitado la infracción están bien documentados, ampliamente disponibles y modestos en coste frente a la sanción. Las autoridades que antes pasaban por lenientes han demostrado, con esta y otras decisiones recientes, que la era leniente ha terminado. La pregunta para cualquier responsable que opere perfilado conductual, marketing personalizado, lead scoring o cualquier otro tratamiento sistemático de datos de la UE ya no es si el regulador acabará por mirar. La pregunta es si la adecuación estará completa antes — o después — de que mire.

Fuentes (documentos primarios)

• Comisión Irlandesa de Protección de Datos, nota de prensa de 24 de octubre de 2024 — "Irish Data Protection Commission fines LinkedIn Ireland €310 million" — https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million
• Comisión Irlandesa de Protección de Datos, página de la decisión — "Inquiry into LinkedIn Ireland Unlimited Company - October 2024" — https://www.dataprotection.ie/en/dpc-guidance/law/decisions-made-under-data-protection-act-2018/linkedin-ireland-unlimited-company-october-2024
• Comisión Irlandesa de Protección de Datos, decisión final (PDF), 22 de octubre de 2024 — https://www.dataprotection.ie/sites/default/files/uploads/2024-12/LinkedIn-Final-Decision-IN-18-08-3-Redacted.pdf
• Comisión Irlandesa de Protección de Datos, registro de multas con estado de recurso — https://www.dataprotection.ie/en/dpc-guidance/decisions/fines
• LinkedIn News, respuesta oficial de 24 de octubre de 2024 — "Our Response to the Irish Data Protection Commission's Decision" — https://news.linkedin.com/2024/October/Our-Response-to-the-Irish-Data-Protection-Commissions-Decision
• The Irish Times, "Microsoft-owned LinkedIn fined €310m by Irish Data Protection Commission", 24 de octubre de 2024 — https://www.irishtimes.com/business/2024/10/24/microsoft-owned-linkedin-fined-310m-by-irish-data-protection-commission/
• The Irish Times, "LinkedIn claims data watchdog's €310m fine is 'penal' sanction", 16 de diciembre de 2024 — https://www.irishtimes.com/business/2024/12/16/linkedin-claims-data-watchdogs-310m-fine-is-penal-sanction/
• Irish Legal News, "High Court: Court determines preliminary issues in LinkedIn appeal of 2024 DPC decision" — https://www.irishlegal.com/articles/high-court-court-determines-preliminary-issues-in-linkedin-appeal-of-2024-dpc-decision
• High Court irlandesa, LinkedIn Ireland Unlimited Company contra Data Protection Commission [2026] IEHC 235 — https://www.bailii.org/ie/cases/IEHC/2026/2026IEHC235.html
• Reglamento (UE) 2016/679 (RGPD) — artículos 5, 6, 13, 14, 35, 58, 60, 83 — https://eur-lex.europa.eu/eli/reg/2016/679/oj
• TJUE, asunto C-604/22, IAB Europe contra Gegevensbeschermingsautoriteit, sentencia de 7 de marzo de 2024 — https://curia.europa.eu/juris/document/document.jsf?docid=283529
• TJUE, asunto C-252/21, Meta Platforms Inc. y otros contra Bundeskartellamt, sentencia de 4 de julio de 2023 — https://curia.europa.eu/juris/document/document.jsf?docid=275125
• La Quadrature du Net — página de campaña "Personnal Data" — https://www.laquadrature.net/en/personnal-data/
• La Quadrature du Net — anuncio del depósito original de las reclamaciones GAFAM (28 de mayo de 2018) — https://www.laquadrature.net/2018/05/28/depot_plainte_gafam/
• Comité Europeo de Protección de Datos, Opinión 08/2024 sobre consentimiento válido en el contexto de modelos "consentimiento o pago" (adoptada el 17 de abril de 2024) — https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or-pay_en

Para seguir leyendo

La decisión LinkedIn es un nodo dentro de un conjunto estrechamente conectado de desarrollos regulatorios europeos. Los siguientes artículos cubren los temas conectados — comience por el que más se aproxime a su preocupación actual.

• Dark patterns y consentimiento de cookies en 2026 — el fallo UX del consentimiento de LinkedIn responde a la misma arquitectura que produce la aplicación contra banners de cookies. El análisis profundo de flujos de consentimiento conformes. (/blog/dark-patterns-cookies-2026)
• Artículo 22 del RGPD y Reglamento de IA: decisiones automatizadas en 2026 — la publicidad conductual es perfilado automatizado, y desde el 2 de agosto de 2026 el Reglamento de IA superpone un segundo régimen de cumplimiento. Aquí se forma la próxima gran ola de aplicación. (/blog/gdpr-art22-ai-act-automated-decisions-2026)
• El plazo de inventario de IA del 2 de agosto de 2026 — si opera segmentación, scoring o personalización, necesita un inventario de IA antes de la aplicación del Reglamento. Aquí cómo construirlo. (/blog/ai-inventory-deadline-august-2026)
• Estado de la transposición de NIS2 en toda la UE en 2026 — la aplicación contra las Big Tech protagoniza los titulares; NIS2 es la próxima ola que alcanza a organizaciones intermedias y pymes en los 27 Estados miembros. (/blog/nis2-transposition-status-eu-2026)
• RGPD + NIS2 + Reglamento de IA: el stack de cumplimiento integrado — operar tres programas en silos cuesta más que operar uno integrado. La arquitectura estratégica está aquí. (/blog/gdpr-nis2-ai-act-integrated-compliance-2026)