La AEPD (Agencia Española de Protección de Datos) es la autoridad pública independiente encargada de velar por el cumplimiento del Reglamento General de Protección de Datos en España, conforme al Art. 44 de la LOPDGDD. En esta guía completa para 2026 desgranamos qué es la aepd, cómo está estructurada, cuáles son sus funciones según el Art. 57 RGPD, cómo se tramita su procedimiento sancionador, qué tramos de multa aplica y cómo presentar una reclamación a través de la sede electrónica sedeagpd.gob.es. La aepd combina labor preventiva, normativa, inspectora y sancionadora, y su criterio marca la práctica diaria del cumplimiento en empresas, administraciones y profesionales en España.
Contenidos
- Qué es la AEPD y qué papel tiene en el RGPD
- Funciones principales de la AEPD
- Procedimiento sancionador AEPD paso a paso
- Sanciones de la AEPD: tramos y casuística pyme
- Cómo presentar una reclamación ante la AEPD
- Plazos clave de la AEPD
- Guías oficiales AEPD imprescindibles
- Cómo trabajar con la AEPD: buenas prácticas
- Preguntas frecuentes
- Próximos pasos
Qué es la AEPD y qué papel tiene en el RGPD
La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con total independencia de los poderes públicos en el ejercicio de sus funciones. Su régimen jurídico básico se encuentra en el Art. 44 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que la designa expresamente como la autoridad de control española prevista en el Capítulo VI del Reglamento (UE) 2016/679 (RGPD), Arts. 51 a 59.
Esta condición de autoridad de control implica que la aepd es el organismo competente en España para supervisar la aplicación del RGPD, atender las reclamaciones que presentan los interesados, dirigir investigaciones de oficio, imponer medidas correctivas y sanciones administrativas, y cooperar con las demás autoridades de control de la Unión Europea a través del Comité Europeo de Protección de Datos (CEPD o EDPB). La independencia funcional de la agencia española de protección de datos es un requisito esencial del modelo europeo: ningún ministerio puede darle instrucciones sobre expedientes concretos, y su presidencia se nombra por un mandato no renovable de cinco años.
La estructura interna de la AEPD combina una Presidencia, una Adjuntía, un Consejo Consultivo y dos subdirecciones generales clave: la Subdirección General de Inspección, encargada de las investigaciones y propuestas de resolución, y la Subdirección General de Registro de Tratamientos, responsable de mantener los registros públicos de delegados de protección de datos (DPD) y de códigos de conducta. La sede electrónica oficial es https://sedeagpd.gob.es, vía a través de la cual se presentan reclamaciones, notificaciones de brecha y comunicaciones formales con la agencia.
Por su posición institucional, la AEPD es la principal referencia interpretativa del RGPD y la LOPDGDD en España: sus resoluciones, informes jurídicos y guías condicionan la práctica diaria de responsables y encargados del tratamiento, marcan el criterio de los tribunales contencioso-administrativos y orientan el comportamiento de los delegados de protección de datos.
Funciones principales de la AEPD
Las aepd funciones se enumeran en el Art. 57 RGPD y se desarrollan en el Título VII de la LOPDGDD. Estas competencias cubren toda la cadena de valor del cumplimiento: desde la prevención hasta la sanción, pasando por la cooperación internacional. Conviene conocerlas con detalle porque definen las vías de relación entre cualquier empresa española y la agencia española de protección de datos.
- Supervisar y hacer cumplir la aplicación del RGPD en el territorio español.
- Promover la sensibilización del público sobre los riesgos, normas, garantías y derechos en materia de tratamiento de datos personales.
- Asesorar al Parlamento, al Gobierno y a otras instituciones sobre medidas legislativas y administrativas con impacto en protección de datos.
- Promover la sensibilización de los responsables y encargados del tratamiento acerca de sus obligaciones.
- Facilitar información a cualquier interesado sobre el ejercicio de sus derechos en virtud del RGPD.
