Multas y estadísticas de aplicación del RGPD 2026: los datos definitivos sobre protección de datos en la UE
Desde que comenzó su aplicación en mayo de 2018, el Reglamento General de Protección de Datos ha generado más de EUR 4 mil millones en multas, decenas de miles de decisiones de ejecución y más de 130.000 notificaciones de brechas de datos al año. El RGPD sigue siendo la referencia mundial en regulación de protección de datos, y sus datos de aplicación revelan patrones que toda organización que maneje datos personales de la UE debería comprender.
Esta página recopila estadísticas verificadas sobre multas del RGPD, acciones de aplicación, desgloses por países, notificaciones de brechas de datos, costes de cumplimiento y actividad regulatoria. Cada cifra proviene del Comité Europeo de Protección de Datos, autoridades nacionales de protección de datos e informes sectoriales verificados.
Total de multas del RGPD
| Estadística | Fuente |
|---|---|
| Total de multas del RGPD registradas (histórico): aproximadamente EUR 4 mil millones | Privacy Affairs GDPR Fines Tracker |
| Número total de multas individuales registradas: 1.701 | Privacy Affairs GDPR Fines Tracker |
| Total de multas emitidas solo en 2023 (APD del EEE): EUR 1.973.832.107 | EDPB Annual Report 2023, pp. 36-37 |
| Número total de multas emitidas en 2023: 1.763 | EDPB Annual Report 2023, pp. 36-37 |
| Multas derivadas de decisiones vinculantes del EDPB desde 2018: más de EUR 2,5 mil millones | EDPB Annual Report 2023, p. 14 |
| Multas de decisiones vinculantes del EDPB como porcentaje del total: aproximadamente 55% | EDPB Annual Report 2023, p. 14 |
| Multa más pequeña del RGPD jamás registrada: EUR 28 (Hungary, noviembre de 2020) | Privacy Affairs GDPR Fines Tracker |
Las 20 mayores multas del RGPD jamás impuestas
| Rango | Empresa | Importe (EUR) | País/APD | Año | Motivo |
|---|---|---|---|---|---|
| 1 | Meta Platforms (Facebook) | 1.200.000.000 | Ireland (DPC) | 2023 | Transferencia ilícita de datos de usuarios de la UE a EE. UU. mediante cláusulas contractuales tipo |
| 2 | Amazon Europe | 746.000.000 | Luxembourg (CNPD) | 2021 | Incumplimiento del RGPD en relación con publicidad dirigida sin consentimiento adecuado |
| 3 | Meta (Instagram) | 405.000.000 | Ireland (DPC) | 2022 | Tratamiento de datos personales de menores; configuración pública por defecto en cuentas infantiles |
| 4 | Meta (Facebook) | 390.000.000 | Ireland (DPC) | 2023 | Uso del "contrato" como base jurídica para el tratamiento de publicidad comportamental |
| 5 | TikTok Technology | 345.000.000 | Ireland (DPC) | 2023 | Prácticas de diseño desleal dirigidas a menores de 13 a 17 años |
| 6 | Uber | 290.000.000 | Netherlands (AP) | 2024 | Transferencia ilícita de datos personales de conductores europeos a Estados Unidos |
| 7 | Meta (WhatsApp) | 225.000.000 | Ireland (DPC) | 2021 | Falta de transparencia; información inadecuada a usuarios y no usuarios |
| 8 | France (CNIL) - Google LLC | 50.000.000 | France (CNIL) | 2019 | Base jurídica insuficiente; falta de transparencia y consentimiento para la personalización de anuncios |
| 9 | Criteo | 40.000.000 | France (CNIL) | 2023 | Seguimiento de usuarios sin consentimiento válido para publicidad dirigida |
| 10 | H&M | 35.258.708 | Germany (HmbBfDI) | 2020 | Vigilancia extensiva de empleados; registro de detalles de su vida privada |
| 11 | Enel Energia | 26.500.000 | Italy (Garante) | 2021 | Telemarketing agresivo sin consentimiento |
| 12 | British Airways | 22.046.000 | UK (ICO) | 2020 | Medidas de seguridad insuficientes; aproximadamente 500.000 clientes afectados por una brecha de datos |
| 13 | Marriott International | 20.450.000 | UK (ICO) | 2020 | Seguridad insuficiente; 30 millones de registros del EEE expuestos desde 2014 |
| 14 | Clearview AI | 20.000.000 | France (CNIL) | 2022 | Tratamiento ilícito de datos biométricos; recopilación de imágenes faciales sin consentimiento |
| 15 | Clearview AI | 20.000.000 | Italy (Garante) | 2022 | Tratamiento biométrico ilícito (mismas prácticas que en France) |
| 16 | Clearview AI | 20.000.000 | Greece (HDPA) | 2022 | Tratamiento biométrico ilícito (mismas prácticas que en France e Italy) |
| 17 | CaixaBank | 6.000.000 | Spain (AEPD) | 2021 | Tratamiento de datos sin consentimiento válido |
| 18 | Spotify | ~5.000.000 | Sweden (IMY) | 2023 | Vulneración del derecho de acceso de los clientes conforme al artículo 15 del RGPD |
| 19 | Moderna Forsakringar | ~3.000.000 | Sweden (IMY) | 2023 | Falta de garantía de seguridad adecuada; 650.000 registros de clientes accesibles |
| 20 | OPENBANK | 2.500.000 | Spain (AEPD) | 2023 | Falta de comunicación segura para datos financieros |
Fuentes: EDPB Annual Report 2023; Privacy Affairs GDPR Fines Tracker; GDPR Enforcement Tracker (enforcementtracker.com)
Multas del RGPD por país (2023)
La siguiente tabla muestra la actividad sancionadora de cada autoridad de protección de datos del EEE en 2023, basada en datos oficiales reportados al EDPB.
