Leyes de Privacidad de Datos en España: Guía del RGPD, la LOPDGDD y la Aplicación de la AEPD (2026)

España aplica la privacidad de datos a través del RGPD de la UE y la Ley Orgánica 3/2018 (LOPDGDD), administrada por la AEPD. La LOPDGDD añade una carta de derechos digitales y exige Delegados de Protección de Datos en 16 sectores conforme al artículo 34. Las sanciones por infracciones muy graves alcanzan los 20 millones de euros.
España se sitúa a la vanguardia del derecho europeo de protección de datos. El país aplica el Reglamento General de Protección de Datos de la UE como base para todo tratamiento de datos personales, complementado por la LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), una ley nacional que adapta los requisitos del RGPD e introduce una carta integral de derechos digitales.
La Agencia Española de Protección de Datos (AEPD) se ha ganado la reputación de ser uno de los organismos de aplicación más agresivos y prolíficos de Europa, situándose de manera constante entre las tres primeras autoridades de protección de datos de la UE por volumen de sanciones. En 2025, la AEPD impuso 299 multas por un total de 40 millones de euros, un aumento del 14% respecto al récord de 35.5 millones de euros del año anterior.
Más allá de la protección de datos, España también está dando forma al futuro de la regulación de la IA. Creó la AESIA, la primera autoridad nacional de supervisión de IA dedicada de la Unión Europea, operativa desde junio de 2024 y que actualmente gestiona el primer entorno controlado de pruebas regulatorio de la UE bajo el Reglamento de IA.
Esta guía cubre el marco completo de privacidad de datos de España: los fundamentos constitucionales, la arquitectura legal del RGPD y la LOPDGDD, los derechos digitales, la aplicación, la superposición con el Reglamento de IA, las transferencias internacionales y los requisitos prácticos de cumplimiento.
Respuesta rápida: las reglas de privacidad de datos de España de un vistazo
El régimen de privacidad de datos de España tiene tres capas centrales:
- El RGPD de la UE se aplica directamente como derecho vinculante de la UE, estableciendo la base para todo tratamiento de datos personales.
- La LOPDGDD (Ley Orgánica 3/2018) implementa el RGPD en el derecho español y llena los vacíos que el RGPD deja a los Estados miembros, incluida una amplia carta de derechos digitales.
- La AEPD aplica ambos instrumentos, respaldada por las autoridades regionales de Cataluña, el País Vasco y Andalucía.
Cualquier organización que trate datos personales de personas en España debe cumplir con las tres capas. El historial de aplicación de la AEPD convierte a España en una jurisdicción de alto riesgo en caso de incumplimiento.
Fundamento constitucional: el artículo 18.4
La Constitución Española de 1978 proporciona un fundamento constitucional excepcionalmente sólido para la protección de datos. El artículo 18.4 establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
Esta disposición elevó la protección de datos a rango constitucional décadas antes de la llegada del RGPD. El Tribunal Constitucional español ha citado reiteradamente el artículo 18.4 para reconocer la autodeterminación informativa como un derecho fundamental distinto, aunque conectado, de los derechos a la intimidad (artículo 18.1) y al secreto de las comunicaciones (artículo 18.3).
El fundamento constitucional no es meramente simbólico. Significa que el derecho español de protección de datos no puede ser debilitado por legislación ordinaria, y otorga a las personas afectadas legitimidad directa para promover recursos constitucionales (recurso de amparo) ante el Tribunal Constitucional cuando se vulneran los derechos de protección de datos.
El RGPD en España
El Reglamento General de Protección de Datos (Reglamento 2016/679) se aplica directamente en España desde el 25 de mayo de 2018. Al ser un reglamento y no una directiva, no requiere transposición nacional y prevalece sobre las normas nacionales que lo contradigan.
El RGPD establece los requisitos fundamentales que todos los responsables y encargados del tratamiento en España deben cumplir:
Base jurídica para el tratamiento. El artículo 6 del RGPD exige una base jurídica válida para toda actividad de tratamiento. Las seis bases disponibles son el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, los intereses vitales, el interés público y el interés legítimo. La AEPD ha adoptado un enfoque restrictivo respecto del interés legítimo en contextos comerciales, sosteniendo de manera constante que el beneficio económico por sí solo no constituye un interés legítimo que prevalezca sobre los derechos fundamentales de las personas.
