La Agencia Española de Protección de Datos (AEPD) ha presentado su Memoria 2025 este miércoles, que recoge con detalles las cifras de gestión, acciones de colaboración, informes y procedimientos más relevantes de este año.
Un periodo que ha registrado cifras récord: la Agencia recibió 30.931 reclamaciones, lo que supone un aumento del 64% respecto al año anterior. La cuantía total de sanciones impuestas en 2025 asciende a 48.108.765 euros.
Pero hay otro dato que destaca en la presentación de este informe: las brechas de datos.
En 2025 se recibieron 2.765 notificaciones acerca de este incidente de seguridad (un aumento del 157% de reclamaciones respecto al año anterior), y de ese total un 19% procedían de la Administración Pública. La AEPD advierte de que la presión no solo afecta al sector privado: la Administración pública concentra casos cada vez más complejos, especialmente en ámbitos como la videovigilancia, la transparencia o el uso de datos de menores.
«Se han notificado brechas que han afectado a más de 200 millones de personas, lo que significa que cada ciudadano podría estar afectado por una media de cuatro brechas de datos», ha señalado Lorenzo Cotino, presidente de la AEPD en la presentación de la Memoria.
Estos procedimientos han pasado de los 30 apercibimientos sancionadores en 2024 a 77 en 2025, recaudando un total de 19.836.603 euros, un 40% de la cuantía total de sanciones impuestas en 2025. Sin olvidar que las Administraciones Públicas, a pesar de ser sancionadas, no se les castiga pecuniariamente.
Una mayor concienciación sobre la protección de datos
«La concienciación de los ciudadanos está detrás del aumento de reclamaciones», explicó el presidente de la autoridad, Lorenzo Cotino. Así lo reflejan los datos: los ciudadanos han dirigido más de 50.000 consultas individuales a la ciudadanía, sumado a los más de 30.000 reclamaciones.
El aumento de número de multas impuestas y su importe no solo refleja el incremento de casos en la Agencia, también la complejidad de los tratamiento analizados, por su alcance e impacto. Esto ha llevado a la AEPD a virar su estrategia: «Queremos anticiparnos a los riesgos en lugar de reaccionar solo con sanciones», señaló Cotino.
Uno de los 7 ejes que vertebran su Plan Estratégico 2025-2030 se basa en una mayor concienciación sobre el cumplimiento normativo: «El objetivo es mejorar el cumplimiento normativo y obviamente el último recurso es el de las sanciones. La agencia quiere concentrar los recursos escasos que tenemos. Este aluvión de reclamaciones a lo más importantes, a lo que tenga más impacto, porque en ocasiones no tiene sentido perder recursos en lo que pueden llegar a reclamaciones con muy bajo impacto de los derechos de las personas y el cambio», añadió el presidente de la AEPD.
Por ahora, las seis áreas de actividad con mayor número de procedimientos sancionadores y de apercibimiento finalizados en 2025 corresponden a videovigilancia (81, -4% respecto a 2024); servicios de Internet (77, -3%); quiebras de datos personales (46%, +229%); administraciones públicas (41, -105%); comercio, transporte y hostelería (41, +54%) y sanidad (34, +278%).
IA y sistemas biométricos, los otros ejes de la AEPD
Otro de los ejes estratégicos de la AEPD es la Inteligencia Artificial, que ha apostado por integrar esta tecnología tanto en su funcionamiento interno como en su labor regulatoria.
Lejos de plantear un enfoque restrictivo, la AEPD defiende que «no se trata de prohibir la IA», sino de garantizar su desarrollo conforme al marco normativo y con pleno respeto a los derechos de los ciudadanos.
En este contexto, la Agencia trabaja ya en miles de casos de uso y ha reforzado su papel como referente internacional mediante la elaboración de guías técnicas, especialmente en ámbitos sensibles como la generación de imágenes o el uso de agentes automatizados. El objetivo es claro: acompañar la innovación sin renunciar a la seguridad jurídica.
En paralelo, el uso de sistemas biométricos se ha convertido en otro de los focos prioritarios, especialmente en el ámbito laboral.
La AEPD está revisando sus criterios y trabaja en nuevas guías que aclaren las condiciones en las que pueden utilizarse tecnologías como el reconocimiento facial o la huella dactilar, por ejemplo, para el control horario.
Este análisis se está desarrollando tanto a nivel nacional como en coordinación con el Comité Europeo de Protección de Datos, y contempla incluso su posible encaje en la negociación colectiva. Se trata de un terreno especialmente sensible, donde la Agencia busca equilibrar el uso de herramientas tecnológicas con la protección de derechos fundamentales, en un contexto de creciente demanda por parte de empresas y administraciones.
