Las multas de protección de datos en España en 2025 a examen
Las brechas de datos a causa de incidentes de seguridad están detrás de muchas de las multas de protección de datos en España en 2025
En los últimos años, se ha hablado tanto de la protección de datos que para algunas empresas se ha convertido en un significante vacío. De hecho, muchos negocios creen que solo deben realizar actuaciones básicas para cumplir con la normativa de protección de datos (RGPD y LOPD) como recabar el consentimiento para meter a clientes en un grupo de WhatsApp, enviarles comunicaciones comerciales por email o realizar llamadas telefónicas de índole comercial.
Sin embargo, las exigencias del Reglamento General de Protección de Datos (RGPD) van mucho más allá e incluyen cuestiones como el establecimiento de mecanismos de protección de la información privada ante los ciberataques.
Tal es así que todas las semanas la Agencia Española de Protección de Datos (AEPD) impone multas a empresas de todos los sectores y tamaños.
¿Cuáles son las mayores multas de protección de datos en España en 2025? ¿Qué lecciones podemos extraer de estas sanciones? ¿Por qué es importante que las pequeñas y medianas empresas tomen nota de los errores de las grandes compañías?
Casi 1,5 millones a 26 entidades del Grupo Caja Rural
El 12 de diciembre de 2022, los servicios informáticos del Grupo Caja Rural notificaron una brecha de datos personales que afectó a 19 entidades del grupo. En los días posteriores, otras 7 entidades del Grupo Caja Rural emitieron notificaciones sobre dicha brecha.
Según la AEPD, esta brecha de datos implicó una vulneración del artículo 5.1.f) del RGPD. Dicho precepto establece que los responsables del tratamiento de datos personales deben implementar medidas técnicas y organizativas apropiadas para garantizar la integridad y confidencialidad de los datos y que estos no sufren un tratamiento no autorizado o ilícito.
Por lo tanto, en este caso al igual que pasa con otras de las mayores multas de protección de datos en España en 2025, la AEPD estimó que las medidas implementadas para evitar brechas de datos no eran lo suficientemente sólida.
La AEPD decidió imponer una multa distinta a cada un de las entidades afectadas:
- Caja Rural de Jaén, Barcelona y Madrid: 500.000€
- Caja Rural de Salamanca: 250.000€
- Caja Rural de Extremadura: 110.000€
- Caja Rural de Albacete, Ciudad Real y Cuenca: 100.000€
- Caja Rural de Gijón: 95.000€
- Caja Rural Central: 90.000€
- Cajasiete: 55.000€
- Caixa Popular: 35.000€
- Caja Rural del Sur: 20.000€
- Caixa Rural D’Algemesí: 15.000€
- Caja Rural de Aragón: 15.000€
- Caja Rural de Asturias: 15.000€
- Caja Rural de Burgos: 15.000€
- Caja Rural de Granada: 15.000€
- Caixa Rural de La Vall San Isidro: 15.000€
- Caja Rural de Onda: 15.000€
- Caja Rural Regional San Agustín: 15.000€
- Caja Rural de Soria: 15.000€
- Caja Rural de Teruel: 15.000€
- Caja Rural de Zamora: 15.000€
- Caja Rural de Navarra: 14.845€
- Caja Rural de Baena: 10.000€
- Caixa Rural de Benicarló: 10.000€
- Caja Rural Nuestra Madre del Sol: 10.000€
- Caja Rural Nuestra Señora del Rosario: 10.000€
- Banco Cooperativo Español: 6.159€
La suma de todas estas sanciones arroja un importe de 1.481.004 euros. Al igual que sucede con otras multas de protección de datos en España en 2025, las entidades del Grupo Caja Rural aceptaron realizar el pago voluntario de las sanciones, por lo que su cuantía se rebajó en un 20%.
1,2 millones de euros a Orange
Una de las técnicas más peligrosas usadas por los ciberdelincuentes en los últimos años es el SIM Swapping. ¿En qué consiste esta técnica? Los malos suplantan la identidad de clientes de compañías de telecomunicaciones para conseguir duplicados de sus tarjetas SIM. ¿Con qué fin? Recibir los SMS o llamadas de verificación para acceder a cuentas bancarias online u otras aplicaciones sensibles como puede ser un gestor de email o un programa de gestión empresarial.
Pues bien, Orange forma parte del listado de multas de protección de datos en España en 2025 más importantes por culpa del SIM Swapping.
Un cliente de esta multinacional de las telecomunicaciones interpuso una reclamación ante la AEPD en noviembre de 2022, en la que denunciaba que en una tienda física de Orange se había realizado un duplicado de su SIM sin haber verificado su identidad, ni haber solicitado su DNI. El resultado de esta operación fue un fraude bancario de 9.000 euros.
Orange culpó de lo sucedido a dos dependientes de la tienda, que habían actuado de manera delictiva, vulnerando los protocolos internos y realizando el duplicado ilegítimo de la SIM.
Sin embargo, la AEPD ha decidido imponerle una de las mayores multas de protección de datos en España en 2025 por no haber implementado las medidas adecuadas para prevenir el SIM Swapping.
Así, al AEPD ha sancionado a Orange con:
- Una multa de 1 millón de euros por infringir el artículo 6 del RGPD, en el que se recogen las condiciones que deben darse para que el tratamiento de datos sea lícito.