Transparencia. Los artículos 13 y 14 exigen avisos de privacidad claros y accesibles que cubran la identidad del responsable, las finalidades del tratamiento, las bases jurídicas, los períodos de conservación de los datos y la gama completa de derechos de los titulares.
Derechos de los titulares. Los artículos 15 a 22 otorgan a las personas derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, incluida la oposición a la elaboración de perfiles. La LOPDGDD de España añade requisitos procesales específicos para el ejercicio de estos derechos.
Minimización de datos y limitación de la finalidad. Los artículos 5(1)(b) y 5(1)(c) exigen que los datos se recopilen solo para fines específicos y se limiten a lo necesario.
Seguridad. El artículo 32 exige medidas técnicas y organizativas apropiadas. La falta de implementación de medidas de seguridad adecuadas ha sido uno de los motivos más frecuentes de sanción por parte de la AEPD.

La LOPDGDD: la ley nacional de protección de datos de España
La Ley Orgánica 3/2018 entró en vigor el 7 de diciembre de 2018. Sustituyó a la anterior LOPD (Ley Orgánica 15/1999) y adapta el RGPD al ordenamiento jurídico español de varias maneras importantes.
Edad de consentimiento de los menores
La LOPDGDD fija la edad de consentimiento digital en 14 años. Los menores de 14 años requieren el consentimiento de sus padres o tutores para el tratamiento de datos personales en servicios en línea. El valor predeterminado del RGPD es 16, pero los Estados miembros pueden reducir el umbral hasta los 13. España optó por 14 como solución intermedia.
Este umbral se encuentra actualmente bajo presión legislativa. Un anteproyecto de Ley Orgánica de Protección de los Menores en los Entornos Digitales, aprobado por el Consejo de Ministros en marzo de 2025 y remitido al Parlamento, elevaría la edad de consentimiento digital nuevamente a 16 años e impondría nuevas obligaciones de verificación de edad a las plataformas en línea. Se exigiría a los fabricantes de dispositivos que incluyan sistemas de control parental activados por defecto, y se restringiría el acceso a redes sociales a los menores de 16 años.
Datos de personas fallecidas
Los artículos 3 y 96 de la LOPDGDD crean un marco legal para la gestión de los datos de personas fallecidas. Los herederos y familiares designados pueden solicitar el acceso, la rectificación o la supresión de los datos de una persona fallecida, salvo que esta haya dejado instrucciones en contrario.
Mandatos ampliados de DPD
El artículo 34 exige la designación de Delegados de Protección de Datos en 16 sectores específicos, independientemente del tamaño de la empresa. Esto es más amplio que los propios requisitos de DPD del RGPD. Las organizaciones que se encuentran dentro de los sectores obligatorios incluyen instituciones sanitarias, entidades financieras, proveedores de telecomunicaciones, operadores de juegos de azar, empresas de seguridad privada, federaciones deportivas que tratan datos de menores, e instituciones educativas de todos los niveles. Cualquier nombramiento o cese de un DPD debe notificarse a la AEPD dentro de los 10 días siguientes.
Clasificación de infracciones
La LOPDGDD clasifica las infracciones del RGPD en tres niveles a efectos de aplicación. Las infracciones leves tienen un plazo de prescripción de un año. Las infracciones graves tienen un plazo de dos años. Las infracciones muy graves tienen un plazo de tres años. Este sistema escalonado opera junto con los propios límites de sanción del RGPD.
Título X: la carta de derechos digitales de España
Una de las características más distintivas y reconocidas internacionalmente de la LOPDGDD es el Título X (artículos 79 a 97), una carta de derechos digitales que se extiende mucho más allá de la protección de datos hacia una ciudadanía digital más amplia.
Acceso a internet y neutralidad
El artículo 80 consagra la neutralidad de internet como un derecho legal, impidiendo que los proveedores de servicios de internet discriminen entre tipos de tráfico. El artículo 81 establece el acceso universal a internet como un derecho, reconociendo la participación digital como esencial para la vida cívica y social.
Derecho a la desconexión digital (artículo 88)
Los trabajadores, tanto del sector público como del privado, tienen el derecho legalmente exigible a no responder a comunicaciones digitales relacionadas con el trabajo fuera de su horario laboral contratado. Los empleadores deben respetar los períodos de descanso, las vacaciones y el tiempo personal y familiar de los empleados.
