Lo que dice y no dice el Informe de Sanciones RGPD 2025 del ISMS Forum y Ecix
Resulta extraño, y curiosamente próximo a la retórica de las industrias reguladas cuando aceptan finalmente los límites impuestos, que el Informe de Sanciones RGPD 2025 del ISMS Forum y Ecix califique de "completamente madura" una fase de aplicación que ha costado a las empresas europeas más de 7.100 millones de euros desde 2018. La cifra, que equivale a casi mil millones anuales en promedio, representa para los autores del informe evidencia de "un nivel de exigencia sin precedentes" más que de un posible desajuste entre la ambición normativa y la capacidad real de cumplimiento del tejido empresarial.
El documento, presentado con la habitual parafernalia de iconos numerados y titulares impactantes, ofrece cinco datos que considera "relevantes". El primero confirma el volumen acumulado europeo: 7.144.940.189 euros en 4.924 sanciones desde la entrada en aplicación del Reglamento General de Protección de Datos. El segundo destaca que 2025 ha sido el cuarto año consecutivo por encima de los mil millones, con 526 sanciones que suman 1.172 millones. El tercero y cuarto se centran en España, donde la Agencia Española de Protección de Datos mantiene el liderazgo europeo en número de resoluciones —3.034 históricas, 291 en 2025— pero con una evolución llamativa: la sanción media ha pasado de 54.145 euros de media histórica a 147.745 euros en 2025, casi triplicándose. El quinto dato identifica la mayor sanción española del año: 10,04 millones a AENA por uso de tecnología biométrica sin evaluación de impacto adecuada.
Lo que el informe no dice, al menos con la misma claridad tipográfica, es que esta "madurez" sancionadora puede interpretarse también como normalización de un régimen de cumplimiento que muchas pymes europeas siguen considerando desproporcionado respecto a sus recursos. La celebración de los cuatro años consecutivos por encima de los mil millones omite la pregunta obvia: ¿significa esto que las infracciones persisten, o que la interpretación de lo que constituye infracción se ha expandido?
II. El mapa de la sanción europea: concentración y asimetrías
El informe revela una geografía sancionadora profundamente desigual. Irlanda y Luxemburgo, países que albergan las sedes europeas de las grandes tecnológicas, concentran el impacto económico: 4.038 millones y 746 millones respectivamente en el ranking histórico por importe. España, a pesar de liderar en número de sanciones, ocupa la sexta posición en cuantía total con 353 millones. Esta asimetría, que el documento atribuye a un "modelo basado en muchas sanciones de menor cuantía frente a pocas pero muy elevadas en otros países", tiene implicaciones que merecen mayor desarrollo.
La explicación oficial —la mayor transparencia española en la publicación de resoluciones— resulta parcialmente convincente. Es plausible que la Agencia Española de Protección de Datos sea más prolija en la difusión de sus actos que homólogos de otros Estados miembros. Sin embargo, esta transparencia relativa no explica por qué la cuantía media española permaneció durante años en niveles que las grandes tecnológicas podrían considerar costes de operación, mientras las autoridades irlandesa y luxemburguesa imponían multas de cientos de millones por infracciones equivalentes.
El ranking histórico de las diez mayores sanciones europeas, incluido en el informe, resulta elocuente: Meta aparece cinco veces —1.200, 405, 390, 265 y 251 millones—, seguida por Amazon —746 millones—, TikTok —530 y 345 millones—, LinkedIn —310 millones— y Uber —290 millones—. Ninguna de estas empresas fue sancionada por una autoridad española. La pregunta que el informe no formula es si este patrón refleja una distribución natural de las infracciones —las grandes tecnológicas tienen sede en Irlanda y Luxemburgo— o una divergencia en la agresividad sancionadora que el mercado único digital debería haber homogeneizado.
III. La especificidad española: de la cantidad a la gravedad
El informe destaca correctamente el cambio cualitativo en la política sancionadora española durante 2025. Los 42,99 millones de euros totales representan un máximo histórico, con una sanción media que casi se triplica. Sin embargo, esta evolución, presentada como natural maduración del régimen, puede leerse también como corrección de un sesgo previo: la Agencia Española de Protección de Datos ha operado durante años con criterios de cuantificación que resultaban incompatibles con la gravedad real de ciertas infracciones.
El caso AENA, sancionada con 10,04 millones por el proyecto piloto de reconocimiento facial en aeropuertos sin evaluación de impacto previa, ilustra esta nueva severidad. El informe describe la infracción con precisión técnica: tratamiento de datos biométricos de categoría especial sin acreditar necesidad y proporcionalidad, sin evaluación de impacto completa, sin justificación de alternativas menos intrusivas. Lo que no desarrolla es el significado institucional de que una empresa pública, gestora de infraestructuras críticas, haya incurrido en deficiencias tan elementales de gobernanza de datos.
Las otras sanciones relevantes de 2025 en España, detalladas en el informe, confirman el patrón: Xfera —4 millones por brecha que afectó a 1,7 millones de clientes—, Carrefour —3,2 millones por cinco brechas de credential stuffing—, Sprinter —2,6 millones por intrusión que expuso datos de seis millones de personas— e ING —2 millones por verificación laboral obligatoria sin consentimiento libre—. Todas involucran fallos de seguridad masivos o tratamientos sin base legal válida, áreas donde la Agencia parece haber decidido que la tolerancia previa ya no resulta sostenible.
