Cuánto puede multar la AEPD, en dos frases
La Agencia Española de Protección de Datos puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual en las infracciones más graves del RGPD, y de hasta 10 millones o el 2% en el resto. A una pyme, en la práctica, se le aplican importes muy inferiores y proporcionados a su tamaño, pero las sanciones de tres, cuatro y cinco cifras a pequeños negocios son constantes.
Hay un mito muy extendido: "las multas de protección de datos son cosa de Google y de los bancos". Basta hojear las resoluciones que la AEPD publica en su web para desmontarlo: bares con cámaras mal puestas, tiendas online sin política de privacidad, empresas que mandan publicidad a quien pidió que le borraran, comunidades de propietarios, autónomos. En este artículo te explicamos los rangos legales, los criterios con los que la Agencia calcula cada multa y los patrones de infracción que más se repiten en pymes españolas.
Los rangos del artículo 83 del RGPD
El RGPD organiza las multas en dos niveles, según la gravedad de lo incumplido:
| Nivel | Importe máximo | Infracciones típicas |
|---|---|---|
| Primer nivel (art. 83.4) | Hasta 10 millones de euros o el 2% de la facturación global anual (la cifra mayor) | Obligaciones del responsable y encargado: registro de actividades, contratos de encargo, medidas de seguridad, notificación de brechas, evaluaciones de impacto |
| Segundo nivel (art. 83.5) | Hasta 20 millones de euros o el 4% de la facturación global anual (la cifra mayor) | Principios del tratamiento, falta de base jurídica, condiciones del consentimiento, derechos de los interesados, transferencias internacionales |
La LOPDGDD, por su parte, clasifica las infracciones en muy graves, graves y leves (artículos 72 a 74), sobre todo a efectos de prescripción, y regula el procedimiento de la AEPD. Y ojo: las infracciones en materia de cookies y de email comercial se sancionan por otra ley, la LSSI, con sus propios rangos (hasta 30.000 euros las leves y de 30.001 a 150.000 euros las graves).
Cómo se calcula la multa concreta
Entre cero y el máximo legal hay un mundo, y el artículo 83.2 del RGPD lista los criterios de graduación: naturaleza, gravedad y duración de la infracción, número de afectados, intencionalidad o negligencia, medidas adoptadas para paliar el daño, cooperación con la autoridad, infracciones anteriores, categorías de datos afectadas... Por eso una misma conducta puede costarle cantidades muy distintas a una multinacional y a un autónomo.
Dos mecanismos más que conviene conocer:
- Apercibimiento. La AEPD puede resolver con un apercibimiento (una advertencia con orden de corregir) en lugar de multa, posibilidad prevista entre los poderes correctivos del RGPD. No es lo habitual en el sector privado, pero existe.
- Reducciones por pago voluntario y reconocimiento de responsabilidad. En los procedimientos sancionadores, reconocer la responsabilidad y pagar de forma anticipada conllevan sendas reducciones del 20% sobre el importe propuesto, acumulables entre sí, conforme al régimen general del procedimiento administrativo. Muchas pymes cierran así sus expedientes pagando el 60% de la multa inicial, a cambio de renunciar a recurrir.
Las infracciones que más se repiten en pymes
La AEPD publica todas sus resoluciones sancionadoras en aepd.es, y leyendo unas cuantas se reconocen enseguida los mismos patrones. Estos son los que más afectan a empresas pequeñas:
1. Videovigilancia mal instalada
El clásico absoluto: cámaras sin cartel informativo, carteles sin identificar al responsable, cámaras que captan vía pública más allá de lo imprescindible o que enfocan al puesto de un empleado o al local del vecino. Las denuncias suelen venir de extrabajadores o vecinos, y la infracción es fácil de acreditar: basta una foto. La Agencia ha sancionado repetidamente a bares, comercios, talleres y comunidades de propietarios por este motivo. Tienes la guía completa para evitarlo en cámaras en el trabajo: qué es legal.
2. Cookies sin consentimiento válido
Banners sin opción real de rechazar, cookies de análisis y publicidad que se cargan antes de aceptar, políticas de cookies inexistentes. Se sancionan por la LSSI y la AEPD las persigue de forma sostenida desde la actualización de su guía de cookies. El detalle, en qué son las cookies y qué exige la ley.