Se exige a las organizaciones que desarrollen políticas internas de desconexión digital en consulta con los representantes de los trabajadores. Estas políticas deben definir cuándo se puede contactar a los empleados, especificar las herramientas y canales, e incluir medidas de formación y sensibilización. La AEPD ha citado las políticas de desconexión inadecuadas como un factor agravante en varias investigaciones sobre monitoreo laboral.
Derecho a la intimidad en el uso de dispositivos digitales en el trabajo (artículo 87)
Los empleados tienen reconocido el derecho a la intimidad en el uso de dispositivos digitales proporcionados por su empleador. Los empleadores pueden establecer directrices para el uso de los dispositivos de trabajo, incluidas restricciones al uso personal, pero deben comunicar dichas directrices con antelación y por escrito. Cualquier acceso al contenido de los dispositivos de trabajo debe respetar la proporcionalidad y la dignidad del empleado.
Videovigilancia en el lugar de trabajo (artículo 89)
Los empleadores pueden utilizar la videovigilancia con fines legítimos, pero deben cumplir condiciones estrictas. Las cámaras están prohibidas en zonas de descanso, vestuarios, baños y comedores. La vigilancia por audio está generalmente prohibida, salvo que se justifique por riesgos de seguridad específicos y documentados. Las imágenes grabadas pueden conservarse por un máximo de un mes, salvo que constituyan evidencia de actividad ilícita. Los empleados y sus representantes deben ser notificados con antelación.
En casos excepcionales que involucren sospechas fundadas de conducta ilícita, puede aplicarse un deber de información reducido, pero la vigilancia encubierta sigue estando estrictamente restringida.
Geolocalización (artículo 90)
Los empleadores pueden usar sistemas de GPS y geolocalización para rastrear a los empleados que realizan operaciones de campo, pero deben informar tanto a los empleados como a sus representantes sobre la existencia y el alcance del seguimiento. Los datos recopilados no pueden usarse más allá de la finalidad divulgada.
Derecho al olvido en línea
La LOPDGDD codifica el derecho al olvido en los motores de búsqueda y las redes sociales, otorgando un respaldo legal explícito al principio que estableció el Tribunal de Justicia de la UE en el emblemático caso Google Spain (C-131/12, 2014). Las personas pueden solicitar la eliminación de información personal desactualizada o contextualmente irrelevante de los resultados de búsqueda.
Testamento digital (artículo 96)
Las personas pueden designar instrucciones sobre lo que ocurrirá con sus cuentas digitales y su presencia en línea tras su fallecimiento. Los herederos pueden ejercer derechos de acceso, eliminación o rectificación sobre los datos personales en línea y las cuentas de redes sociales de una persona fallecida, salvo que esta haya prohibido expresamente dicho acceso en vida.

La AEPD: la autoridad de protección de datos de España
La Agencia Española de Protección de Datos (AEPD) es la principal autoridad de supervisión de España. Establecida en 1993, opera como un organismo independiente y ha construido una formidable reputación de aplicación a lo largo de más de tres décadas.
Jurisdicción
La AEPD tiene jurisdicción sobre todo el sector privado y la mayor parte del sector público en toda España. Tres autoridades regionales independientes operan en paralelo para asuntos del sector público dentro de sus respectivas comunidades autónomas:
- APDCAT (Autoritat Catalana de Protecció de Dades) para Cataluña
- DBEB / AVPD (Datuak Babesteko Euskal Bulegoa / Agencia Vasca de Protección de Datos) para el País Vasco
- CTPDA (Consejo de Transparencia y Protección de Datos de Andalucía) para Andalucía
Las entidades del sector privado que operan en toda España responden ante la AEPD, independientemente de dónde estén registradas dentro del país. Las autoridades regionales atienden las denuncias contra organismos del sector público dentro de sus territorios. Las notificaciones de brechas de datos de organismos del sector público en estas tres regiones se dirigen a la autoridad regional respectiva en lugar de a la AEPD.
Volumen de aplicación
La AEPD tramita un volumen excepcionalmente alto de casos según los estándares europeos. En 2024, la agencia registró 18,855 reclamaciones, impuso multas por un total de 35.5 millones de euros, y recibió 2,933 notificaciones de brechas de datos, un aumento del 46% respecto a 2023. En 2025, las multas aumentaron aún más hasta aproximadamente 40 millones de euros en 299 sanciones. Las notificaciones de brechas alcanzaron las 2,765 en 2025, con más de 200 millones de personas notificadas de brechas de alto riesgo, el doble de los aproximadamente 100 millones notificados el año anterior. La exfiltración de datos impulsada por ransomware fue el principal motor de este aumento.
