Una vulneración RGPD puede costarte muy caro, tanto si eres la empresa que trata datos de forma indebida como si eres la persona cuyos datos han sido comprometidos y no sabes cómo defender tus derechos. En este artículo te explicamos qué se considera una infracción del Reglamento General de Protección de Datos, qué sanciones contempla la normativa aplicable, y qué pasos puedes seguir para reclamar o para reducir el impacto de un expediente sancionador.
🔢 Calcula online: usa nuestra calculadora de indemnizacion por despido para una estimación inmediata.
- Una vulneración RGPD es cualquier tratamiento de datos personales que incumpla el Reglamento (UE) 2016/679.
- Las sanciones se dividen en dos tramos: hasta 10 M€ (o 2 % volumen de negocio) para infracciones menos graves, y hasta 20 M€ (o 4 %) para las más graves.
- En España, la Agencia Española de Protección de Datos (AEPD) es el organismo supervisor competente a nivel estatal.
- Los afectados pueden presentar una reclamación ante la AEPD de forma gratuita.
- Los plazos del procedimiento sancionador son perentorios: no se prorrogan salvo excepciones tasadas.
¿Qué es exactamente una vulneración RGPD?
¿Alguna vez has recibido publicidad sin haber dado tu consentimiento, o te han pedido datos que claramente no eran necesarios para el servicio? Eso podría ser una vulneración RGPD. En términos amplios, se produce cuando una organización —empresa, administración pública o particular que actúa como responsable o encargado del tratamiento— incumple alguno de los principios o derechos que establece la normativa aplicable de protección de datos.
Las vulneraciones más habituales incluyen: tratamiento sin base jurídica legítima, falta de información al interesado, cesión de datos a terceros sin consentimiento, brecha de seguridad no notificada, o denegación del ejercicio de derechos (acceso, rectificación, supresión, portabilidad).
Una empresa de comercio electrónico comparte el historial de compras de sus clientes con una plataforma de publicidad sin haber obtenido consentimiento expreso ni informar de ello en su política de privacidad. Esto constituye generalmente una vulneración RGPD sancionable.
¿Cuáles son los tipos de infracciones y su gravedad?
¿Sabías que no todas las infracciones de protección de datos se tratan igual? La normativa aplicable distingue entre infracciones de distinta gravedad, lo que determina el régimen sancionador aplicable.
En España, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (la normativa aplicable) clasifica las conductas en leves, graves y muy graves, alineándose con los dos tramos de sanción que prevé el propio Reglamento europeo. Entre las conductas más graves destacan: el tratamiento de categorías especiales de datos sin amparo legal, las transferencias internacionales no autorizadas y la reiteración de incumplimientos.
La calificación de una conducta como leve, grave o muy grave no depende solo del hecho en sí, sino de factores como la intencionalidad, el número de afectados, el tipo de datos comprometidos y si se han adoptado medidas correctoras. La AEPD valora cada caso de forma individualizada.
¿A qué sanciones económicas te expones por una vulneración RGPD?
¿Cuánto puede llegar a sancionar la AEPD? Los importes del RGPD son, en papel, muy elevados, aunque en la práctica las cifras finales varían en función del tamaño de la entidad, su volumen de negocio y las circunstancias concretas del caso.
| Tramo | Tipo de infracción | Sanción máxima |
|---|---|---|
| Tramo 1 | Infracciones menos graves (p. ej., falta de registros, incumplimientos formales del responsable) | Hasta 10 M€ o 2 % del volumen de negocio global anual |
| Tramo 2 | Infracciones más graves (p. ej., tratamiento sin base jurídica, vulneración de derechos fundamentales) | Hasta 20 M€ o 4 % del volumen de negocio global anual |
Para las pymes y autónomos, la AEPD suele aplicar criterios de proporcionalidad. Una microempresa difícilmente recibirá la sanción máxima si actúa de buena fe y colabora activamente con la investigación. Salvo excepciones, la actitud proactiva reduce considerablemente la cuantía final.
¿Cómo funciona el procedimiento sancionador de la AEPD?
