La Gaceta del Centinela
En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.
Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.
Con más de 16.000 resoluciones indexadas desde 2016 hasta 2025, el patrón de sanciones de la AEPD revela algo que los asesores de cumplimiento ya intuían: el problema no suele ser la intención maliciosa, sino la negligencia sistemática y la falta de medidas técnicas básicas. Los datos que siguen provienen del corpus completo de expedientes sancionadores publicados por la propia AEPD.
Puntos clave
Las clínicas privadas, laboratorios, farmacias y aseguradoras sanitarias concentran la mayor densidad de expedientes. La razón es estructural: tratan datos de categoría especial (salud, art. 9 RGPD) de forma masiva y habitual, y el umbral de riesgo que activa la obligación de notificar brechas es más bajo. Las infracciones más frecuentes son accesos no autorizados a historiales clínicos —habitualmente por parte de empleados sin justificación asistencial— y la ausencia de controles de acceso por roles (RBAC).
Las sanciones millonarias no son habituales en España —la AEPD tiende a aplicar proporcionalidad con el tamaño de la empresa— pero cuando caen sobre grandes operadores de telecomunicaciones el impacto es notable. Los casos paradigmáticos involucran envío masivo de SMS comerciales sin consentimiento (spam), transferencia de datos a operadores en mora sin habilitación legal y fallos en los sistemas de baja de la lista Robinson. En estos casos la cuantía se calcula como porcentaje de la facturación global.
| Sector | Infracción típica | Rango sanción privada | Norma infringida |
|---|---|---|---|
| Telecomunicaciones | Spam SMS / marketing sin consentimiento | 100.000 – 8.000.000 € | Art. 6 + 21 LSSI |
| Banca y seguros | Perfiles crediticios sin base legal | 50.000 – 2.000.000 € | Art. 6 RGPD |
| Salud privada | Acceso ilícito a historial clínico | 8.000 – 200.000 € | Art. 9 + 32 RGPD |
| Recursos humanos | Videovigilancia laboral sin aviso | 5.000 – 75.000 € | Art. 89 LOPDGDD |
| Comercio electrónico | Cookies sin consentimiento previo | 5.000 – 50.000 € | Art. 22 LSSI |
Analizar más de 16.000 expedientes permite identificar patrones que no se ven en muestras pequeñas. El artículo 5 RGPD, que establece los principios del tratamiento (licitud, minimización, integridad, responsabilidad proactiva), encabeza el ranking porque actúa como «paraguas»: cuando hay un incumplimiento grave, la AEPD suele citar el art. 5 junto con el artículo específico. El art. 32 sigue de cerca: la ausencia de medidas técnicas adecuadas —contraseñas débiles, transmisiones sin cifrar, servidores sin parchear— aparece en casi un tercio de los expedientes.
El art. 83.2 RGPD y el art. 76 LOPDGDD listan los criterios de graduación. Los más aplicados en la práctica son la cooperación activa con la investigación, la adopción inmediata de medidas correctoras y la ausencia de intencionalidad. El reconocimiento de la infracción antes de la propuesta de resolución puede reducir la multa hasta un 40%. Además, el pago voluntario en el plazo de alegaciones conlleva una reducción adicional del 20%.
Próximos pasos recomendados
¿Tienes dudas concretas sobre este tema?
Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.
Probar gratis, sin tarjetaFuentes y referencias
También en AEPD