Plan Estratégico 2025-2030
En julio de 2025, la AEPD publicó su Plan Estratégico para 2025-2030. El plan señala un giro hacia una supervisión basada en el riesgo e impulsada por la tecnología, lo que significa que la agencia identificará cada vez más los incumplimientos de manera proactiva en lugar de esperar denuncias. Las áreas prioritarias incluyen la biometría, la vigilancia avanzada impulsada por IA, los sistemas algorítmicos y las organizaciones que tratan datos personales a gran escala.
Casos destacados de aplicación de la AEPD (2021-2026)
El historial de aplicación de España se encuentra entre los más activos de la UE. Estos casos ilustran la amplitud y la severidad económica del enfoque de la AEPD.
CaixaBank: 6 millones de euros (2021)
En enero de 2021, la AEPD sancionó a CaixaBank con 6 millones de euros por tratar los datos de sus clientes sin una base jurídica válida (4 millones de euros) y por no proporcionar información de transparencia adecuada (2 millones de euros). También se determinó que el banco había realizado transferencias intragrupo de datos ilícitas, y se le ordenó regularizar sus operaciones en un plazo de seis meses.
Vodafone España: más de 8 millones de euros (2021)
Vodafone España recibió cuatro multas independientes por un total de más de 8.15 millones de euros. Las infracciones incluyeron continuar contactando a personas que habían ejercido su derecho de supresión y de oposición al marketing, incumplimientos de la ley española de derechos digitales, infracciones en el consentimiento de cookies, y medidas de seguridad inadecuadas que permitieron el fraude de intercambio de tarjetas SIM.
La Liga: 250,000 euros (2021, confirmada en 2022)
La liga profesional de fútbol fue sancionada con 250,000 euros por usar su aplicación oficial para acceder al micrófono y a los datos de geolocalización de los usuarios con el fin de detectar transmisiones no autorizadas de partidos en vivo. La AEPD y la Audiencia Nacional consideraron insuficiente que se revelara el acceso al micrófono únicamente en el momento de la descarga. Se exigió a La Liga que notificara a los usuarios en el momento real de cada acceso a los datos.
Informa D&B: 1.8 millones de euros (2025)
En enero de 2025, la AEPD sancionó a Informa D&B con 1.8 millones de euros por tratar datos personales de más de 1.6 millones de propietarios de empresas sin una base jurídica válida y sin transparencia adecuada. La AEPD ordenó a la empresa cesar el tratamiento y eliminar todos los registros afectados en un plazo de tres meses.
Aena: 10 millones de euros (noviembre de 2025)
La AEPD impuso una multa de 10 millones de euros a Aena, el operador aeroportuario estatal de España, y ordenó la suspensión de su sistema de embarque con reconocimiento facial biométrico en ocho aeropuertos, incluidos Madrid Barajas y Barcelona El Prat. La AEPD determinó que la Evaluación de Impacto en la Protección de Datos de Aena era inadecuada: no evaluaba la proporcionalidad frente a alternativas menos intrusivas, como los códigos QR y las tarjetas de embarque digitales, y se basaba en el almacenamiento centralizado de plantillas biométricas que aumentaba el riesgo de una brecha de datos a gran escala. Aena anunció que apelaría.
FC Barcelona: 500,000 euros (marzo de 2026)
La AEPD sancionó al FC Barcelona con 500,000 euros por tratar datos biométricos (faciales y de voz) de aproximadamente 143,000 socios del club durante un censo digital de 2023 sin una EIPD legalmente conforme. La AEPD estableció un precedente: el consentimiento de los socios no elimina la obligación separada de realizar una EIPD antes de desplegar un sistema biométrico de alto riesgo. Ambos requisitos deben satisfacerse de manera independiente.
Yoti: 950,000 euros (marzo de 2026)
La AEPD sancionó a Yoti Ltd con 950,000 euros por tres infracciones del RGPD: 500,000 euros por tratar datos biométricos de categoría especial sin una base jurídica adecuada bajo el artículo 9; 200,000 euros por basarse en casillas premarcadas como consentimiento para el uso de datos biométricos con fines de investigación; y 250,000 euros por conservar registros de geolocalización durante cinco años y datos de prueba de vida en video durante 30 días más allá de lo que exigían las finalidades del tratamiento.