Por importe total de multas (2023)
| Rango | País | Número de multas | Importe total de multas (2023) |
|---|---|---|---|
| 1 | Ireland | 6 | EUR 1.551.782.500 |
| 2 | Netherlands | 8 | EUR 243.160.000 |
| 3 | France | 37 | EUR 79.164.500 |
| 4 | Spain | 367 | EUR 29.817.410 |
| 5 | Italy | 146 | EUR 25.200.000 |
| 6 | Sweden | 11 | EUR 10.780.000 |
| 7 | Germany (todos los Länder) | 469 | EUR 9.743.930 |
| 8 | Norway | 7 | EUR 8.500.000 |
| 9 | Croatia | 28 | EUR 8.266.350 |
| 10 | Denmark | 5 | EUR 2.100.000 |
| 11 | Hungary | 95 | EUR 1.380.334 |
| 12 | Greece | 12 | EUR 636.000 |
| 13 | Iceland | 12 | EUR 537.000 |
| 14 | Finland | 3 | EUR 464.600 |
| 15 | Romania | 68 | EUR 444.622 |
| 16 | Portugal | 48 | EUR 367.450 |
| 17 | Austria | 55 | EUR 254.075 |
| 18 | Poland | 24 | EUR 213.820 |
| 19 | Estonia | 12 | EUR 213.300 |
| 20 | Bulgaria | 93 | EUR 159.931 |
| 21 | Czech Republic | 23 | EUR 140.000 |
| 22 | Slovakia | 47 | EUR 122.665 |
| 23 | Cyprus | 11 | EUR 120.250 |
| 24 | Belgium | 3 | EUR 80.000 |
| 25 | Lithuania | 13 | EUR 64.060 |
| 26 | Slovenia | 77 | EUR 56.910 |
| 27 | Malta | 3 | EUR 32.500 |
| 28 | Latvia | 3 | EUR 22.900 |
| 29 | Luxembourg | 3 | EUR 6.500 |
| 30 | Liechtenstein | 1 | EUR 500 |
| TOTAL | 1.763 | EUR 1.973.832.107 |
Fuente: EDPB Annual Report 2023, pp. 36-37
Clasificación histórica por importe total de multas
| Rango | País | Total de multas (histórico) |
|---|---|---|
| 1 | Ireland | EUR 2.510.165.800 |
| 2 | Luxembourg | EUR 746.312.300 |
| 3 | France | EUR 293.594.300 |
| 4 | Italy | EUR 144.195.096 |
| 5 | United Kingdom | EUR 75.452.800 |
Fuente: Privacy Affairs GDPR Fines Tracker
Clasificación histórica por número de multas
| Rango | País | Número total de multas |
|---|---|---|
| 1 | Spain | 594 |
| 2 | Italy | 244 |
| 3 | Romania | 126 |
| 4 | Germany | 122 |
| 5 | Hungary | 66 |
Fuente: Privacy Affairs GDPR Fines Tracker
Artículos del RGPD más infringidos
Los datos de aplicación revelan patrones consistentes en los artículos del RGPD que se citan con mayor frecuencia en las multas.
