La AEPD dispara las reclamaciones y sanciones en 2025: no ignores la protección de datos
La protección de datos ha dejado de ser un trámite administrativo que muchas empresas resuelven con un documento genérico guardado en una carpeta.
La Memoria Anual 2025 de la Agencia Española de Protección de Datos (AEPD) confirma una realidad cada vez más evidente: los ciudadanos reclaman más, las investigaciones son más complejas y las sanciones económicas siguen aumentando.
Para muchas PYMES, este dato debería ser una llamada de atención. No hablamos únicamente de grandes multinacionales tecnológicas ni de empresas con millones de clientes.
El cumplimiento del RGPD y la LOPDGDD afecta a cualquier negocio que trate datos personales: una clínica, una asesoría, una academia, una tienda online, una empresa de servicios, un restaurante, una comunidad, un gimnasio, una inmobiliaria o cualquier empresa que tenga trabajadores, clientes, cámaras de videovigilancia, formularios web, campañas comerciales o bases de datos.
Según la Memoria 2025 de la AEPD, en 2025 se presentaron 30.931 reclamaciones ante la Agencia, frente a las 18.885 registradas en 2024, lo que supone un incremento del 64%. La propia AEPD señala que se trata del mayor número de reclamaciones de su historia.
Este aumento no es un dato aislado.
Refleja un cambio de comportamiento social: los clientes, trabajadores y usuarios conocen mejor sus derechos, denuncian con más facilidad y esperan que las empresas gestionen sus datos de forma correcta, segura y transparente.
La protección de datos ya no es invisible para el cliente
La protección de datos ha dejado de ser una cuestión meramente documental o interna para convertirse en un elemento directamente vinculado a la confianza, la reputación y la seguridad jurídica de las empresas.
Durante años, muchas PYMES abordaron el cumplimiento normativo como un trámite puntual: se realizaba una adaptación inicial, se firmaba determinada documentación y el sistema permanecía sin revisiones durante largos periodos de tiempo.
En el contexto actual, ese enfoque resulta claramente insuficiente y supone un riesgo operativo y reputacional significativo.
La creciente digitalización de los negocios ha multiplicado exponencialmente el volumen de información personal tratada por las empresas, así como los canales a través de los cuales dichos datos circulan y se almacenan.
La propia Agencia Española de Protección de Datos (AEPD) advierte en su Memoria 2025 de que el aumento de la presencia, el alcance y la complejidad de los tratamientos de datos personales está generando una mayor preocupación social por la privacidad y un incremento constante de las reclamaciones presentadas por los ciudadanos.
Esto implica que las empresas están hoy más expuestas no solo a ciberataques o brechas de seguridad, sino también a inspecciones, denuncias y conflictos derivados de incumplimientos cotidianos.
Muchas pequeñas y medianas empresas consideran erróneamente que su actividad no implica el tratamiento de información especialmente sensible.
Sin embargo, la realidad empresarial demuestra lo contrario. Datos de clientes, historiales de comunicaciones, currículums, nóminas, partes médicos, imágenes captadas por sistemas de videovigilancia, formularios web, contratos, presupuestos, facturación, datos bancarios o comunicaciones comerciales realizadas mediante correo electrónico o aplicaciones de mensajería constituyen datos personales sometidos plenamente al RGPD y a la LOPDGDD.
El riesgo, además, no se limita a escenarios de ciberseguridad avanzada. Una reclamación ante la AEPD puede originarse por situaciones aparentemente habituales: instalar cámaras de videovigilancia sin la información obligatoria, enviar comunicaciones comerciales sin base legitimadora, conservar documentación durante más tiempo del permitido, no atender adecuadamente los derechos de acceso o supresión, compartir información sin autorización, gestionar incorrectamente datos laborales o permitir accesos indebidos a documentación interna.
En muchos casos, las sanciones no derivan de ataques externos, sino de deficiencias organizativas, falta de protocolos o ausencia de actualización normativa.
Por ello, la protección de datos ya no debe entenderse únicamente como una obligación legal, sino como un elemento estratégico de cumplimiento, confianza y profesionalización empresarial.
Las organizaciones que integran la privacidad y la seguridad de la información en sus procesos transmiten mayor credibilidad al mercado, reducen riesgos legales y fortalecen su posición frente a clientes, proveedores y empleados.
Las reclamaciones aumentan en sectores muy cercanos a las PYMES
Uno de los puntos más importantes del informe es que las áreas con más reclamaciones no pertenecen únicamente a grandes sectores tecnológicos.
La AEPD señala que los servicios de Internet fueron la categoría con más reclamaciones en 2025, con 5.134 casos, un 63% más que en 2024.