IV. Los sectores en el punto de mira: lo que dice y lo que omite
El informe dedica atención particular a tres sectores: telecomunicaciones, banca y finanzas, y energía. En telecomunicaciones, España acumula 7,23 millones frente a 65,8 millones en Europa, con 18 sanciones españolas frente a 18 europeas —dato que sugiere que el informe está comparando España con el conjunto de Europa, no con países individuales, lo que distorsiona la interpretación—. En banca, España suma 7,06 millones frente a 23,2 millones europeos, pero con 21 sanciones españolas frente a 13 europeas. En energía, la paridad es mayor: 2,03 millones españoles frente a 2,22 millones europeos, aunque con 20 sanciones españolas frente a 7 europeas.
Estas comparativas, presentadas sin aclaración metodológica suficiente, pueden inducir a conclusiones engañosas. Si el informe compara España con la suma de todos los países europeos, la aparente menor cuantía española resulta estadísticamente inevitable. Si compara con países de tamaño comparable, el panorama cambiaría. La falta de transparencia en esta presentación de datos contrasta curiosamente con el valor que el mismo informe atribuye a la transparencia sancionadora.
Lo que el informe no dice es que estos sectores —telecomunicaciones, banca, energía— comparten una característica estructural: están sometidos a regulación sectorial previa que debería haber incorporado ya estándares de protección de datos. Que resulten también los más sancionados sugiere que la superposición normativa no ha generado sinergias de compliance, sino posiblemente zonas grises de responsabilidad diluida.
V. Las tecnologías emergentes y el vacío interpretativo
El informe identifica correctamente el foco creciente de las autoridades en "seguridad del tratamiento, licitud, biometría, transferencias internacionales, brechas de datos y gestión de riesgos". Sin embargo, su tratamiento de las tecnologías emergentes resulta más descriptivo que analítico. La sanción a AENA por reconocimiento facial se menciona como caso ejemplar, pero no se desarrolla la pregunta sustantiva: ¿cómo evalúan las autoridades de protección de datos la proporcionalidad de sistemas biométricos cuando la presión de la industria aeroportuaria y las agencias de seguridad nacional empuja hacia su adopción generalizada?
El informe tampoco aborda la tensión entre la evaluación de impacto exigida por el artículo 35 del RGPD y la velocidad de implementación de sistemas de inteligencia artificial. La sanción a Luka Inc. —5 millones en Italia por chatbot de IA generativa sin base de legitimación válida— aparece en el ranking europeo, pero no se extraen conclusiones sobre si el régimen sancionador actual resulta adecuado para regular tratamientos cuya complejidad técnica supera con frecuencia la capacidad evaluativa de las agencias.
La transferencia internacional de datos, que ocupa el primer lugar en el ranking de artículos más sancionados por cuantía en Europa, se presenta como riesgo cumplido sin conectar con el contexto político: la invalidez del Privacy Shield, los acuerdos en negociación, la incertidumbre sobre los mecanismos alternativos de garantías adecuadas. El informe registra la sanción sin contextualizar la inestabilidad normativa que la genera.
VI. Hacia una lectura crítica de la madurez
El Informe de Sanciones RGPD 2025 cumple una función informativa valiosa al sistematizar datos dispersos en múltiples fuentes oficiales. Su presentación visual, su organización territorial y su segmentación sectorial facilitan el acceso a información que de otro modo requeriría consultas laboriosas. Sin embargo, su marco interpretativo —la "madurez" como valor intrínseco, la "exigencia" como mérito automático— merece ser cuestionado.
La normalización de sanciones millonarias, la concentración de impacto económico en un puñado de grandes tecnológicas mientras las pymes enfrentan multas de menor cuantía pero mayor peso relativo, la persistencia de brechas de seguridad masivas en sectores críticos, y la aparente imposibilidad de prevenir infracciones mediante mera información normativa, son fenómenos que el informe registra sin problematizar.
La "madurez" del régimen RGPD debería medirse, en última instancia, por la efectividad real en la protección de los derechos de las personas físicas, no por el volumen acumulado de sanciones. Que el informe no incluya indicadores de percepción ciudadana sobre el control de sus datos, de reducción de incidentes de seguridad, o de fortalecimiento de la confianza digital, revela un sesgo métrico que privilegia la actividad sancionadora sobre sus resultados.
El dato más revelador del informe puede ser, precisamente, aquel que aparece sin destacar: la reducción progresiva del número de sanciones en España desde el máximo de 2021, a pesa de la concentración de cuantías en casos graves. Esta tendencia, que el informe atribuye a "mayor adopción de medidas para evitar infracciones", podría interpretarse también como saturación del aparato sancionador, selección de objetivos por rentabilidad mediática, o simplemente como normalización de un nivel de incumplimiento que las autoridades ya no pueden perseguir con la misma intensidad.
El informe dice mucho sobre las sanciones. Dice menos sobre la protección. Y omite casi por completo la pregunta que debería fundamentar cualquier evaluación del RGPD: ¿estamos realmente más protegidos, o simplemente más sancionados?