¿Te han notificado el inicio de un expediente sancionador y no sabes qué esperar? El procedimiento ante la AEPD sigue las reglas generales del procedimiento administrativo común establecidas en la Ley 39/2015 de Procedimiento Administrativo Común, con las especialidades propias de la normativa de protección de datos.
- Fase de actuaciones previas: La AEPD recibe una reclamación o actúa de oficio, y analiza si hay indicios suficientes de infracción.
- Acuerdo de inicio: Si procede, se notifica formalmente al presunto infractor el inicio del procedimiento, con los hechos imputados.
- Alegaciones y prueba: El interesado dispone de un plazo —generalmente de diez días hábiles— para presentar alegaciones y aportar documentación. Los plazos son perentorios y no se prorrogan salvo causa justificada.
- Propuesta de resolución: El instructor elabora una propuesta motivada, que se notifica al investigado para que pueda alegar de nuevo.
- Resolución definitiva: La directora de la AEPD dicta resolución, que puede ser impugnada ante la Audiencia Nacional.
En relación con las notificaciones, es importante destacar que la AEPD puede emplear medios electrónicos. El Tribunal Supremo estableció en STS 1024/2018 (Sala 3ª) que la notificación electrónica produce plenos efectos aunque el destinatario no acceda al buzón, siempre que esté obligado al sistema. Por tanto, si tu empresa está sujeta a notificación electrónica obligatoria, debes revisar periódicamente tu buzón para evitar que los plazos corran sin que lo sepas.
¿Cómo puedes reclamar si han vulnerado tus datos personales?
¿Crees que una empresa ha tratado tus datos de forma indebida? Como ciudadano, tienes derecho a presentar una reclamación ante la AEPD de forma gratuita y sin necesidad de abogado, aunque contar con asesoramiento puede marcar la diferencia en casos complejos.
Antes de acudir a la AEPD, la normativa aplicable exige generalmente que ejercites tus derechos directamente ante el responsable del tratamiento (derecho de acceso, supresión, etc.). Si no obtienes respuesta en el plazo previsto —o la respuesta no es satisfactoria— puedes entonces reclamar ante la agencia.
El proceso, de forma resumida, sigue estos pasos:
- Ejerce tus derechos ante la empresa o entidad responsable y guarda prueba de ello (correo electrónico, burofax, etc.).
- Si no hay respuesta en el plazo legalmente establecido o esta es insatisfactoria, accede al portal de reclamaciones de la AEPD.
- Aporta toda la documentación que acredite la vulneración: capturas de pantalla, correos, contrato, política de privacidad, etc.
- La AEPD te informará del estado de tu reclamación y, en su caso, iniciará actuaciones de investigación.
Aunque la AEPD es el organismo competente a nivel estatal, algunas comunidades autónomas cuentan con autoridades propias de protección de datos (como la Agencia Vasca o la Autoridad Catalana). Si la entidad infractora es una administración pública autonómica, la reclamación puede corresponder al organismo autonómico competente. Consulta cuál te aplica según el caso concreto.
Nuestros despachos colaboradores ofrecen una primera valoración gratuita. Solicítala al final del artículo →
¿Cuándo necesitas un abogado especialista en protección de datos?
¿Es siempre necesario contratar asesoramiento jurídico? No en todos los casos, pero sí en situaciones de cierta complejidad. Te conviene contar con un profesional cuando:
- Has recibido un acuerdo de inicio de procedimiento sancionador con importes relevantes.
- La brecha de seguridad afecta a datos de categorías especiales (salud, ideología política, datos biométricos, etc.).
- El número de afectados es elevado y la reputación de tu empresa está en juego.
- Quieres interponer recurso contencioso-administrativo frente a una resolución de la AEPD ante la Audiencia Nacional.
- Eres el afectado y buscas también una indemnización civil por daños derivados de la vulneración.
Checklist: pasos inmediatos ante una vulneración RGPD
¿Acabas de detectar una posible brecha de seguridad o has recibido una notificación de la AEPD? Actúa sin demora siguiendo este checklist:
- Documenta los hechos desde el primer momento: fechas, datos afectados, sistemas implicados.
- Evalúa el riesgo para los derechos y libertades de los afectados.