| Artículo | Descripción | Patrón de aplicación | Fuente |
|---|---|---|---|
| Art. 5 | Principios del tratamiento (licitud, lealtad, transparencia, limitación de finalidad, minimización de datos) | El más citado en multas en general | Privacy Affairs Tracker; EDPB AR 2023 |
| Art. 6 | Licitud del tratamiento (base jurídica) | Segundo más frecuente - genera muchas multas de alto valor | Privacy Affairs Tracker; enforcementtracker.com |
| Art. 32 | Seguridad del tratamiento | Tercero más frecuente - citado habitualmente en multas relacionadas con brechas | EDPB AR 2023 case digest, p. 34 |
| Art. 13/14 | Obligaciones de información (transparencia) | Muy frecuente en todas las APD | Privacy Affairs Tracker |
| Art. 15 | Derecho de acceso | Frecuente - impulsado por reclamaciones de consumidores (ej., Spotify EUR 5M) | EDPB AR 2023, p. 56 |
| Art. 33/34 | Obligaciones de notificación de brechas | Frecuente en casos relacionados con brechas | EDPB AR 2023 case digest, p. 34 |
| Art. 25 | Protección de datos desde el diseño y por defecto | En aumento - citado en casos como TikTok y similares | EDPB AR 2023, pp. 17-18 |
| Art. 44-49 | Transferencias internacionales (Capítulo V) | Genera las multas de mayor valor (Meta EUR 1.200M) | EDPB AR 2023, p. 16 |
Nota: Las APD a menudo aplican conjuntamente los artículos 32, 33 y 34 en decisiones relacionadas con brechas. El compendio de casos del EDPB de 2023 analizó 90 decisiones del mecanismo de ventanilla única específicamente sobre seguridad del tratamiento y notificación de brechas de datos.
Fuente: EDPB Annual Report 2023; Privacy Affairs Tracker
Acciones de aplicación y reclamaciones del RGPD
Actividad de las APD nacionales (2023)
| País | Reclamaciones recibidas | Investigaciones | Sanciones |
|---|---|---|---|
| Spain | 18.879 | 291 | 367 multas + 266 órdenes de cumplimiento |
| Sweden | 3.553 | 210 | 11 multas |
| Austria | 1.732 | 536 | 55 sanciones |
| Bulgaria | 1.497 | 890 | 93 sanciones |
| Cyprus | 437 | 14 (+11 inspecciones in situ) | 54 decisiones (11 multas) |
| Croatia | 279 | 447 | 28 sanciones |
Fuente: EDPB Annual Report 2023, Sección 3.4, pp. 38-56
Cooperación transfronteriza (2023)
| Indicador | Valor |
|---|---|
| Casos transfronterizos creados en 2023 | 366 |
| Total de procedimientos de ventanilla única (histórico hasta 2023) | 1.023 |
| Decisiones finales de ventanilla única (histórico hasta 2023) | 442 |
| Porcentaje de decisiones de ventanilla única que llegan a resolución de disputas del EDPB | ~1% |
| Total de decisiones vinculantes del EDPB emitidas (histórico) | 11 (incluidas 2 decisiones urgentes del artículo 66) |
| Decisiones vinculantes adoptadas en 2023 | 3 |
| Total de dictámenes de coherencia adoptados (histórico hasta 2023) | 182 |
| Procedimientos facilitados por el sistema IMI en 2023 | 4.580+ |
Fuente: EDPB Annual Report 2023, pp. 14, 16, 19-20, 33
Notificaciones de brechas de datos
| Estadística | Fuente |
|---|---|
| Más de 130.000 notificaciones de brechas de datos en 2023 | DLA Piper GDPR Fines and Data Breach Survey (enero de 2024), ampliamente citado |
| Aproximadamente 120.000 notificaciones de brechas en 2022 | DLA Piper (enero de 2023) |
| El número de notificaciones de brechas ha aumentado cada año desde que comenzó la aplicación del RGPD en mayo de 2018 | Informes anuales de DLA Piper |
Nota: Los totales agregados de notificaciones de brechas de datos a nivel de la UE no son publicados por el EDPB. La encuesta anual de DLA Piper es la fuente principal de datos de notificaciones de brechas entre APD.