- Tratar las reclamaciones presentadas por interesados o por organismos, organizaciones o asociaciones, investigar el objeto de la reclamación y comunicar el resultado.
- Cooperar con otras autoridades de control, en particular compartiendo información y prestando asistencia mutua a través del mecanismo de coherencia.
- Llevar a cabo investigaciones sobre la aplicación del RGPD, incluso a partir de información recibida de otra autoridad u organismo.
- Hacer un seguimiento de los cambios que sean relevantes, como la evolución de las tecnologías de la información y la comunicación o las prácticas comerciales.
- Adoptar las cláusulas contractuales tipo y las normas corporativas vinculantes (BCR) cuando proceda, y autorizar tratamientos que requieran consulta previa.
- Llevar un registro interno de las infracciones del RGPD y de las medidas adoptadas.
- Aprobar códigos de conducta, así como acreditar organismos de certificación y supervisar los certificados emitidos.
Estas funciones tienen una vertiente preventiva muy potente. La AEPD publica habitualmente informes jurídicos, guías sectoriales y herramientas como FACILITA, GESTIONA EIPD y EVALUA-RIESGO, dirigidas a pymes y administraciones para implantar el RGPD sin necesidad de consultoría externa. Su división de inspección, por otro lado, actúa de oficio o a instancia de parte cuando detecta indicios de infracción, especialmente en sectores con alta exposición como telecomunicaciones, banca, sanidad, marketing digital y videovigilancia.
En el plano internacional, la AEPD ejerce de autoridad principal en aquellos casos en que el establecimiento principal del responsable se encuentra en España, dentro del mecanismo de "ventanilla única" del RGPD. También participa activamente en el CEPD, donde se acuerdan directrices comunes sobre asuntos transfronterizos.
Procedimiento sancionador AEPD paso a paso
El procedimiento sancionador de la AEPD se regula en los Arts. 63 a 69 de la LOPDGDD y se completa con la Ley 39/2015 del Procedimiento Administrativo Común. Comprende varias fases sucesivas, con plazos y garantías para el investigado, y su correcta comprensión es clave para preparar la defensa o para anticipar el impacto reputacional y económico sobre la organización.
| Fase | Actos principales | Plazo orientativo |
|---|---|---|
| Reclamación o denuncia | Presentación por interesado, tercero o de oficio | Inmediato |
| Admisión a trámite | Análisis de competencia y de indicios | Hasta 3 meses |
| Actuaciones previas de investigación | Requerimientos de información, inspecciones | Hasta 12 meses (Art. 67 LOPDGDD) |
| Acuerdo de inicio | Notificación formal al investigado | Al concluir investigación |
| Trámite de audiencia y alegaciones | Plazo para presentar defensa y pruebas | 10 días hábiles |
| Propuesta de resolución | Calificación y propuesta de sanción | Variable |
| Resolución | Acto final del procedimiento | 9 meses desde inicio (Art. 64.6 LOPDGDD) |
| Recursos | Reposición ante AEPD y contencioso-administrativo ante AN | 1 mes / 2 meses |
La fase de actuaciones previas de investigación es especialmente relevante. Durante esta etapa, la AEPD puede requerir información, solicitar documentación, realizar inspecciones in situ y entrevistar a responsables o encargados del tratamiento. Conforme al Art. 67 LOPDGDD, estas actuaciones previas no pueden exceder de doce meses, salvo causas justificadas. La cooperación durante esta fase suele valorarse positivamente como circunstancia atenuante, conforme al Art. 83.2 RGPD y al Art. 76 LOPDGDD.
El acuerdo de inicio del expediente sancionador concreta los hechos imputados, la infracción presunta, el responsable y la sanción propuesta. Tras notificarlo, el investigado dispone de diez días hábiles para formular alegaciones y proponer pruebas. Es habitual que la AEPD acuerde acumular varias infracciones del RGPD en un único procedimiento cuando responden a un mismo tratamiento o a una misma actuación.