3. Email marketing sin consentimiento
Enviar publicidad por correo electrónico a quien no la pidió, no atender las bajas o seguir enviando tras una solicitud de supresión. El envío de comunicaciones comerciales no consentidas infringe el artículo 21 de la LSSI, y si además se ignoran los derechos del destinatario, entra también el RGPD. Lo desgranamos en email marketing legal: RGPD y LSSI.
4. Falta de contrato de encargado de tratamiento
La gestoría que lleva tus nóminas, tu proveedor de hosting o tu plataforma de mailing tratan datos por tu cuenta: sin contrato del artículo 28 del RGPD, tanto tú como ellos estáis en infracción. Es invisible hasta que la AEPD investiga por cualquier otro motivo y pide la documentación.
5. No atender los derechos de las personas
Ignorar una solicitud de acceso o de supresión, responder fuera del plazo de un mes o exigir requisitos absurdos para tramitarla. Es una infracción del segundo nivel (el de los máximos más altos) y de las más sencillas de denunciar: al interesado le basta adjuntar su solicitud y tu silencio. El procedimiento correcto está en derecho al olvido y de supresión.
6. Difusión indebida de datos
Publicar datos de un cliente al responder una reseña, mandar un correo masivo con todos los destinatarios visibles en copia, exponer documentos con datos personales. Errores operativos de un minuto que acaban en expediente.
Qué pasa cuando llega una denuncia
El proceso típico: una persona presenta una reclamación gratuita en la sede electrónica de la AEPD; la Agencia la traslada a la empresa para que alegue; si no hay respuesta satisfactoria, abre actuaciones de investigación y, en su caso, un procedimiento sancionador con propuesta de multa, alegaciones y resolución. La resolución se publica en la web de la Agencia con el nombre de la empresa sancionada, lo que añade un coste reputacional al económico: cualquiera que te busque en Google puede encontrarla. El funcionamiento completo de la Agencia lo explicamos en nuestra guía de la AEPD.
Conviene insistir en lo barato que es denunciar: no cuesta dinero, no exige abogado y puede hacerse online. Por eso la pregunta correcta no es "¿quién me va a denunciar?", sino "¿cuántos motivos doy para que alguien lo haga?": un exempleado descontento, un cliente enfadado o un competidor son los orígenes más frecuentes.
Preguntas frecuentes
¿Puede la AEPD multar a un autónomo o a una empresa de 3 empleados?
Sí. El RGPD no establece mínimos de tamaño y las resoluciones contra autónomos y micropymes son habituales. Los importes se gradúan según la capacidad económica y la gravedad, pero no existe ninguna exención por ser pequeño.
¿Cuánto paga de verdad una pyme, si los máximos son millonarios?
Los máximos del artículo 83 (10 o 20 millones, 2% o 4% de facturación) son techos legales pensados para abarcar también a las multinacionales. En pymes, las multas se mueven habitualmente en rangos de cientos a decenas de miles de euros según la infracción y las circunstancias. Las resoluciones concretas pueden consultarse en aepd.es; cada caso se gradúa individualmente.
¿Me pueden reducir la multa si pago rápido?
Sí. Reconocer la responsabilidad y pagar voluntariamente antes de la resolución conllevan reducciones del 20% cada una, acumulables (hasta un 40% en total), a cambio de renunciar a acciones contra la sanción. Es el desenlace más común de los expedientes contra pymes.
¿Las multas por cookies y spam también las pone la AEPD?
Sí, pero con base en la LSSI, no en el RGPD: hasta 30.000 euros las infracciones leves y de 30.001 a 150.000 euros las graves. Cuando la misma conducta implica además un tratamiento de datos ilícito, puede sancionarse también por la vía del RGPD.
La mejor sanción es la que nunca llega
Casi todas las infracciones de esta lista comparten algo: se previenen con una adecuación bien hecha y un poco de mantenimiento. Nuestro servicio de cumplimiento legal deja tu empresa al día con el RGPD, la LOPDGDD y la LSSI desde 249 euros al año: documentación, web, cámaras, marketing y soporte ante cualquier requerimiento. Cuéntanos tu caso antes de que lo haga un denunciante.