Pero junto a ellos aparecen actividades muy habituales en el tejido empresarial español: videovigilancia, comercio, transporte y hostelería, publicidad, asuntos laborales, reclamación de deudas, sanidad y entidades financieras o acreedoras.
Esto es especialmente relevante para las PYMES porque muchas de estas materias forman parte de su actividad diaria.
Una tienda que tiene cámaras, una empresa que envía campañas comerciales, una clínica que gestiona datos de salud, una asesoría que trata documentación laboral o fiscal, un restaurante que conserva datos de reservas o una empresa que reclama facturas pendientes pueden verse afectadas.
La videovigilancia, por ejemplo, sigue siendo una de las áreas más sensibles. Muchas empresas instalan cámaras para proteger sus instalaciones, pero desconocen que deben informar correctamente, limitar los espacios grabados, evitar zonas no permitidas, conservar las imágenes solo durante el tiempo legalmente previsto y tener documentado el tratamiento.
Un error aparentemente pequeño puede convertirse en una reclamación.
Lo mismo ocurre con la publicidad.
Una campaña comercial enviada a una base de datos antigua, sin consentimiento válido o sin ofrecer un mecanismo claro de baja puede generar una denuncia.
Y, en el entorno actual, basta con que un solo usuario se sienta molesto o desprotegido para iniciar una reclamación ante la Agencia.
Más denuncias, más procedimientos y más presión sobre las empresas
El crecimiento de las reclamaciones no solo implica más expedientes, también supone más carga de trabajo, más análisis y mayor complejidad.
La AEPD indica que en 2025 resolvió 23.361 reclamaciones, la cifra más alta en la historia del organismo, un 29% más que el año anterior.
Sin embargo, debido al fuerte aumento de entradas, la tasa de resolución bajó del 96% en 2024 al 76% en 2025, y las reclamaciones pendientes al finalizar el año crecieron hasta 13.199, un 134% más.
Para una empresa, esto tiene una lectura clara: el volumen de reclamaciones está creciendo más rápido que nunca y la AEPD está reforzando sus procesos para responder a esa realidad. El hecho de que exista saturación no significa que las reclamaciones desaparezcan. Significa que se acumulan, se analizan y pueden terminar meses después en requerimientos, investigaciones o sanciones.
Además, el informe señala que se han abierto un 31% más de procedimientos que el año anterior y que el tiempo medio de tramitación se ha incrementado un 45%, reflejando la mayor complejidad de los casos. También indica que el importe medio de las multas en 2025 fue de 148.000 euros, un 17% superior al de 2024.
Aunque no todas las empresas van a recibir sanciones de esa cuantía, el dato es suficientemente claro: cuando un expediente termina en multa, el impacto económico puede ser muy serio.
Para una gran compañía puede representar un coste asumible. Para una PYME, una sanción puede comprometer su tesorería, su reputación y su continuidad.
Las multas también crecen: 48 millones de euros en sanciones
La memoria de la AEPD recoge que en 2025 se impusieron un 15,66% más de sanciones que en 2024. El importe total alcanzó los 48.108.765 euros, lo que supone un incremento del 35% respecto al año anterior.
Este dato desmonta la idea de que la protección de datos es una normativa sin consecuencias reales. La Agencia no solo recibe más reclamaciones, sino que también impone más sanciones y por importes superiores.
El informe también muestra que los mayores importes se concentran en áreas especialmente relevantes para cualquier empresa digitalizada.
Los servicios de Internet acumularon más de 11,3 millones de euros en sanciones; comercio, transporte y hostelería superó los 10,7 millones; y las quiebras de seguridad alcanzaron más de 9,8 millones de euros. Estos tres bloques concentran una parte muy significativa del importe sancionador de 2025.
- El caso de comercio, transporte y hostelería es especialmente llamativo: pasó de 613.800 euros en 2024 a 10.760.152 euros en 2025, un aumento del 1.653%.
- Para las PYMES de estos sectores, el mensaje es evidente.
La protección de datos no es solo una cuestión de grandes plataformas digitales; también afecta directamente a negocios tradicionales que tratan datos de clientes, empleados, reservas, pedidos, videovigilancia, facturación o comunicaciones comerciales.
Las brechas de seguridad se convierten en un riesgo crítico
Otro punto especialmente delicado del informe es el aumento de procedimientos vinculados a brechas de seguridad.
La AEPD destaca que los procedimientos sancionadores y de apercibimiento relacionados con brechas de seguridad crecieron de forma muy significativa: pasaron de 14 en 2024 a 46 en 2025, un incremento del 229%.
Para una PYME, una brecha de seguridad no siempre significa un gran ciberataque.