La resolución debe dictarse en el plazo máximo de nueve meses desde la fecha del acuerdo de inicio (Art. 64.6 LOPDGDD); transcurrido ese plazo sin resolución expresa se produce la caducidad del procedimiento. La resolución impone, en su caso, una sanción pecuniaria, una medida correctiva (por ejemplo, suspensión de un tratamiento) o un apercibimiento. Contra la resolución cabe recurso potestativo de reposición ante la propia AEPD o recurso contencioso-administrativo directamente ante la Audiencia Nacional, que es la jurisdicción competente.
Sanciones de la AEPD: tramos y casuística pyme
Las aepd sanciones se estructuran en dos grandes tramos definidos por los Arts. 83.4 y 83.5 RGPD, que se aplican según la gravedad de la infracción. La LOPDGDD añade en sus Arts. 71 a 78 una tipificación de infracciones muy graves, graves y leves, y fija el plazo de prescripción aplicable según su gravedad (Art. 78 LOPDGDD).
| Tramo | Base legal | Cuantía máxima |
|---|---|---|
| Infracciones del Art. 83.4 RGPD | Art. 83.4 RGPD | Hasta 10 millones de euros o el 2% del volumen de negocio total anual mundial del ejercicio anterior, optándose por la mayor cuantía |
| Infracciones del Art. 83.5 RGPD | Art. 83.5 RGPD | Hasta 20 millones de euros o el 4% del volumen de negocio total anual mundial del ejercicio anterior, optándose por la mayor cuantía |
El Art. 83.4 RGPD reserva el tramo inferior a infracciones como el incumplimiento del principio de protección de datos desde el diseño y por defecto (Art. 25), la designación incorrecta del DPD (Arts. 37-39), la falta de registro de actividades de tratamiento (Art. 30) o las brechas no notificadas en plazo (Arts. 33-34). El Art. 83.5 RGPD eleva el tramo a 20 millones de euros o al 4% cuando se vulneran los principios básicos (Art. 5), las bases jurídicas (Art. 6), el consentimiento (Art. 7), los derechos del interesado (Arts. 12-22) o las normas de transferencias internacionales (Arts. 44-49).
En términos prácticos, las sanciones que recibe una pyme española suelen situarse en un rango orientativo de 5.000 a 100.000 euros por infracción, dependiendo del volumen de afectados, la intencionalidad, la reincidencia y la categoría de datos implicada. Este rango es meramente indicativo: la cuantía final depende de los criterios de graduación del Art. 83.2 RGPD y del Art. 76 LOPDGDD, que incluyen la naturaleza y gravedad de la infracción, el grado de cooperación con la autoridad, las medidas técnicas implantadas, el comportamiento previo y las categorías de datos afectadas.
La AEPD también puede acordar el apercibimiento como medida correctiva equivalente a la advertencia previa del Art. 58.2.b RGPD, en infracciones de menor entidad o cuando concurren circunstancias atenuantes especialmente intensas. Esta herramienta es muy útil para microempresas y autónomos, que pueden ver sustituida una multa pecuniaria por un requerimiento de adaptación.
Las casuísticas reiteradas en la práctica sancionadora reciente incluyen: la AEPD ha sancionado de forma sistemática a operadores de telecomunicaciones por incumplimientos en marketing directo y consentimiento; ha multado a entidades bancarias por errores en sistemas de scoring y consentimiento; y ha impuesto sanciones recurrentes en materia de videovigilancia sin cartel informativo, cookies sin consentimiento válido y brechas de seguridad no notificadas en plazo. Estas líneas de actuación marcan los riesgos prioritarios para cualquier compliance program.
Cómo presentar una reclamación ante la AEPD
La aepd reclamación es el cauce principal por el que un interesado puede defender sus derechos en materia de protección de datos cuando considera que un responsable o encargado ha incumplido el RGPD o la LOPDGDD. El procedimiento se inicia preferentemente a través de la sede electrónica sedeagpd.gob.es, accesible con certificado digital, Cl@ve PIN o Cl@ve Permanente.