- Notifica a la AEPD en 72 horas si la brecha supone un riesgo para los afectados (plazo perentorio según la normativa aplicable).
- Informa a los afectados si el riesgo es alto, explicando qué ocurrió y qué medidas adoptaste.
- Adopta medidas correctoras inmediatas para contener el incidente y evitar su repetición.
- Revisa tu buzón electrónico si tu empresa está obligada a notificación electrónica, para no perder plazos de alegaciones.
- Busca asesoramiento especializado si el expediente avanza o los importes en juego son significativos.
Muchas empresas retrasan la notificación de una brecha de seguridad a la AEPD esperando tener todos los detalles claros. El plazo de 72 horas corre desde que el responsable tiene conocimiento del incidente, no desde que completa la investigación interna. Superar ese plazo sin notificar agrava la infracción.
Para más información sobre el procedimiento administrativo aplicable a los recursos y plazos, puedes consultar la Ley 39/2015 de Procedimiento Administrativo Común en el BOE. Asimismo, la Constitución Española ampara en su artículo 18 el derecho a la intimidad y, por extensión, la protección de datos como derecho fundamental.
Este artículo refleja el marco normativo y criterios de la AEPD vigentes en mayo de 2026. La normativa de protección de datos y los criterios interpretativos pueden actualizarse. Te recomendamos verificar la información con un profesional antes de tomar decisiones.
Preguntas frecuentes
¿Qué es una vulneración RGPD y cuándo se produce?
Una vulneración RGPD se produce cuando una organización incumple alguno de los principios, obligaciones o derechos reconocidos por el Reglamento General de Protección de Datos (UE) 2016/679. Puede tratarse de un tratamiento sin base jurídica, una brecha de seguridad, la denegación de derechos al interesado o la falta de medidas técnicas adecuadas, entre otros supuestos.
¿Cuánto puede sancionar la AEPD por una infracción de protección de datos?
Las sanciones pueden alcanzar hasta 10 millones de euros (o el 2 % del volumen de negocio global) para infracciones menos graves, y hasta 20 millones de euros (o el 4 %) para las más graves. En la práctica, la cuantía final depende de factores como el tamaño de la entidad, el número de afectados y la actitud del infractor.
¿Puedo reclamar ante la AEPD sin abogado?
Sí. Cualquier ciudadano puede presentar una reclamación ante la AEPD de forma gratuita y sin necesidad de representación legal. No obstante, en casos complejos o cuando se busca también indemnización civil, contar con un abogado especialista puede ser determinante.
¿En qué plazo debo notificar una brecha de seguridad a la AEPD?
Generalmente, el responsable del tratamiento debe notificar la brecha a la autoridad de control en un plazo máximo de 72 horas desde que tiene conocimiento de ella, siempre que suponga un riesgo para los derechos y libertades de los afectados. Este plazo es perentorio y no admite prórroga ordinaria.
¿Tiene competencia la AEPD en toda España?
La AEPD es el organismo supervisor competente a nivel estatal. Sin embargo, algunas comunidades autónomas —como el País Vasco y Cataluña— cuentan con autoridades autonómicas propias de protección de datos, que son competentes cuando la entidad infractora es una administración pública de ese territorio.
¿Puedo recurrir una sanción de la AEPD?
Sí. Las resoluciones sancionadoras de la AEPD son recurribles ante la Audiencia Nacional mediante recurso contencioso-administrativo. Los plazos para interponerlo son perentorios, por lo que es fundamental actuar con rapidez y, en la mayoría de casos, contar con asistencia letrada especializada.
¿Qué ocurre si no me informan de que han vulnerado mis datos?
Si la brecha de seguridad supone un alto riesgo para tus derechos, la organización responsable está obligada a informarte sin dilación indebida. Si no lo hace, esa omisión constituye en sí misma una infracción adicional que puedes denunciar ante la AEPD.
¿Puedo pedir una indemnización por daños causados por una vulneración RGPD?
Sí. La normativa aplicable reconoce el derecho del afectado a obtener reparación por los daños y perjuicios sufridos como consecuencia de la infracción. Esta reclamación de indemnización es independiente del procedimiento sancionador ante la AEPD y puede ejercitarse ante los tribunales civiles.