Notificación de brechas de datos
España sigue el marco de notificación de brechas del RGPD, con requisitos procesales específicos de la AEPD.
Los responsables deben notificar a la AEPD dentro de las 72 horas siguientes a tener conocimiento de una brecha que probablemente resulte en un riesgo para los derechos y libertades de las personas. Las notificaciones se presentan electrónicamente a través de la Sede Electrónica de la AEPD.
Si no se puede cumplir con la ventana de 72 horas, la notificación debe incluir una explicación documentada del retraso. La AEPD trata la notificación oportuna como evidencia de diligencia organizativa. La falta de notificación constituye en sí misma una infracción que puede sancionarse de manera independiente.
La notificación debe describir la naturaleza de la brecha, el número de personas afectadas, las consecuencias probables y las medidas correctivas tomadas o planificadas. Dos herramientas de la AEPD ayudan con este proceso: ASESORA BRECHA ayuda a determinar si una brecha cumple con el umbral de notificación, y COMUNICA-BRECHA RGPD ayuda a evaluar si también deben notificarse individualmente los titulares afectados.
Cuando una brecha presenta un riesgo alto para las personas, el responsable también debe notificar directamente a las personas afectadas en un lenguaje claro y sencillo.
Incluso cuando una brecha no alcanza el umbral de notificación, el responsable debe documentarla internamente, junto con el razonamiento de la decisión de no notificar y las medidas correctivas adoptadas.
Requisitos del Delegado de Protección de Datos
España tiene uno de los regímenes de DPD obligatorio más amplios de la UE. Conforme al artículo 34 de la LOPDGDD, los siguientes 16 sectores deben designar un DPD independientemente del tamaño de la empresa o el alcance del tratamiento:
- Instituciones educativas de todos los niveles, tanto públicas como privadas
- Proveedores de telecomunicaciones y operadores de red
- Prestadores de servicios de la sociedad de la información que elaboran perfiles de usuarios a gran escala
- Entidades de crédito, empresas de servicios de inversión y compañías de seguros
- Organismos que supervisan instituciones financieras y agencias de calificación crediticia
- Proveedores de servicios públicos (electricidad, gas y agua)
- Entidades que realizan publicidad, prospección comercial o investigación de mercado
- Instituciones sanitarias obligadas a mantener historiales clínicos de pacientes
- Operadores de juegos de azar y apuestas
- Empresas de seguridad privada
- Federaciones deportivas que tratan datos personales de menores
- Agencias de información comercial y de solvencia patrimonial
Cualquier nombramiento o cese de un DPD debe notificarse a la AEPD dentro de los 10 días siguientes. Los DPD en relaciones laborales directas gozan de una protección reforzada contra el despido bajo el derecho español, salvo en casos de falta grave.
Transferencias internacionales de datos
España sigue el marco del RGPD para las transferencias de datos personales fuera del Espacio Económico Europeo. La LOPDGDD no añade restricciones materiales adicionales al estándar base del RGPD.
Las transferencias a terceros países son lícitas bajo uno de cuatro mecanismos:
Decisiones de adecuación. La Comisión Europea ha reconocido a varios países como proveedores de una protección de datos esencialmente equivalente a la de la UE. Las transferencias a estos países no requieren salvaguardas adicionales. El Marco de Privacidad de Datos UE-EE. UU., adoptado en 2023, restableció la adecuación para las organizaciones estadounidenses certificadas, aunque continúa enfrentando impugnaciones legales.
Cláusulas contractuales tipo (CCT). Las CCT de 2021 publicadas por la Comisión Europea son la salvaguarda más utilizada para las transferencias a países sin decisión de adecuación. Las organizaciones también deben realizar una Evaluación de Impacto de la Transferencia para verificar que el entorno legal del país de destino no menoscabe las protecciones de las CCT.
Normas corporativas vinculantes. Los grupos multinacionales pueden usar BCR aprobadas por una autoridad de supervisión principal de la UE para las transferencias intragrupo.
Excepciones. En circunstancias limitadas, las transferencias pueden proceder sobre la base del consentimiento explícito, la ejecución de un contrato, o razones imperiosas de interés público.
La AEPD ha emitido orientación que anima a las organizaciones a completar las Evaluaciones de Impacto de la Transferencia con cuidado, particularmente para las transferencias a Estados Unidos, tras la sentencia Schrems II.