Costes de las brechas de datos
IBM Cost of a Data Breach Report 2025
| Estadística | Fuente |
|---|---|
| Coste medio global de una brecha de datos: $4,4 millones USD | IBM Cost of a Data Breach Report 2025 |
| Variación interanual: descenso del 9% (impulsado por una identificación y contención más rápidas) | IBM 2025 |
| Ahorro de costes con herramientas de seguridad con IA: $1,9 millones USD por brecha frente a organizaciones sin IA | IBM 2025 |
| Organizaciones con incidentes de seguridad relacionados con IA pero sin controles de acceso a IA: 97% | IBM 2025 |
| Organizaciones sin políticas de gobernanza de IA: 63% | IBM 2025 |
IBM Cost of a Data Breach Report 2024
| Estadística | Fuente |
|---|---|
| Coste medio global de una brecha de datos: $4,88 millones USD | IBM Cost of a Data Breach Report 2024 |
| Tiempo medio para identificar una brecha: 194 días | IBM 2024 |
| Ciclo de vida medio de una brecha (identificación + contención): 292 días | IBM 2024 |
Multas del RGPD por sector
Los patrones de aplicación muestran que las empresas tecnológicas representan la gran mayoría del valor total de las multas, mientras que ciertas APD nacionales se centran en sectores específicos.
| Sector | Multas destacadas | Problemas principales |
|---|---|---|
| Tecnología/Big Tech | Meta (EUR 1.200M + EUR 405M + EUR 390M + EUR 225M), TikTok (EUR 345M), Google (EUR 50M), Amazon (EUR 746M), Uber (EUR 290M), Criteo (EUR 40M) | Transferencias de datos, consentimiento, transparencia, datos de menores, publicidad comportamental |
| Telecomunicaciones | Múltiples multas en Spain, Italy | Marketing no solicitado, brechas de datos |
| Servicios financieros | CaixaBank (EUR 6M), OPENBANK (EUR 2,5M) | Vulneraciones de consentimiento, fallos de seguridad |
| Comercio minorista | H&M (EUR 35,3M) | Vigilancia de empleados |
| Energía | Enel Energia (EUR 26,5M) | Telemarketing agresivo |
| Sector público | Diversos municipios y entidades gubernamentales | Videovigilancia, retención de datos, transparencia |
| Sanidad | Diversos hospitales (Netherlands, Portugal) | Acceso a historiales de pacientes, seguridad |
Meta por sí sola representa más de EUR 2.200 millones en multas acumuladas del RGPD, más de la mitad del total jamás impuesto.
La AEPD de Spain, la APD más activa por volumen (367 multas en 2023), se dirige principalmente a empresas de telecomunicaciones, servicios financieros y pequeñas empresas por infracciones de marketing directo.
Recursos y presupuestos de las APD
La encuesta del EDPB de 2023 sobre las autoridades de protección de datos revela una brecha significativa entre la ambición regulatoria y los recursos de aplicación.
| Estadística | Fuente |
|---|---|
| APD que afirman que su presupuesto NO es suficiente: 75% (21 de 28 APD) | EDPB Annual Report 2023, p. 57 |
| APD que afirman que su personal NO es suficiente: 89% (25 de 28 APD) | EDPB Annual Report 2023, p. 57 |
| APD con los mismos niveles de personal que en 2022 a pesar del aumento de la carga de trabajo: 7 APD | EDPB Annual Report 2023, p. 57 |
| Presupuesto del EDPB (2023): EUR 7,67 millones | EDPB Annual Report 2023, p. 10 |
| Personal de la Secretaría del EDPB: 46 | EDPB Annual Report 2023, p. 9 |
| Grupo de apoyo de expertos del EDPB: aproximadamente 500 en lista de reserva | EDPB Annual Report 2023, p. 31 |
Actividad de los DPD (Delegados de Protección de Datos)
La acción coordinada de aplicación del EDPB de 2023 se centró específicamente en los delegados de protección de datos, produciendo la mayor encuesta transnacional sobre DPD realizada hasta la fecha.