Antes de acudir a la AEPD, conviene haber agotado el ejercicio de derechos directamente frente al responsable del tratamiento. El Art. 12 RGPD obliga a responder en un plazo máximo de un mes, prorrogable otros dos meses cuando sea necesario por la complejidad o el número de solicitudes. Si el responsable no responde o lo hace de manera insatisfactoria, queda expedita la vía de reclamación ante la AEPD.
La documentación habitual para una reclamación incluye:
- Identificación completa del reclamante y, en su caso, del representante.
- Identificación del responsable o encargado del tratamiento reclamado, con CIF y datos de contacto.
- Descripción de los hechos, con fechas, lugares y referencias concretas.
- Copia del ejercicio previo de derechos y, en su caso, de la respuesta del responsable.
- Documentos y pruebas que sustenten los hechos (capturas, correos, contratos).
Una vez admitida a trámite, la AEPD comunica la reclamación al responsable para que aporte sus alegaciones. La agencia puede acordar el archivo, la mediación, la apertura de actuaciones previas o el inicio directo de un procedimiento sancionador, según la entidad de los hechos y los indicios reunidos. El reclamante recibe comunicación de la decisión adoptada y, en su caso, de la resolución final del procedimiento.
Si el responsable cuenta con un delegado de protección de datos comunicado a la AEPD, el interesado puede dirigirse a él de forma previa al cauce sedeagpd. El Art. 37 LOPDGDD obliga al DPD a responder en un plazo máximo de dos meses, y esta vía suele resolver el conflicto sin necesidad de reclamación formal. Para la AEPD, este intento previo se valora positivamente en términos de buena fe procesal por parte del interesado.
Plazos clave de la AEPD
La relación con la AEPD se estructura sobre varios plazos legales esenciales que conviene tener documentados en cualquier programa de cumplimiento. La gestión de tiempos es uno de los principales puntos críticos en procedimientos administrativos en materia de protección de datos.
- Notificación de brechas de seguridad: 72 horas desde que el responsable tenga conocimiento de la violación, conforme al Art. 33 RGPD. La notificación se realiza por sedeagpd.gob.es y debe incluir naturaleza, categorías y número aproximado de interesados, medidas adoptadas y datos de contacto del DPD.
- Resolución general del procedimiento sancionador: 9 meses desde el acuerdo de inicio, según el Art. 64.6 LOPDGDD. Transcurrido este plazo sin resolución expresa, se produce la caducidad del expediente.
- Actuaciones previas de investigación: hasta 12 meses, según el Art. 67 LOPDGDD, salvo causas justificadas que motiven su prórroga.
- Ejercicio de derechos por el responsable: 1 mes prorrogable 2 meses, según el Art. 12.3 RGPD.
- Recurso potestativo de reposición: 1 mes desde la notificación de la resolución de la AEPD.
- Recurso contencioso-administrativo ante la Audiencia Nacional: 2 meses desde la resolución de la AEPD o desde la resolución expresa del recurso de reposición.
- Prescripción de infracciones: regulada por el Art. 78 LOPDGDD, con plazos de 3 años para muy graves, 2 años para graves y 1 año para leves.
El control milimétrico de estos plazos es una de las áreas donde más errores cometen las empresas. Cualquier retraso en una respuesta a la AEPD, en una notificación de brecha o en la presentación de un recurso puede acarrear consecuencias graves: imposibilidad de defenderse, agravación de la sanción o pérdida de la vía judicial.
Guías oficiales AEPD imprescindibles
La AEPD publica un cuerpo extenso de guías oficiales que constituyen la principal referencia interpretativa para responsables y encargados del tratamiento. Estas guías no son normas jurídicas vinculantes, pero su seguimiento se valora positivamente como evidencia del principio de responsabilidad proactiva (Art. 5.2 RGPD).
