La Agencia Española de Protección de Datos ha publicado su Memoria Anual 2025, y entre sus páginas más reveladoras figuran las dedicadas a la potestad de supervisión: el relato numérico de cómo se ejerce el poder sancionador del Estado en materia de privacidad.

Y uno se pregunta ¿Está el sistema calibrado para proteger al ciudadano o está generando una carga regulatoria que penaliza sobre todo a la empresa española mediana y pequeña?

Las páginas de supervisión de la Memoria reflejan un aparato en plena expansión. La AEPD gestionó en 2025 cerca de 50.000 consultas individuales de ciudadanos, respondió a 429 consultas de Delegados de Protección de Datos, tramitó 20 consultas previas del artículo 36 del RGPD y recibió 2.765 notificaciones de brechas de seguridad.

A esto se suma la tramitación de 30.931 reclamaciones presentadas ante la AEPD y 1.118 casos transfronterizos procedentes de otras Autoridades de otros países de la Unión. Esta cifra es preciso tomarla en relación con las cifras del año pasado y que ascendían a 18.855 y 825 respectivamente, es decir, casi el doble en porcentaje que el año pasado mostrando un incremento significativo de la actuación sancionadora de la institución.

Además el número de sanciones se ha incrementado un 16% en 2025 mientras que el importe de las sanciones ha crecido en el mismo año un 35% mostrando cómo la voracidad de la administración ha encontrado un filón de recaudación alcanzando ya casi los 50 millones de euros al año siendo la multa más alta en dicho ejercicio en torno a los 10 millones de euros impuesta a AENA.

La realidad del modelo por otro lado demuestra que el sistema sanciona con más facilidad a quienes tienen domicilio en España, contabilidad en España y representantes localizables: las empresas españolas.

Las grandes plataformas tecnológicas —Meta, Google, TikTok, Amazon— defendidas por legiones de abogados tienen establecida su sede europea mayoritariamente en Irlanda, lo que las somete a la supervisión de la autoridad irlandesa de protección de datos bajo el mecanismo de ventanilla única del RGPD.

La AEPD puede intervenir como autoridad interesada, pero no como autoridad principal. El resultado es bien conocido: los procedimientos transfronterizos son lentos, las resoluciones tardan años y las multas, cuando llegan, las pagan empresas con capitalizaciones bursátiles de varios billones de dólares.

El contraste es llamativo. Una pyme española que gestiona mal su lista de clientes puede recibir una sanción que le resulte materialmente significativa en cuestión de meses. Meta puede estar bajo investigación durante tres o cuatro años, y cuando llegue la multa —aunque sea de decenas de millones— no tendrá impacto equivalente en sus cuentas de resultados. Eso no es igualdad ante la ley; es una asimetría estructural que la arquitectura del RGPD todavía no ha resuelto.

Más allá de las sanciones efectivas, existe una carga que la Memoria no cuantifica pero que cualquier asesor jurídico conoce bien: el coste del cumplimiento preventivo. Las empresas que actúan con diligencia —contratan DPD, realizan evaluaciones de impacto, forman a su personal, revisan contratos con encargados del tratamiento— invierten recursos significativos en evitar sanciones. Ese coste no aparece en ninguna estadística de la AEPD, pero es real y recae enteramente sobre los operadores cumplidores.

Casi la mitad de las empresas que acudieron a la Agencia buscando orientación antes de implementar un tratamiento de alto riesgo llegaron con una comprensión incorrecta del procedimiento. No porque sean negligentes, sino porque el sistema es genuinamente complejo y los recursos de orientación para operadores de tamaño medio siguen siendo insuficientes.

El debate no es si debe haber protección de datos. Debe haberla, y robusta. Los 200 millones de afectados por brechas en 2025 son una cifra que habla por sí sola sobre la magnitud de los riesgos reales. El debate es sobre la distribución de la carga y la proporcionalidad del sistema.

Tres cambios sistémicos merecerían consideración.

  • Primero, una modulación más explícita de las sanciones en función del tamaño del infractor: no es lo mismo una multa de 50.000 euros para una pyme de diez empleados que para un banco con 20.000 trabajadores. El RGPD permite esa modulación, pero no se aplica con suficiente consistencia.
  • Segundo, una mayor agilidad en la resolución de procedimientos transfronterizos, para que el mecanismo de ventanilla única no se convierta de facto en un escudo para las grandes plataformas.
  • Tercero, una inversión sostenida en orientación preventiva para pequeños operadores, que es precisamente lo que la AEPD dice querer hacer en su Plan Estratégico 2025-2030, pero para lo que reconoce no tener recursos suficientes.

Esa es, en definitiva, la paradoja que la Memoria 2025 refleja entre líneas: el sistema quiere hacer más de lo que puede ante una normativa compleja y difícil, y quien sufre las consecuencias de esa brecha son, a menudo, las pymes españolas.