Puntos clave
- La AEPD recibió 30.931 reclamaciones en 2025, la cifra más alta de su historia (+64 % vs. 2024).
- Las multas alcanzaron los 48,1 M € (+35 % vs. 2024). La mayor sanción fue de más de 10 M € a Aena por uso de biometría sin evaluación de impacto válida.
- La inteligencia artificial se consolida como eje central: la AEPD publicó la primera política de IA del sector público español y prepara una guía conjunta RGPD-RIA con la Comisión Europea.
- Los procedimientos por brechas de seguridad se dispararon un 157 %, con casi 20 M € en multas (40 % del total).
- Se superaron los 200 millones de personas potencialmente afectadas por brechas notificadas a la Agencia.
La Agencia Española de Protección de Datos ha publicado su Memoria anual 2025, el documento que recoge los principales hitos, líneas de actuación y cifras del ejercicio. Se trata del primer año completo bajo la presidencia de Lorenzo Cotino y la adjuntía de Francisco Pérez Bes, y también del primer año de aplicación del Plan Estratégico 2025-2030.
Si el año pasado destacaban tres ejes —menores, IA y neurodatos—, en 2025 la Agencia pone el foco en tres áreas que han marcado el panorama digital este año: inteligencia artificial, uso de datos biométricos y brechas de seguridad. Estos tres ámbitos afectan directamente al marketing digital y marcan la dirección de la regulación para los próximos años.
A continuación, un análisis de los temas más relevantes y las cifras que deberías tener en cuenta en tu estrategia digital.
Inteligencia artificial y protección de datos: el gran protagonista de 2025
Si hay un tema que atraviesa toda la Memoria de este año, es la inteligencia artificial. Este año ha consolidado su posición como nuevo elemento indispensable del marketing digital y las operaciones básicas de la mayoría de empresas, por esta razón, la AEPD analiza su impacto e integra la IA en su propia operativa para posicionarse así como referente en la regulación de esta tecnología.
El Reglamento europeo de IA ya está en marcha
El Reglamento europeo de Inteligencia Artificial (RIA) entró en vigor en 2024 y su aplicación avanza de forma progresiva. La AEPD se prepara para asumir nuevas competencias como autoridad de vigilancia de mercado y como autoridad encargada de la protección de los derechos fundamentales en el ámbito de la IA. Esto incluye la creación de un Laboratorio de Inteligencia Artificial y el desarrollo de procedimientos para gestionar incidentes relacionados con sistemas de IA.
En paralelo, la Agencia trabaja junto al Comité Europeo de Protección de Datos (CEPD) y la Comisión Europea en una guía conjunta sobre la relación entre el RGPD y el RIA, prevista para junio de 2026. Se trata de un documento clave para entender cómo aplicar ambas normativas de forma coherente.
La AEPD adopta su propia política de IA
En noviembre de 2025, la AEPD publicó su política interna de uso de IA generativa, la primera de este tipo en el sector público español. El enfoque parte del principio de IA first: incorporar la inteligencia artificial en los procesos administrativos con garantías, gobernanza por niveles de riesgo y supervisión humana.
La Agencia también ha adquirido herramientas de IA generativa para su personal, ha desarrollado pruebas de concepto internas y ha iniciado la compra de servidores locales para trabajar con modelos on premise en casos de riesgo medio o alto.
Si quieres conocer más sobre la Ley de IA consulta nuestro artículo sobre el tema
La IA agéntica como nuevo reto
La Memoria identifica la IA agéntica como uno de los principales desafíos a corto plazo. Estos sistemas implican tratamientos masivos y complejos de datos personales, con capacidad para generar perfiles, inferir información sensible o tomar decisiones automatizadas. La AEPD subraya la necesidad de garantizar la transparencia, la explicabilidad y el control efectivo por parte de las personas afectadas.
La explicabilidad es la capacidad de un sistema de IA de ofrecer una justificación clara y comprensible de cómo y por qué ha tomado una decisión que afecta a una persona.
Laboratorio de Privacidad
Otra novedad relevante es la puesta en marcha del Laboratorio de Privacidad de la AEPD, concebido como un espacio de colaboración con universidades, el CSIC, fundaciones y centros de investigación. Desde su lanzamiento en noviembre, ha iniciado un blog especializado, los «Diálogos de privacidad» y una revista académica sobre privacidad y protección de datos.
¿Por qué te interesa?
La IA ya forma parte del stack de marketing de muchas empresas: personalización, segmentación, automatización, generación de contenido. Pero ha quedado claro con las últimas iniciativas que la IA también debe ser regulada desde la privacidad. El cumplimiento del RGPD y del RIA no es opcional, y la AEPD será la encargada de supervisar activamente cómo se usan estas tecnologías.
Si quieres liderar en la era del marketing digital sin comprometer la confianza de tus usuarios, este es el momento de adoptar un enfoque de Privacy-Led Marketing.
¿Qué puedes hacer como marketer?