- Guía del RGPD para responsables de tratamiento: documento de referencia para implantar el RGPD en cualquier organización. Cubre las bases jurídicas, los derechos, la designación del DPD, el registro de actividades, las evaluaciones de impacto y las medidas de seguridad.
- Guía del consentimiento: desarrolla los requisitos del Art. 7 RGPD y las pautas para distinguir el consentimiento del interés legítimo. Incluye ejemplos prácticos para marketing, cookies y enriquecimiento de bases de datos.
- Guía sobre el uso de dispositivos biométricos para control horario y de presencia (noviembre 2023): marca un criterio especialmente restrictivo. La biometría se considera tratamiento de categorías especiales (Art. 9 RGPD) y exige una base jurídica reforzada que rara vez se cumple en el ámbito laboral.
- Guía de cookies actualizada: alinea la práctica española con las directrices del CEPD y refuerza la exigencia de rechazo en el primer nivel y de equivalencia en el diseño de botones de aceptar y rechazar.
- Guía de videovigilancia: clarifica los requisitos para cámaras en zonas privadas, comunidades de propietarios, vehículos y dispositivos personales. Refuerza la obligación de cartel informativo y de hoja informativa complementaria.
Junto a las guías, la AEPD publica resoluciones anonimizadas en aepd.es/informes-y-resoluciones, lo que permite estudiar la jurisprudencia administrativa en cada sector. Esta consulta sistemática es una práctica recomendada en cualquier proceso de auditoría interna o due diligence regulatorio.
Cómo trabajar con la AEPD: buenas prácticas
Una relación adecuada con la agencia española de protección de datos se construye sobre tres pilares: anticipación, cooperación y proporcionalidad informativa. La experiencia acumulada en procedimientos sancionadores demuestra que las empresas que adoptan estas prácticas reducen significativamente el impacto económico y reputacional de cualquier expediente.
La anticipación implica notificar de oficio las brechas, mantener un canal abierto con el DPD comunicado y consultar a la AEPD en supuestos novedosos a través del Art. 36 RGPD (consulta previa) cuando la evaluación de impacto arroje un riesgo alto sin mitigar. Las consultas previas son poco habituales pero su uso adecuado evita litigios futuros y consolida el principio de accountability.
La cooperación durante actuaciones de investigación es uno de los factores que la doctrina de la Audiencia Nacional valora positivamente. Responder con diligencia, aportar la documentación requerida y mostrar disposición a corregir conductas son criterios atenuantes habituales conforme al Art. 83.2 RGPD y al Art. 76 LOPDGDD. La obstrucción, por el contrario, suele agravar la sanción.
La proporcionalidad informativa es un principio que conviene cuidar especialmente: la información aportada a la AEPD debe limitarse a la estrictamente necesaria para responder al requerimiento. Adjuntar documentación irrelevante o entregar accesos masivos a sistemas sin filtro puede generar nuevas líneas de investigación o exponer datos de terceros. La minimización de datos también aplica frente al regulador.
Las comunicaciones formales con la agencia se realizan siempre por sedeagpd.gob.es, lo que garantiza trazabilidad y validez del envío. Conviene mantener un registro interno de toda correspondencia, fechas de notificación y plazos abiertos. En procedimientos complejos, la asistencia letrada especializada y la coordinación con el DPD son recomendables desde el primer requerimiento, no desde el acuerdo de inicio.
Para empresas con tratamientos transfronterizos, conviene además identificar con claridad si la AEPD es la autoridad principal en el mecanismo de ventanilla única o si existe otra autoridad líder en la Unión Europea. La estrategia de defensa cambia sustancialmente según el modelo aplicable.
Preguntas frecuentes
¿Quién es la presidenta de la AEPD en 2026?
La presidencia de la Agencia Española de Protección de Datos se nombra por un mandato no renovable de cinco años, conforme al Art. 48 LOPDGDD. La información actualizada de la presidencia y de la adjuntía se publica en la sección institucional de aepd.es. Para datos vigentes, consulta directamente la web oficial, ya que la composición de la presidencia puede cambiar durante el ciclo de cinco años.