Privacidad electrónica: cookies y marketing electrónico

Las reglas de privacidad electrónica de España derivan de la Ley 34/2002 (LSSI), que transpuso la Directiva de privacidad electrónica de la UE. La LSSI exige el consentimiento previo e informado para todas las cookies no esenciales y tecnologías de seguimiento similares. Este requisito opera junto con el RGPD: el RGPD determina cómo se obtiene y evidencia el consentimiento, mientras que la LSSI especifica cuándo las cookies requieren consentimiento.
En materia de marketing electrónico, la LSSI prohíbe generalmente las comunicaciones comerciales no solicitadas por medios electrónicos sin consentimiento previo. Se aplica una excepción para las relaciones comerciales existentes, donde se permite el marketing de productos o servicios similares a los ya adquiridos, siempre que se ofrezca al cliente un mecanismo sencillo de exclusión en cada comunicación.
La AEPD ha sido activa en materia de cumplimiento de cookies. Su orientación exige que los banners de cookies ofrezcan una elección genuina: una opción de aceptar debe equilibrarse con una opción de rechazar igualmente visible. Las casillas premarcadas, los banners que solo permiten aceptar, y los diseños que dificultan innecesariamente el rechazo, todos infringen el estándar de consentimiento del RGPD.
El Reglamento de IA de la UE y la AESIA
España ha adoptado el enfoque más proactivo respecto de la regulación de la IA de cualquier Estado miembro de la UE.
AESIA: la primera autoridad nacional de supervisión de IA de Europa
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) se estableció mediante el Real Decreto 729/2023 y comenzó a operar en junio de 2024. Es la primera autoridad nacional de supervisión de IA dedicada de la Unión Europea.
El mandato de la AESIA cubre la supervisión de los sistemas de IA para garantizar un despliegue ético, seguro y respetuoso de los derechos. Una vez que la ley nacional de IA de España entre plenamente en vigor, la AESIA actuará como la autoridad de vigilancia del mercado de España para la IA bajo el Reglamento de IA de la UE, con facultades de inspección y sanción.
El Reglamento de IA de la UE
El Reglamento de IA de la UE (Reglamento 2024/1689) entró en vigor el 1 de agosto de 2024, con disposiciones que se aplican en un calendario escalonado. Las prohibiciones sobre los sistemas de IA de riesgo inaceptable se aplicaron desde febrero de 2025. Las reglas para los sistemas de IA de alto riesgo se están aplicando de manera progresiva a lo largo de 2026-2027.
El Reglamento de IA introduce obligaciones escalonadas según el nivel de riesgo. Los sistemas de IA que plantean riesgos inaceptables, como la vigilancia biométrica en tiempo real en espacios públicos y los sistemas de puntuación social, están prohibidos por completo. Los sistemas de alto riesgo, incluidos los utilizados en contratación, decisiones de crédito, salud e infraestructura crítica, enfrentan obligaciones estrictas: EIPD obligatorias, documentación de transparencia, requisitos de supervisión humana, y registro en una base de datos de la UE.
La multa por reconocimiento facial de Aena resulta instructiva como anticipo de cómo se aplicarán los estándares reforzados del Reglamento de IA a los sistemas de identificación biométrica. Aunque la multa se impuso bajo el RGPD, el análisis de la AEPD siguió de cerca los requisitos de proporcionalidad y EIPD que el Reglamento de IA codifica para los sistemas de IA de alto riesgo.
El primer entorno controlado de pruebas del Reglamento de IA de la UE en España
España gestionó el primer entorno controlado de pruebas del artículo 57 del Reglamento de IA en la UE. En abril de 2025, la AESIA seleccionó 12 proyectos de IA de alto riesgo de empresas españolas para participar. El entorno de pruebas cubre sistemas que operan en seis sectores: servicios esenciales, biometría, empleo, infraestructura crítica, maquinaria y productos sanitarios. Las empresas participantes reciben orientación de alto nivel y operan bajo condiciones reales supervisadas antes del lanzamiento al mercado.
En diciembre de 2025, la AESIA publicó 16 guías de cumplimiento detalladas que cubren los requisitos del Reglamento de IA para los sistemas de alto riesgo. Estas son las guías de cumplimiento de nivel nacional más detalladas disponibles en la UE.