Puede ser el envío de un correo con destinatarios visibles, la pérdida de un portátil, el acceso indebido de un trabajador a información interna, una carpeta compartida sin control, una contraseña débil, una base de datos expuesta, documentación en papel mal destruida o un error en la configuración de una plataforma online.
El problema se agrava cuando la empresa no tiene protocolos internos para detectar, documentar y comunicar una brecha.
El RGPD exige actuar con rapidez, analizar el riesgo y, cuando proceda, notificar la brecha a la AEPD en el plazo correspondiente.
Si la empresa no sabe cómo actuar, el daño inicial puede convertirse en un problema mucho mayor.
El riesgo no es solo la multa: también está la reputación
Cuando se habla de protección de datos, muchas empresas piensan únicamente en la sanción económica. Pero el daño reputacional puede ser igual o incluso más grave.
Una reclamación por uso indebido de datos, una brecha de seguridad o una mala gestión de los derechos de un cliente puede afectar directamente a la confianza del mercado.
En sectores como sanidad, formación, asesoramiento empresarial, comercio, hostelería o servicios profesionales, la confianza es un activo fundamental. Si un cliente percibe que una empresa no protege correctamente su información, puede dejar de contratar, cancelar servicios o advertir a otros usuarios.
Además, muchas empresas trabajan como proveedoras de otras compañías. En esos casos, no cumplir con el RGPD puede impedir acceder a determinados contratos, licitaciones o colaboraciones.
Cada vez más clientes solicitan garantías documentales, contratos de encargado de tratamiento, medidas de seguridad, políticas de privacidad actualizadas y evidencias de cumplimiento.
Por eso, la protección de datos debe entenderse como una inversión en seguridad jurídica y confianza comercial, no como un simple coste administrativo.
Qué debería revisar una PYME después de este informe
El informe de la AEPD deja una conclusión muy clara: cualquier empresa que trate datos personales debe revisar si su cumplimiento es real, actualizado y demostrable.
No basta con tener una política de privacidad copiada, un cartel de cámaras descargado de Internet o unos documentos antiguos que nadie ha vuelto a revisar.
La empresa debe poder demostrar que conoce qué datos trata, con qué finalidad, durante cuánto tiempo, quién accede a ellos, qué base legal utiliza, qué medidas de seguridad aplica y cómo atiende los derechos de las personas.
Especialmente, las PYMES deberían revisar sus cláusulas informativas, contratos con proveedores, formularios web, gestión de currículums, documentación laboral, sistemas de videovigilancia, protocolos de brechas de seguridad, campañas comerciales, tratamiento de datos de clientes y medidas internas de acceso a la información.
También es importante revisar el cumplimiento de la LSSI-CE cuando la empresa tiene página web, formularios, comunicaciones electrónicas, cookies o envíos comerciales.
En muchos casos, una empresa cree que cumple con protección de datos, pero su web no informa correctamente, no gestiona bien las cookies o no tiene textos legales adaptados a su actividad real.
Cumplir antes de que llegue la reclamación
En Grupo System ayudamos a empresas y PYMES en la implantación y mantenimiento de sus obligaciones en materia de protección de datos y cumplimiento normativo, conforme al RGPD, la LOPDGDD y la LSSI-CE, mediante un enfoque técnico, operativo y adaptado a la actividad real de cada organización.
La Memoria Anual 2025 de la AEPD refleja un escenario cada vez más exigente: aumento significativo de reclamaciones, incremento de procedimientos sancionadores y una mayor supervisión sobre el tratamiento de datos personales por parte de las empresas.
En este contexto, la protección de datos deja de ser un requisito meramente documental para convertirse en un elemento estratégico de cumplimiento, gestión del riesgo y reputación corporativa.
Garantizar el cumplimiento normativo no solo permite minimizar posibles sanciones, sino también proteger la información de clientes, empleados y usuarios, reforzar la confianza en la organización y disponer de una estructura sólida ante inspecciones, incidentes de seguridad o reclamaciones de terceros.
Si tu empresa aún no ha revisado o actualizado su adecuación normativa
en materia de protección de datos, este es el momento de hacerlo.
En Grupo System contamos con un equipo especializado para ayudarte a implantar, revisar y mantener tu cumplimiento legal con las máximas garantías técnicas y jurídicas.
TAMBIÉN LE PUEDE INTERESAR…
Guía 2026: Ayudas extraordinarias para los contratos de formación en alternancia en España
Contratos de formación en alternancia, una herramienta clave para las empresas.
¿Es obligatorio un protocolo o formación específica LGTBI en las empresas?
Información importante para cumplir con el Real Decreto 1026/2024.
Redes sociales y empresas: cómo comunicar sin vulnerar la protección de datos (RGPD y LOPD)
¿Dónde se recogen datos personales y sensibles en redes sociales?
Suscríbete a nuestra
Newsletter