El Informe Anual 2025 del Comité Europeo de Protección de Datos confirma una tendencia clara: la supervisión en materia de protección de datos continúa creciendo en toda Europa.
Durante 2025, las autoridades europeas impusieron más de 1.160 millones de euros en sanciones por infracciones del Reglamento General de Protección de Datos (“RGPD”). Aunque el importe total se mantiene en niveles similares a los de 2024, el número de procedimientos sancionadores que finalizaron con imposición de multa ha aumentado de forma significativa.
Así, en 2024, el volumen económico estuvo especialmente condicionado por algunas sanciones extraordinariamente elevadas, como la multa de 310 millones de euros impuesta a LinkedIn por tratamientos relacionados con publicidad dirigida y análisis de comportamiento de usuarios de la plataforma sin consentimiento, o la sanción de 290 millones de euros impuesta a Uber por transferencias internacionales de datos de conductores a Estados Unidos sin garantías adecuadas.
Por su parte, en 2025, las grandes sanciones siguieron teniendo un peso muy relevante. Destaca especialmente la multa de más de 530 millones de euros impuesta a TikTok por transferencias de datos personales a China, una de las sanciones más importantes del año en Europa.
Sin embargo, el dato más interesante no es únicamente el importe de las multas, sino la enorme diferencia existente entre los modelos de supervisión de los distintos Estados miembros.
De esta forma, Irlanda, por ejemplo, aparece con únicamente cuatro multas durante 2025, pero acumula más de 530 millones de euros en sanciones, prácticamente todo ello vinculado al procedimiento contra TikTok.
En el extremo contrario, Eslovaquia registró 542 multas, el mayor número de sanciones económicas de Europa, aunque con un importe agregado inferior a 500.000 euros, lo que evidencia un elevado volumen de procedimientos sancionadores compuesto principalmente por multas de baja cuantía.
Por su parte, Alemania ocupó la segunda posición en número de multas, con 499 procedimientos sancionadores que finalizaron con imposición de multa, seguida de España, con 324.
No obstante, estos datos no muestran por sí solos la intensidad real del enforcement del RGPD. Las diferencias entre países pueden responder a distintos factores. Uno de los más relevantes es la presencia en determinados estados de grandes multinacionales tecnológicas sometidas a procedimientos transfronterizos bajo el mecanismo de “ventanilla única” del RGPD.
Este es precisamente el caso de Irlanda, donde muchas grandes plataformas digitales tienen establecido su principal establecimiento europeo (como es el caso de Google, LinkedIn, Microsoft o TikTok), lo que convierte a la autoridad irlandesa en autoridad principal para algunos de los procedimientos más relevantes en Europa.
También influye la propia estructura organizativa de cada sistema supervisor. Por ejemplo, en Alemania, el elevado número de sanciones puede explicarse parcialmente por la actividad acumulada de las distintas autoridades regionales de protección de datos de los Länder, consecuencia directa de su estructura federal (una autoridad federal de protección de datos y 16 autoridades regionales, una por cada Land).
Por su parte, Dinamarca presenta ciertas particularidades, ya que su autoridad de protección de datos puede proponer multas que posteriormente deben tramitarse judicialmente, alejándose así del modelo clásico de sanción administrativa directa utilizado en otros países europeos.
Además, no todos los sistemas de enforcement están igual de orientados a las multas económicas.
En algunos países, especialmente en el ámbito de los países nórdicos, parece existir una mayor utilización de advertencias, órdenes de adaptación o medidas correctoras no pecuniarias.
Suecia es un ejemplo especialmente ilustrativo. Su memoria nacional recoge 168 medidas correctoras conforme al RGPD, de las cuales 109 fueron apercibimientos, 56 órdenes y únicamente 3 multas administrativas de bajo importe.
Todo ello refleja que el modelo europeo de supervisión no se centra exclusivamente en sancionar a través de la imposición de multas económicas, sino también en corregir conductas para garantizar el cumplimiento efectivo de la normativa.
En este contexto, España continúa reforzando su protagonismo dentro del panorama europeo de supervisión en protección de datos.
Según los datos publicados en la Memoria anual de la Agencia Española de Protección de Datos, España pasó de 281 multas económicas impuestas en 2024 a 324 en 2025, consolidándose como el tercer país de la Unión Europea con mayor volumen de multas económicas impuestas.
Además, el importe económico agregado aumentó desde aproximadamente 35,6 millones de euros en 2024 hasta más de 45,2 millones de euros en 2025, situando a España como el cuarto país europeo por cuantía total de multas, únicamente por detrás de Irlanda, Francia y Alemania.
Por su parte, la Agencia Española de Protección de Datos, en su análisis comparado de las sanciones impuestas en el ámbito europeo, ha señalado que el modelo de enforcement del RGPD está evolucionando de forma significativa, de modo que adquiere cada vez menor relevancia la mera cuantía de las sanciones y cobra mayor importancia la forma en que las autoridades ejercen sus funciones de supervisión, control y corrección.
Al margen de ese diagnóstico, cabe poner de relieve la conveniencia de avanzar hacia un criterio más homogéneo de enforcement que garantice una aplicación coherente y consistente del RGPD en el conjunto de los Estados miembros. El Reglamento fue concebido precisamente para asegurar una aplicación directa y uniforme en toda la Unión Europea, evitando las divergencias derivadas de la anterior fragmentación normativa nacional. Sin embargo, en la práctica persisten diferencias relevantes en la aplicación de la normativa, lo que evidencia que el grado de armonización material no siempre alcanza plenamente el objetivo pretendido por el legislador europeo.