La Agencia Española de Protección de Datos (AEPD) mantiene una intensa actividad sancionadora a finales de 2025 y comienzos de 2026, reforzando el mensaje de que el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) no es opcional para ninguna organización o profesional en España.

Sanciones más relevantes del periodo 2025-2026

1. Multa a Aena por reconocimiento facial sin garantías adecuadas

La AEPD impuso más de 10 millones de euros de sanción a Aena por implementar sistemas de reconocimiento facial sin una Evaluación de Impacto en Protección de Datos (EIPD) conforme al art. 35 RGPD.

Puntos clave del caso:

• Tratamiento de datos biométricos, categoría especial de datos.
• Falta de una EIPD completa y documentada.
• Suspensión temporal del uso del sistema.

2. Caso Digi: duplicado fraudulento de tarjeta SIM

La operadora Digi Mobil recibió nuevas sanciones por la emisión de un duplicado de tarjeta SIM sin verificar correctamente la identidad del solicitante.

Lecciones del caso:

• Controles débiles en procesos de autenticación = riesgo alto.
• Impacto directo sobre derechos del titular (acceso a comunicaciones, banca, etc.).
• Necesidad de revisar procedimientos internos de verificación de identidad.

 3. Multa a un particular por generar imágenes falsas con IA

La AEPD impuso una multa de 2.000 euros (reducida a 1.200 por pronto pago) a un particular que difundió imágenes falsas generadas con inteligencia artificial de carácter íntimo. El caso ejemplifica la atención de la Agencia sobre los riesgos de la IA para la privacidad.

Este caso marca un precedente clave sobre la responsabilidad en el uso de herramientas generativas.

La AEPD continúa aplicando sanciones tanto a grandes corporaciones como a autónomos y pequeñas empresas. Desde multas por escaneo de DNI sin base legal hasta sanciones por prácticas comerciales inadecuadas (por ejemplo, llamadas comerciales no consentidas), queda claro que el alcance de la normativa es amplio y la agencia no se limita a casos de gran visibilidad mediática.

Además, el aumento de notificaciones de brechas de seguridad personales —más de 2.700 en 2025— refleja la importancia de tener medidas internas robustas de gestión y respuesta ante incidentes.

Recomendaciones para empresas y profesionales

• Realizar EIPD cuando exista riesgo alto.
• Minimizar la recogida de datos (especialmente DNI).
• Establecer protocolos formalizados de respuesta a brechas.
• Formar al personal en tratamiento seguro de datos.
• Revisar sistemas de IA y proveedores tecnológicos.