Legislación nacional de IA
El 11 de marzo de 2025, el Consejo de Ministros de España aprobó un anteproyecto de ley nacional de IA (Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA) para implementar el Reglamento de IA de la UE a nivel nacional. La ley designa a la AESIA como la autoridad competente con facultades de aplicación y establece el marco institucional nacional para la gobernanza de la IA.
Coordinación entre la AEPD y la AESIA
La protección de datos y la regulación de la IA se cruzan con frecuencia en la práctica, ya que la mayoría de los sistemas de IA tratan datos personales. La AEPD y la AESIA han establecido mecanismos de coordinación para evitar investigaciones duplicadas y emitir orientación conjunta cuando los requisitos del RGPD y del Reglamento de IA se superponen. Los casos de Aena y del FC Barcelona, ambos relacionados con sistemas de IA biométrica, ilustran cómo la aplicación del RGPD por parte de la AEPD anticipa los asuntos que la AESIA abordará bajo el Reglamento de IA.
Véase también: Leyes de Grabación en España para saber cómo se aplican estos marcos de IA y protección de datos específicamente a la grabación de audio y video.
Sanciones
La LOPDGDD establece una clasificación de tres niveles para las infracciones, que opera junto con el marco de sanciones del RGPD.
Las infracciones leves conllevan multas de hasta 40,000 euros y un plazo de prescripción de un año. Los ejemplos incluyen incumplimientos procesales menores y un registro documental inadecuado.
Las infracciones graves conllevan multas de entre 40,001 y 300,000 euros, con un plazo de prescripción de dos años. Estas incluyen las infracciones de los derechos de los titulares, los incumplimientos en los acuerdos de tratamiento de datos, y las medidas de seguridad insuficientes.
Las infracciones muy graves conllevan multas de hasta 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor), con un plazo de prescripción de tres años. Estas cubren infracciones fundamentales: el tratamiento sin base jurídica, las transferencias internacionales no autorizadas a gran escala, y la obstrucción de las investigaciones de la AEPD.
La AEPD considera múltiples factores al fijar el importe de las sanciones: la gravedad y duración de la infracción, el daño causado a los titulares, el número de personas afectadas, si hubo intencionalidad o negligencia, las medidas de remediación adoptadas, la sensibilidad de las categorías de datos involucradas, si el responsable cooperó con la investigación, y cualquier infracción previa.
Las organizaciones del sector público generalmente reciben apercibimientos formales en lugar de multas económicas, aunque la AEPD tiene discreción para imponer multas a organismos del sector público en casos particularmente graves.
Novedades recientes (2024-2026)
Ola de aplicación en materia biométrica. La AEPD ha convertido el tratamiento de datos biométricos en su frente de aplicación más activo. Los casos de Aena (10 millones de euros), FC Barcelona (500,000 euros) y Yoti (950,000 euros), todos resueltos a finales de 2025 o principios de 2026, señalan que la agencia escrutará cualquier sistema biométrico que carezca de una EIPD conforme y de un diseño demostrablemente proporcionado.
Plan Estratégico de la AEPD 2025-2030. Publicado en julio de 2025, el plan compromete a la AEPD con una supervisión proactiva asistida por IA, centrada en los grandes procesadores de datos, la biometría y los sistemas algorítmicos. Las organizaciones que tratan datos a gran volumen o utilizan la toma de decisiones impulsada por IA son los principales objetivos.
Protección de menores. El anteproyecto de Ley Orgánica de Protección de los Menores en los Entornos Digitales, aprobado por el Consejo de Ministros en marzo de 2025 y en consideración parlamentaria, representa el cambio propuesto más significativo a la LOPDGDD desde su promulgación. Elevaría la edad de consentimiento digital de 14 a 16 años, exigiría la verificación de edad por parte de las plataformas, y ordenaría controles parentales predeterminados en los dispositivos conectados.
Primer entorno controlado de pruebas de la AESIA. España completó la primera cohorte de su entorno controlado de pruebas del Reglamento de IA de la UE en 2025, con 12 proyectos de IA de alto riesgo probados en seis sectores. Los resultados alimentarán un informe público de buenas prácticas para orientar la futura regulación nacional de IA.
Interacción de la LOPDGDD con la DSA. El Gobierno español aprobó un anteproyecto de ley de implementación de la Ley de Servicios Digitales en julio de 2025, alineando el marco español con la Ley de Servicios Digitales de la UE. La medida afecta a cómo las plataformas en línea gestionan la moderación de contenido, la transparencia algorítmica y la evaluación de riesgos, todo lo cual se cruza con las obligaciones de protección de datos.
