Las multas por el Reglamento General de Protección de Datos siguen aumentando a medida que los reguladores europeos endurecen su respuesta a los incidentes relacionados con los datos. Según el Rastreador de Cumplimiento del RGPD, las empresas incurrieron en más de 330 multas en 2025. El bufete de abogados DLA Piper afirma que ascendieron a 1.2 millones de euros.
La empresa de redes sociales TikTok recibió la mayor multa por RGPD de 2025. Impuesta en Irlanda, la multa de 530 millones de euros se refería a la compartición de datos de usuarios europeos con personal radicado en China. El año pasado, la autoridad de control de datos de Luxemburgo también confirmó una multa de 746 millones de euros impuesta en 2021 por RGPD contra Amazon tras recopilar datos de usuarios con fines publicitarios sin su consentimiento. La apelación de Amazon fue rechazada, lo que sugiere que los organismos europeos de control de la protección de datos se toman en serio la aplicación del RGPD.
La continua prevalencia de las multas del RGPD se puede atribuir a un aumento récord en las notificaciones de vulneraciones de datos, que las empresas deben emitir en un plazo de 72 horas tras un incidente. DLA Piper descubrió que, en 2025, estas notificaciones alcanzaron las 400 diarias por primera vez desde la implementación del RGPD en 2018. Entre enero de 2024 y enero de 2026, superaron las 443, un 22 % más que las 363 anteriores. DLA Piper atribuye esto a la piratería informática impulsada por la inestabilidad geopolítica global, la mayor cobertura mediática de los ciberdelitos y la aparición de leyes y normas sobre vulneraciones de datos que exigen la notificación de incidentes.
Es evidente que los reguladores de protección de datos no están dispuestos a ignorar las infracciones del RGPD ahora que la ley lleva ocho años en vigor. Sin embargo, dado que los datos son el elemento vital de las organizaciones modernas y que las multas del RGPD no solo suponen un riesgo financiero, sino un perjuicio más amplio para las empresas, ¿qué pueden hacer para cumplir?
Los reguladores están tomando medidas enérgicas
Una de las principales razones detrás de la reciente ola de multas por GDPR es que los reguladores creen que las empresas han tenido tiempo más que suficiente para comprender la ley y ponerla en práctica, según Lucas von Stockhausen, director ejecutivo de ingeniería de seguridad de la empresa de seguridad de aplicaciones Black Duck.
Explica a IO que las autoridades de protección de datos están hartas de las excusas que utilizan las empresas que incumplen y ahora se centran en exigirles responsabilidades. Ignorar esto podría resultar en sanciones sustanciales para las empresas, con los reguladores capaces de imponer multas de hasta 20 millones de euros o el 4 % de los ingresos anuales globales por las infracciones más graves.
A pesar de que los reguladores siguen tomando medidas drásticas contra las infracciones del RGPD mediante la imposición de multas, muchas empresas siguen siendo ajenas a este hecho. Jake Moore, asesor global de ciberseguridad del fabricante de software antivirus ESET, afirma que la protección de datos es un simple requisito para muchas organizaciones, cuando en realidad debería estar integrada en todas las áreas de una empresa moderna.
Afirma que esto da lugar a controles de acceso deficientes y a la imposibilidad de recordar la ubicación de datos sensibles. En consecuencia, los datos pueden caer fácilmente en manos de terceros no autorizados, y si las empresas no están seguras de dónde almacenaron un dato en particular, tendrán dificultades para atender las solicitudes de eliminación. Estos problemas exponen a las empresas a multas por incumplimiento del RGPD.
Pero el incumplimiento del RGPD no solo expone a las empresas a multas costosas, sino que puede perjudicar todos los aspectos de sus operaciones. Jo Brianti, especialista en protección de datos, afirma que las tareas de limpieza pueden provocar interrupciones operativas cuando los ejecutivos tienen que dedicar sus ya apretadas agendas a estas tareas. Los ejecutivos podrían incluso ser responsables de multas si conocieran las fallas del RGPD y no intervinieran, añade.
Ella dice que descuidar el RGPD también puede dañar la reputación de las empresas, exponerlas a costosas demandas iniciadas por los clientes afectados, dificultar que las empresas operen en diferentes mercados al interrumpir las "obligaciones de la plataforma y los flujos de datos transfronterizos" y aparecer en los informes de diligencia debida, lo que lleva a una pérdida de ventas y otras oportunidades comerciales.
La IA está cambiando el campo de juego
La creciente adopción de tecnología de inteligencia artificial por parte de las empresas también contribuye al aumento de las multas impuestas por el RGPD. Dado que la IA se entrena con grandes conjuntos de datos para funcionar y mejorar con el tiempo, el riesgo de fugas de datos y la consiguiente aplicación de medidas regulatorias es considerable.