| Estadística | Fuente |
|---|---|
| APD participantes en la acción de aplicación sobre DPD: 25 en todo el EEE | EDPB Annual Report 2023, p. 30 |
| Respuestas recibidas de DPD y organizaciones: más de 17.000 | EDPB Annual Report 2023, p. 30 |
| Base de usuarios del HUB del EDPB: más de 1.400 miembros | EDPB Annual Report 2023, p. 11 |
Marco sancionador del RGPD
| Nivel | Multa máxima | Se aplica a |
|---|---|---|
| Nivel superior | EUR 20.000.000 o el 4% del volumen de negocio anual global (lo que sea mayor) | Vulneraciones de los principios del tratamiento, condiciones del consentimiento, derechos de los interesados, transferencias internacionales |
| Nivel inferior | EUR 10.000.000 o el 2% del volumen de negocio anual global (lo que sea mayor) | Vulneraciones de las obligaciones del responsable/encargado, obligaciones de los organismos de certificación, obligaciones de los organismos de supervisión |
Fuente: Artículos 83(4) y 83(5) del RGPD
Fechas clave y cronología del RGPD
| Fecha | Evento |
|---|---|
| 14 de abril de 2016 | El Parlamento Europeo aprobó el RGPD |
| 4 de mayo de 2016 | El RGPD se publicó en el Diario Oficial |
| 25 de mayo de 2018 | El RGPD entró en vigor (comenzó la aplicación) |
| Enero de 2020 | Primera oleada de grandes multas (Google EUR 50M en 2019, H&M EUR 35M en 2020) |
| Julio de 2021 | Multa de EUR 746M a Amazon (la mayor hasta Meta en 2023) |
| Mayo de 2023 | Multa de EUR 1.200M a Meta (la mayor multa del RGPD jamás impuesta) |
| Julio de 2023 | Adopción de la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU. |
| 2023 | Año récord: EUR 1.970 millones en multas, 1.763 multas individuales |
Preguntas frecuentes
P: ¿Cuánto dinero se ha recaudado en multas del RGPD?
R: A principios de 2026, se han impuesto aproximadamente EUR 4 mil millones en multas del RGPD desde que comenzó la aplicación en mayo de 2018. Solo en 2023, las autoridades de protección de datos del EEE emitieron EUR 1.970 millones en multas en 1.763 decisiones individuales. Sin embargo, es importante señalar que "impuesto" no siempre significa "cobrado": muchas de las grandes multas están sujetas a recursos legales en curso.
P: ¿Cuál es la mayor multa del RGPD jamás impuesta?
R: La mayor multa del RGPD es de EUR 1.200 millones, impuesta a Meta Platforms (Facebook) por la Comisión de Protección de Datos de Ireland en mayo de 2023 por la transferencia ilícita de datos de usuarios de la UE a Estados Unidos. Esta multa superó el récord anterior de EUR 746 millones contra Amazon por Luxembourg en 2021.
P: ¿Qué país impone más multas del RGPD?
R: Por número de multas, Spain es el ejecutor más activo con 594 multas en total (367 solo en 2023), seguida de Italy (244), Romania (126), Germany (122) y Hungary (66). Sin embargo, por valor total de multas, Ireland lidera con EUR 2.510 millones debido a las grandes sanciones contra empresas Big Tech con sede allí, seguida de Luxembourg (EUR 746M) y France (EUR 294M).
P: ¿Cuántas notificaciones de brechas de datos hay al año?
R: Según la encuesta anual de DLA Piper, se presentaron más de 130.000 notificaciones de brechas de datos en toda la UE/EEE en 2023, frente a las aproximadamente 120.000 de 2022. El número ha aumentado cada año desde que comenzó la aplicación del RGPD.
P: ¿Cuánto cuesta de media una brecha de datos?
R: Según el informe IBM Cost of a Data Breach Report 2025, el coste medio global de una brecha de datos es de $4,4 millones USD. Las organizaciones que utilizan herramientas de seguridad con IA ahorran aproximadamente $1,9 millones por brecha en comparación con las que no disponen de IA. El tiempo medio para identificar una brecha es de 194 días, con un ciclo de vida total de 292 días.
P: ¿Qué artículos del RGPD se infringen con más frecuencia?
R: El artículo 5 (principios del tratamiento) es el artículo más citado en las multas del RGPD, seguido del artículo 6 (licitud del tratamiento) y el artículo 32 (seguridad del tratamiento). Las multas de mayor valor suelen involucrar vulneraciones de los artículos 44-49 relacionadas con transferencias internacionales de datos.
P: ¿Son suficientes los presupuestos de las APD para la aplicación?
R: No. Según la encuesta del EDPB de 2023, el 75% de las autoridades de protección de datos afirma que su presupuesto es insuficiente y el 89% que su dotación de personal es insuficiente. Siete APD mantuvieron los mismos niveles de personal que el año anterior a pesar del aumento de la carga de trabajo.
Todas las estadísticas de esta página provienen de organismos oficiales de protección de datos de la UE e informes sectoriales verificados. Las fuentes principales incluyen el EDPB Annual Report 2023, Privacy Affairs GDPR Fines Tracker, GDPR Enforcement Tracker (enforcementtracker.com), IBM Cost of a Data Breach Reports (2024, 2025), DLA Piper GDPR Fines and Data Breach Surveys e informes anuales de las APD nacionales. Esta página se actualiza periódicamente a medida que se dispone de nuevos datos de aplicación.
Última actualización: marzo de 2026