¿Cuánto tarda la AEPD en resolver una reclamación?
El plazo máximo de resolución del procedimiento sancionador es de 9 meses desde el acuerdo de inicio, según el Art. 64.6 LOPDGDD. A este plazo hay que sumar la fase previa de admisión a trámite y las actuaciones de investigación, que pueden extenderse hasta 12 meses adicionales conforme al Art. 67 LOPDGDD. En la práctica, una reclamación sencilla puede resolverse en pocos meses, mientras que expedientes complejos superan el año.
¿Cuál es la diferencia entre la AEPD y el CEPD?
La AEPD es la autoridad de control nacional en España, prevista en el Capítulo VI del RGPD. El CEPD (Comité Europeo de Protección de Datos o EDPB) es un organismo de la Unión Europea formado por todas las autoridades de control nacionales. El CEPD emite directrices vinculantes, resuelve conflictos entre autoridades en el mecanismo de coherencia y garantiza la aplicación uniforme del RGPD en toda la Unión.
¿Cuánto puede multar la AEPD a una pyme?
Las multas máximas son las del Art. 83 RGPD: hasta 10 millones de euros o el 2% del volumen de negocio mundial para infracciones del Art. 83.4 y hasta 20 millones o el 4% para infracciones del Art. 83.5. En la práctica, las sanciones a pymes españolas suelen situarse en un rango orientativo entre 5.000 y 100.000 euros, atendiendo a los criterios de graduación del Art. 83.2 RGPD y del Art. 76 LOPDGDD.
¿Es obligatorio responder a un requerimiento de la AEPD?
Sí. El deber de colaboración con la autoridad de control deriva del Art. 31 RGPD y del Art. 65 LOPDGDD. No atender los requerimientos puede ser una infracción autónoma del Art. 83.4 RGPD y, además, supone perder la posibilidad de presentar atenuantes y alegaciones que de otro modo serían valoradas positivamente. La cooperación se valora positivamente como criterio de graduación.
¿Dónde se publican las resoluciones de la AEPD?
La AEPD publica sus resoluciones anonimizadas en la sección informes y resoluciones de aepd.es. El acceso es público y permite filtrar por sector, año y tipo de procedimiento. Esta consulta sistemática es muy útil para conocer el criterio aplicado por la agencia ante casos similares y para preparar la defensa o el cumplimiento preventivo en cualquier sector regulado.
¿Cómo se notifica una brecha de seguridad a la AEPD?
La notificación de brecha se presenta a través de sedeagpd.gob.es en un plazo máximo de 72 horas desde que el responsable tenga conocimiento de la violación, conforme al Art. 33 RGPD. Si la brecha entraña alto riesgo para los derechos y libertades, el responsable debe además comunicarlo a los afectados según el Art. 34 RGPD. La AEPD pone a disposición un formulario electrónico específico para esta notificación.
Próximos pasos
Si tras leer esta guía sobre la aepd quieres asegurar el cumplimiento de tu organización, te recomendamos avanzar por estos recursos del centro de cumplimiento de Cardeseo:
- Revisar el hub de cumplimiento legal para identificar todas las áreas RGPD relevantes en tu empresa.
- Aplicar el onboarding RGPD paso a paso para empresas que comienzan su programa de cumplimiento.
- Descargar el modelo de consentimiento RGPD listo para personalizar.
- Implantar la cláusula de formulario RGPD en todos los puntos de captación de datos.
Si necesitas defensa ante un procedimiento abierto o una auditoría preventiva, contacta con el equipo jurídico de Cardeseo para una valoración inicial sin compromiso. Disponemos de cobertura de responsabilidad civil profesional por 1.500.000 euros y de un equipo especializado en procedimientos AEPD y recursos ante la Audiencia Nacional.