- Revisa si las herramientas de IA que utilizas cumplen el RIA y el RGPD
- Documenta las evaluaciones de impacto de cualquier sistema de IA que trate datos personales
- Involucra al equipo legal desde el diseño de tus campañas automatizadas
- Usa herramientas que garanticen la transparencia en la recogida de datos
- Audita tu sitio web para detectar posibles riesgos
Biometría bajo la lupa: el caso Aena
El uso de datos biométricos ha sido uno de los temas más relevantes de la actividad sancionadora de la AEPD en 2025. El caso más mediático demuestra que ni el tamaño ni la relevancia de la empresa protegen frente a la sanción: lo que importa es el cumplimiento.
Aena: más de 10 M € por reconocimiento facial sin garantías
La sanción más elevada del ejercicio recayó sobre Aena, que recibió una multa de 10.043.002 de euros por desplegar sistemas de reconocimiento facial en varios aeropuertos españoles sin haber realizado una Evaluación de Impacto en Protección de Datos (EIPD) válida, tal y como exige el artículo 35 del RGPD.
La AEPD concluyó que Aena activó el tratamiento de datos biométricos sin las garantías necesarias: ni la evaluación de impacto era conforme a los requisitos normativos, ni se justificó adecuadamente la necesidad y proporcionalidad del sistema. La resolución obligó a la empresa a suspender el tratamiento hasta implementar las mejoras exigidas.
Este caso marca un precedente claro: la AEPD ya no solo sanciona brechas de seguridad o spam, sino también fallos estructurales de cumplimiento preventivo. Es decir, no basta con tener todos los documentos que marca el RGPD, también es clave poder demostrar que las evaluaciones de impacto se realizan de forma rigurosa antes de activar tratamientos de alto riesgo.
Un campo en plena revisión
La AEPD ha constituido un grupo de trabajo sobre biometría en el ámbito laboral y está actualizando su guía de sistemas biométricos. Además, ha analizado la propuesta Ómnibus de la Comisión Europea en lo que afecta al tratamiento de datos biométricos. Todo apunta a un endurecimiento de los requisitos para quienes quieran utilizar estas tecnologías.
¿Por qué te interesa?
Si en tu empresa se usa o se plantea usar cualquier tipo de tecnología biométrica (reconocimiento facial, huella dactilar, escaneo de iris…) para verificación de identidad, control de accesos o personalización de la experiencia del usuario, necesitas una EIPD rigurosa antes de activar el tratamiento. La AEPD ha demostrado que actúa con contundencia en este ámbito, independientemente del sector o el tamaño de la empresa.
¿Qué puedes hacer como marketer?
- No implementes sistemas biométricos sin una EIPD documentada y conforme al RGPD
- Evalúa siempre alternativas menos intrusivas antes de recurrir a la biometría
- Informa a los usuarios con claridad sobre qué datos biométricos recoges y para qué
- Consulta con tu DPD antes de lanzar cualquier proyecto que implique datos sensibles
- Infórmate sobre las actualizaciones normativas en biometría y privacidad
Brechas de seguridad: la amenaza que se dispara
Si hay un dato que debería preocupar a cualquier empresa que trate datos personales, es el aumento de los procedimientos sancionadores por brechas de seguridad. En 2025, esta categoría se ha convertido en la principal fuente de multas de la AEPD.
Las cifras hablan solas
La AEPD recibió 2.765 notificaciones de brechas de datos personales en 2025 (81 % del sector privado, 19 % del público). Pero lo más llamativo no es el volumen de notificaciones, sino su impacto: más de 209 millones de personas potencialmente afectadas, la cifra más alta hasta la fecha.
Los procedimientos sancionadores o de apercibimiento vinculados a brechas pasaron de 30 en 2024 a 77 en 2025, un incremento del 157 %. Las multas derivadas alcanzaron los 19,8 M €, lo que representa el 40 % del importe total sancionado en el año.
Ransomware y exfiltración masiva
Los ataques más frecuentes son de tipo ransomware y las intrusiones que derivan en la exfiltración masiva de datos. La AEPD ha intensificado su actuación en este ámbito, investigando no solo al responsable del tratamiento, sino también a los encargados y subencargados. Varias resoluciones de 2025 sancionaron a empresas por no haber documentado la diligencia en la selección y supervisión de sus proveedores tecnológicos.
El ransomware es un tipo de ciberataque que bloquea o cifra los datos de una organización y exige un pago (rescate) para restaurar el acceso.
Xfera Móviles (Yoigo): 4 M € por deficiencias de seguridad
Uno de los casos más relevantes fue la sanción de 4 millones de euros a Xfera Móviles (Yoigo) por vulneraciones de los principios de integridad y confidencialidad (arts. 5.1.f y 32 del RGPD). La AEPD concluyó que existían deficiencias en las medidas técnicas y organizativas para garantizar la seguridad de los datos tras un ciberataque.
¿Por qué te interesa?
Los profesionales del marketing gestionan a diario datos de clientes, leads, campañas y analítica. Una brecha de seguridad puede exponer esa información y generar no solo multas millonarias, sino una crisis de confianza difícil de reparar.