Y dado que muchas empresas utilizan sistemas de IA desarrollados por proveedores de tecnología externos, no siempre tienen control sobre cómo se almacenan y protegen los datos que introducen en estas aplicaciones. Según von Stockhausen, de Black Duck, esto significa que existe un riesgo real de exposición involuntaria de datos y la consiguiente aplicación del RGPD.
Le comenta a IO: “Las mejoras en la eficiencia pueden ser enormes, pero desde la perspectiva del RGPD, el riesgo central es claro: las organizaciones deben poder garantizar que los resultados de la IA no revelen datos personales”.
En lo que respecta a la seguridad de los sistemas de IA y los datos que los sustentan, no solo se espera que las empresas cumplan las directrices del RGPD. También existe un creciente panorama legislativo dedicado a la IA. Es fácil para las empresas tratar el RGPD y el cumplimiento de la IA como entidades separadas, pero esto podría resultar contradictorio.
Moore, de ESET, explica que, dado que la privacidad de datos y la gobernanza de la IA utilizan conjuntos de datos idénticos, es mejor para las empresas "tratarlos como una sola disciplina con una propiedad clara". Esto puede resultar en cargas de trabajo simplificadas y sin duplicación de tareas, lo que reduce la probabilidad de que los empleados descuiden los datos. Moore afirma que esto puede resultar en menos multas para las empresas.
Brianti también cree firmemente en un enfoque integrado para la gobernanza de datos y TI, y explica que los reguladores están integrando el RGPD en un paquete digital más amplio. Utiliza como ejemplos la Ley de Servicios Digitales y Mercados Digitales de la UE y las actualizaciones de las leyes vigentes relacionadas con los datos y la IA.
Según Brianti, el incumplimiento de cualquiera de estas leyes puede tener consecuencias en múltiples marcos regulatorios. En declaraciones a IO, afirma: «Esto convierte al RGPD de un silo legal en un riesgo estratégico que afecta al gobierno corporativo, los perfiles de riesgo de los inversores, la debida diligencia en las adquisiciones y la gestión de la reputación».
Lograr el cumplimiento correcto
A medida que los reguladores continúan aplicando el RGPD, von Stockhausen de Black Duck dice que su principal expectativa es que las empresas hayan implementado una estrategia de privacidad de datos "clara" que explique las razones detrás de la recopilación de datos personales, si los datos son realmente necesarios y sus métodos de almacenamiento y protección de datos.
“Los reguladores buscan empresas que gestionen la información personal de forma deliberada, responsable y con una clara comprensión de los riesgos”, afirma. “Quienes no lo hacen se ven cada vez más bajo escrutinio”.
Pero afirma que la manera más importante de cumplir con el RGPD es estar constantemente alerta ante los riesgos de privacidad y seguridad de los datos. Para ello, afirma que las empresas deben implementar salvaguardas demostrables, monitorear constantemente las amenazas que plantean las nuevas tecnologías y adaptar sus estrategias de privacidad de datos en consecuencia.
Para las empresas que no saben por dónde empezar, Brianti recomienda integrar las mejores prácticas descritas en los estándares y marcos profesionales en sus procesos cotidianos para cumplir con requisitos regulatorios como el RGPD. Afirma que la norma ISO 27001 es excelente para gestionar problemas relacionados con la seguridad de la información y la ISO 27701 para la privacidad. Cyber Essentials y NIST 800-53 son otras dos de sus recomendaciones principales.
Otras recomendaciones de Brianti para garantizar el cumplimiento del RGPD incluyen: registrar la ubicación de los datos personales y la forma en que se procesan en un inventario; adoptar principios de privacidad por diseño para que los productos siempre sean seguros para los datos; definir roles y responsabilidades relacionados con la privacidad de los datos; educar al personal sobre la importancia de la privacidad de los datos; documentar todas las decisiones tomadas sobre la privacidad de los datos; determinar los riesgos de los datos a través de evaluaciones de impacto; mantener estas evaluaciones y todo lo relacionado con los datos en un solo entorno; y garantizar que todas las actividades de respuesta a incidentes estén alineadas.
Es fácil pensar que el incumplimiento del RGPD se reduce a pagar una multa y seguir adelante. Pero eso es solo una ilusión. La aplicación del RGPD puede suponer un duro golpe para las operaciones y el crecimiento empresarial. Por eso debería tratarse como una prioridad estratégica, en lugar de un simple trámite para complacer a los burócratas. Y cuando el cumplimiento del RGPD se alinea con otras actividades de gobernanza relacionadas con TI, las empresas pueden tener la seguridad de que mantendrán a los reguladores satisfechos y se protegerán de un panorama de ciberamenazas en constante evolución.