- Una multa de 200.000 euros por vulnerar el artículo 25 del RGPD, en el que se estipula que el responsable del tratamiento de datos debe implementar las medidas técnicas y organizativas adecuadas para garantizar la salvaguardia de los datos. Dicho artículo establece explícitamente que estas medidas deben garantizar que «los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas».
Además, la agencia ha ordenado a Orange que en el plazo de 6 meses le informe sobre las medidas que haya adoptado para garantizar que solo el titular de una SIM puede obtener un duplicado de la misma.
1 millón de euros a Ibermutua
Otra de las multas de protección de datos en España en 2025 a la que debemos prestarle atención es la que recibió Ibermutua, una de las mutuas colaboradoras con la Seguridad Social en nuestro país.
¿Qué sucedió? Por un error de programación en el envío de notificaciones a través de Ibermutua Digital. Esta plataforma es empleada por Ibermutua para digitalizar la gestión de trámites relacionados con las prestaciones a cargo de la entidad a asesorías y empresas. ¿Cuál fue la consecuencia del error? Se enviaron datos personales de 3.395 personas a 354 empresas y asesorías sin relación con ellas. Lo que implicaba que carecían de la habilitación necesaria para acceder a esta información.
¿De qué información hablamos? Datos tan sensibles como el tipo de contingencia de una baja, el inicio de la misma, si se trata de una accidente laboral, días previstos de baja o coste total de esta.
La AEPD dictaminó que Ibermutua había infringido el artículo 5.1.f) del RGPD. Dicho precepto establece que las empresas deben tratar los datos personales de tal forma que se garantice una seguridad adecuada de los mismos. Dentro de esta seguridad adecuada se incluyen el tratamiento no autorizado y el daño accidental.
Por eso, se estableció una sanción de 1 millón de euros que, finalmente, quedó rebajada a 600.000 euros porque Ibermutua reconoció su responsabilidad y abonó la multa de manera voluntaria.
Además, Ibermutua está obligada, en el plazo de 3 meses, a implementar las medidas necesarias para que se produzcan nuevas brechas de datos a través del envío de comunicaciones
La ciberseguridad es clave a la hora de evitar multas de protección de datos en España en 2025
¿Qué conclusiones podemos extraer de las principales multas de protección de datos en España en 2025? En primer lugar, que ningún sector económico está a salvo. En segundo lugar, que la ciberseguridad juega un papel crítico en la protección de los datos personales que manejan las empresas.
Así, uno de los principales motivos por los que se imponen multas de protección de datos en España en 2025 es la falta de medidas de seguridad y mecanismos de salvaguardia de la información lo suficientemente robustos.
En un mundo plenamente digitalizado como el actual, las empresas almacenan datos privados de clientes, trabajadores y proveedores que pueden verse expuestos de manera accidental o ser obtenidos mediante ciberataques que exploten vulnerabilidades en la infraestructura tecnológica de los negocios.
Por eso, para evitar las brechas de datos personales, fallos en las aplicaciones web o móviles o el éxito de técnicas como el SIM Swapping es fundamental que los negocios realicen auditorías de seguridad recurrentes y hagan una gestión de vulnerabilidades continua para prevenir los incidentes de seguridad.
Comparativa entre las multas de protección de datos en España en 2025 y 2024
Si echamos la vista atrás y contemplamos las multas de protección de datos en España en 2024 más relevantes, podemos constatar en un solo vistazo que hubo un sector especialmente afectado por las sanciones: el de la energía. Así, compañías como Endesa, Enérgya-VM, i-DE Redes Eléctricas Inteligentes o Iberdrola recibieron sanciones millonarias el año pasado.
En cambio, en el ranking de multas de protección de datos en España en 2025, este sector aún no ha hecho acto de presencia. Si bien, ya podemos encontrar a compañías pertenecientes a sectores críticos como el de las telecomunicaciones, el financiero o el de los seguros.
Con respecto a los motivos detrás de las multas de protección de datos en España en 2025 y 2024, podemos constatar que las brechas de datos tras incidentes de seguridad son claves.
Lo cual no debe sorprendernos a estas alturas. Ya que uno de los principales objetivos de los ciberdelincuentes cuando atacan a empresas es conseguir datos privados de sus clientes para:
- Extorsionarlas exigiendo el pago de un rescate a cambio de no divulgar los datos públicamente.
- Vender los datos en la Dark Web.
- Usar la información para intentar estafar a los clientes o trabajadores de las compañías afectadas por brechas de seguridad lanzando campañas de fraudes online.
En definitiva, el ranking de las multas de protección de datos en España en 2025 nos permite vislumbrar la relevancia de esta materia para las empresas. No solo para las grandes corporaciones, que, evidentemente, son las que se exponen a las multas de protección de datos en España en 2025 de mayor cuantía, sino también para las pequeñas y medianas empresas.
Una sanción de 1 millón de euros puede tener un impacto limitado en las cuentas y los resultados anuales de una gran multinacional que factura miles de millones en cada ejercicio económico. Sin embargo, una multa de 20.000 euros puede llevarse por delante la estabilidad financiera de una pyme.
Por eso, es absolutamente crítico que las empresas cuenten con políticas de protección de datos eficaces y adaptadas a las exigencias del RGPD. Además, también es fundamental realizar pruebas de seguridad en la infraestructura tecnológica para evitar brechas de seguridad en las que se vean expuestos datos personales.