¿Qué es la AEPD y cómo actúa frente a una pyme española?
Agencia Española de Protección de Datos: su papel, qué inspecciona, cómo se inicia un expediente sancionador y qué se puede esperar en un procedimiento real.
Actualizado mayo 2026
AEPD: autoridad independiente que vigila el cumplimiento del RGPD en España.
La AEPD (Agencia Española de Protección de Datos) es la autoridad pública independiente encargada de velar por el cumplimiento de la normativa de protección de datos personales en España. Fue creada en 1993 y opera con autonomía respecto al Gobierno. Su sede está en Madrid y aplica el RGPD y la LOPDGDD.
Sus competencias incluyen tres bloques principales: investigar denuncias de ciudadanos y de oficio, sancionar a organizaciones que incumplan, y orientar y prevenir mediante guías, formularios y consultas. Publica resoluciones de sanciones, criterios interpretativos y modelos de documentos. Su web aepd.es es referencia obligada para cualquier responsable de cumplimiento.
La AEPD se autofinancia parcialmente con las sanciones que impone. En los últimos años ha sido una de las autoridades europeas más activas: en 2024 superó los 50 millones de euros recaudados en sanciones, con casos contra grandes (Iberdrola, Vodafone, BBVA) pero también una proporción creciente de pymes y autónomos sancionados. Cada año publica memoria con datos.
Para una pyme española en 2026, la AEPD es quien decide si tu banner de cookies cumple, si tu política de privacidad es válida, si tu newsletter respeta consentimientos. La mayoría de procedimientos sancionadores se inician por denuncia de un usuario, ex-empleado o competidor — pocas inspecciones son de oficio en pymes pequeñas. Conocer cómo funciona el procedimiento te ayuda a no caer en errores típicos.
Cómo se desarrolla un expediente sancionador AEPD
Pasos reales si una pyme recibe una notificación. Lo que sigue, en orden.
Denuncia o actuación de oficio
Ciudadano, ex-empleado o competidor presenta reclamación a través de la sede electrónica AEPD. La agencia evalúa si tiene fundamento mínimo antes de abrir expediente. Fase: 1-3 meses.
Actuaciones previas de investigación
AEPD pide información a la pyme: política de privacidad, registro de tratamientos, contratos con encargados, evidencias del consentimiento. Plazo para responder: 10 días hábiles. Crítico: contestar bien y a tiempo.
Acuerdo de inicio del procedimiento
Si AEPD detecta indicios suficientes, abre formalmente procedimiento sancionador. Notifica los hechos, infracciones imputadas y propuesta de sanción. La pyme tiene 10 días para alegar.
Propuesta de resolución y resolución final
AEPD valora alegaciones, formula propuesta de resolución (otros 10 días para alegar), y emite resolución final con sanción o archivo. Plazo total: 9-12 meses desde inicio. Recurso ante Audiencia Nacional posible.
Seis materias donde AEPD más sanciona a pymes en 2024-2026
Patrones recurrentes en las resoluciones publicadas. No teoría: realidad.
Cookies sin consentimiento
Más del 30% de sanciones recientes a pymes tienen que ver con cookies: banners con patrones oscuros, cookies que cargan antes del consentimiento, falta de botón "Rechazar" equivalente. Multa típica: 2.000-30.000 €.
Brechas de seguridad no notificadas
Ransomware o leak con datos personales no notificado a AEPD en 72h. La multa se agrava por falta de notificación más que por la brecha en sí. Empresas que avisan y colaboran reducen sanción.
Videovigilancia mal hecha
Cámaras grabando vía pública desde negocio, falta de cartel informativo, grabaciones conservadas más de 30 días. Sanciones desde 1.500 €. Frecuente en hostelería y comercio.
Falta de respuesta a derechos
Usuario ejerce derecho de supresión (RGPD art. 17) y la empresa no responde en 30 días. Sanción casi automática (3.000-15.000 €). La AEPD da prioridad a denuncias de este tipo.
Spam y marketing sin consentimiento
Newsletter a contactos sin opt-in verificable, llamadas comerciales a líneas en Lista Robinson, SMS no solicitados. Multas escalan rápido en reincidentes. Casos típicos: 5.000-60.000 €.
Política de privacidad ausente o copiada
Web sin política, política copiada de plantilla sin adaptar, falta de información sobre destinatarios o transferencias internacionales (servidores en EEUU). Multa frecuente: 1.000-10.000 €.
Cinco cosas que NUNCA debes hacer al recibir comunicación AEPD
No ignorar el primer requerimiento
AEPD da 10 días hábiles para responder. Pasar del plazo agrava sanción y se imputa "falta de colaboración". Aunque no tengas todo, responde dentro de plazo, aunque sea para pedir aclaraciones.
No mentir ni ocultar información
AEPD cruza datos con AEAT, Seguridad Social, registros públicos. Si dices que no tratabas un dato y se demuestra que sí, agravante grave. Mejor admitir errores y mostrar voluntad de corregir.
No actuar sin asesoramiento legal
Cualquier procedimiento sancionador AEPD requiere abogado especialista en protección de datos. Coste 1.500-5.000 € para procedimientos típicos. Sale rentable frente a sanciones que pueden multiplicar ese coste.
No firmar reconocimiento de hechos sin valorar
AEPD ofrece a veces "reducción de sanción por reconocimiento". Antes de firmar, valorar con abogado: hay reducción del 20% solo si pagas inmediatamente, pero implica reconocer infracción y aparecer en resoluciones públicas.
No esperar a ser sancionado para arreglar
Si tras requerimiento descubres incumplimientos, arréglalos YA (antes de la resolución). AEPD valora medidas correctoras adoptadas durante el procedimiento. Puede reducir o evitar sanción.
AEPD en el ecosistema regulatorio español y europeo.
La AEPD aplica principalmente el RGPD y la LOPDGDD. También supervisa el cumplimiento de la LSSI (comercio electrónico, cookies) y desde 2024-2025 colabora con AESIA (Agencia Española de Supervisión de IA) para temas de inteligencia artificial regulada por el AI Act.
A nivel europeo, la AEPD forma parte del EDPB (European Data Protection Board), donde se coordinan las autoridades de los 27 países UE. Las decisiones del EDPB marcan criterios que la AEPD aplica en España. Por eso resoluciones de la CNIL francesa o la DPC irlandesa influyen indirectamente en lo que hace la AEPD.
Cuando una pyme firma un DPA con un proveedor SaaS internacional, sigue siendo responsable ante la AEPD del correcto tratamiento de los datos. AEPD ha sancionado pymes por brechas en proveedores con los que ni siquiera había DPA firmado. Documentar la cadena de tratamiento es protección directa.
Para reducir riesgo AEPD, en Magnetia trabajamos cumplimiento como parte de los proyectos de CRO web y generación de leads: tracking legal, banner Consent Mode v2 correcto, formularios con consentimiento granular. Para procedimientos sancionadores derivamos a abogado de privacidad.
Dudas que nos hacéis llegar
¿Sabes cuál es tu exposición real frente a AEPD?
Diagnóstico rápido: revisamos web, formularios, banner de cookies y tracking. Te entregamos lista priorizada de riesgos AEPD y plan de mitigación. Sin venderte producto que no necesitas.