Descubre las tendencias en privacidad y confianza digital para entender el impacto que tiene la seguridad de los datos en la percepción de tu marca.
¿Qué puedes hacer como marketer?
- Asegúrate de que tus proveedores de marketing (CRM, automatización, analytics) cumplen el RGPD
- Revisa los contratos con tus encargados del tratamiento: las cláusulas genéricas ya no bastan
- Implementa protocolos de notificación de brechas en tu organización
- Audita tu sitio web para identificar posibles vulnerabilidades
- Usa herramientas de gestión del consentimiento que protejan los datos de tus usuarios
La privacidad de datos en España: balance de 2025
Al final de la Memoria, la Agencia ofrece un desglose de las cifras más relevantes del ejercicio. A continuación, los datos más importantes comparados con el año anterior.
Nuevas reclamaciones
En 2025 llegaron 30.931 reclamaciones por vulneración de la privacidad, lo que supone un incremento del 64 % con respecto a 2024 (cuando se registraron 18.885). Se trata de la cifra más alta en la historia de la Agencia.
Además, se registraron 1.118 casos transfronterizos (+36 % vs. 2024), y la AEPD inició 14 actuaciones por iniciativa propia. En total, la Subdirección de Inspección recibió 32.063 nuevos casos.
Brechas de seguridad
Las actuaciones previas de investigación pasaron de 36 a 61 (+69 %), los procedimientos sancionadores o de apercibimiento se dispararon de 30 a 77 (+157 %) y el importe total de las multas creció de 13,18 M € a 19,84 M € (+51 %). Una tendencia clara: la AEPD no solo recibe más notificaciones de brechas, sino que investiga más, sanciona más y con importes más altos.
Principales empresas sancionadas
Las cuatro mayores multas por brechas de seguridad en 2025 suman más de 10,3 M € y comparten un patrón común: medidas de seguridad insuficientes (art. 5.1.f y 32 del RGPD). Xfera Móviles lidera con 4 M €, seguida de Carrefour (3,2 M €), Hyundai Motor España (1,6 M €) y Sprinter (1,56 M €).
En total, doce expedientes finalizaron con multas superiores al millón de euros.
Áreas más comprometidas
En 2025 se abrieron 495 procedimientos sancionadores (+20 % vs. 2024). Videovigilancia (81) y servicios de Internet (77) siguen a la cabeza, pero los mayores crecimientos se dan en sanidad (+278 %, de 9 a 34) y quiebras de seguridad (+229 %, de 14 a 46). En el lado opuesto, publicidad (-39 %) y asuntos laborales (-30 %) registraron descensos significativos.
Evolución de las multas
La AEPD impuso 325 multas en 2025 (+16 % vs. 2024) por un importe total de 48.108.765 €, un 35 % más que los 35.592.200 € del año anterior.
Las brechas de datos personales representaron el 20 % del total sancionado, alcanzando los 9,84 millones de euros. Pero el dato más llamativo es el crecimiento de comercio, transporte y hostelería: de 613 800 € a 10,76 M € (+1 653 %).
Las cinco áreas con mayores importes sancionadores fueron:
- Servicios de Internet: 11,38 M €
- Comercio, transporte y hostelería: 10,76 M €
- Quiebras de seguridad: 9,84 M €
- Energía/agua: 3,04 M €
- Entidades financieras/acreedoras: 2,79 M €, sumando el 83 % del total sancionado.
Casos transfronterizos
La AEPD lideró 47 procedimientos transfronterizos como autoridad principal (+114 % vs. 2024) y cooperó como interesada en 419 (+20 %).
Conclusión
Año tras año, la protección de datos se integra con más fuerza en los procesos de las organizaciones que tratan información personal. Un buen ejemplo es el sector de energía/agua, que tras acumular 11,68 M € en multas en 2024, redujo su importe sancionador un 74 % en 2025, lo que sugiere que las empresas del sector han corregido las irregularidades detectadas.
Sin embargo, la Memoria 2025 deja claro que el panorama digital es cada vez más complejo: más reclamaciones, más sanciones y más áreas bajo vigilancia. La AEPD no cesa en su labor como garante de los derechos de los ciudadanos en el territorio nacional y, en esta edición, refuerza el foco en tres ejes que marcarán su actuación en los próximos años: la inteligencia artificial, la biometría y la seguridad de los datos.
Para los profesionales del marketing, el mensaje es directo: la protección de datos no es un freno a la innovación, sino una condición para innovar de forma sostenible. Las empresas que integren la privacidad en el centro de su estrategia digital estarán mejor posicionadas para generar confianza, evitar sanciones y liderar en un entorno cada vez más regulado.
Con Usercentrics puedes aplicar toda la innovación tecnológica en tu estrategia de marketing digital mientras cumples la normativa y generas confianza en tus usuarios.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.
Si también te interesa la privacidad de datos, únete ahora a nuestra creciente comunidad. Suscríbete a la newsletter de Usercentrics y recibe las últimas novedades directamente en tu bandeja de entrada.