Lista de verificación de cumplimiento empresarial
Las organizaciones que tratan datos personales de personas en España deben abordar los siguientes requisitos como línea base:
- Establecer una base jurídica válida bajo el artículo 6 del RGPD para cada actividad de tratamiento. Documentar la base en su Registro de Actividades de Tratamiento.
- Designar un Delegado de Protección de Datos si su organización se encuentra dentro de alguno de los 16 sectores obligatorios bajo el artículo 34 de la LOPDGDD. Notificar el nombramiento a la AEPD dentro de los 10 días siguientes.
- Preparar e implementar una política de desconexión digital en consulta con los representantes de los trabajadores, según lo exige el artículo 88 de la LOPDGDD.
- Revisar las prácticas de monitoreo laboral para verificar el cumplimiento de los artículos 87, 89 y 90: restricciones de ubicación de cámaras, obligaciones de aviso previo, límite de conservación de un mes para las grabaciones de vigilancia.
- Realizar una Evaluación de Impacto en la Protección de Datos antes de desplegar cualquier sistema biométrico, sistema de reconocimiento facial, o sistema de elaboración de perfiles a gran escala. La EIPD debe evaluar la proporcionalidad frente a alternativas menos intrusivas.
- Establecer procedimientos de notificación de brechas, incluido el registro en la Sede Electrónica de la AEPD y flujos de trabajo de documentación interna para brechas no notificables.
- Auditar los mecanismos de consentimiento de cookies para verificar el cumplimiento de la LSSI y el RGPD: igual prominencia de las opciones de aceptar y rechazar, sin casillas premarcadas, libertad genuina para rechazar.
- Revisar los avisos de privacidad para garantizar que cubran toda la información exigida por los artículos 13/14 en español accesible.
- Evaluar los mecanismos de transferencia internacional para cualquier dato personal que salga del EEE, y completar Evaluaciones de Impacto de la Transferencia cuando sea necesario.
- Si despliega o utiliza sistemas de IA que califiquen como de alto riesgo bajo el Reglamento de IA de la UE, seguir la orientación de la AESIA y registrarse en la base de datos de la UE de sistemas de IA de alto riesgo.
Preguntas frecuentes
¿En qué se diferencia la LOPDGDD de España del RGPD estándar?
La LOPDGDD (Ley Orgánica 3/2018) adapta el RGPD a España y añade disposiciones que el RGPD deja a los Estados miembros. Las diferencias más significativas son: la edad de consentimiento digital se fija en 14 años (el valor predeterminado del RGPD es 16, y la legislación propuesta la elevaría de nuevo a 16); los Delegados de Protección de Datos son obligatorios para 16 sectores específicos independientemente del tamaño de la empresa; el Título X crea una carta de derechos digitales que abarca la neutralidad de internet, el derecho a la desconexión digital laboral, los testamentos digitales, y el derecho al olvido en redes sociales; y los derechos sobre los datos de personas fallecidas se codifican de una manera que el RGPD excluye.
¿Qué es la AESIA y cómo se relaciona con la AEPD?
La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad nacional de supervisión de IA de España, establecida en 2023 y operativa desde junio de 2024. Es el primer regulador nacional de IA dedicado de la UE. La AESIA supervisa el cumplimiento del Reglamento de IA de la UE, gestiona entornos controlados de pruebas para sistemas de IA de alto riesgo, y publica orientación de cumplimiento. La AEPD sigue siendo responsable de la protección de datos bajo el RGPD y la LOPDGDD. Las dos agencias coordinan en los casos en que los sistemas de IA tratan datos personales, lo que incluye la mayoría de las aplicaciones de IA biométricas, de elaboración de perfiles y de toma de decisiones.
¿Cuáles son las sanciones por infringir las leyes de privacidad de datos en España?
España clasifica las infracciones en tres niveles. Las infracciones leves conllevan multas de hasta 40,000 euros con un plazo de prescripción de un año. Las infracciones graves conllevan multas de entre 40,001 y 300,000 euros con un plazo de dos años. Las infracciones muy graves pueden alcanzar los 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor) con un plazo de prescripción de tres años. En 2025, la AEPD impuso aproximadamente 40 millones de euros en multas totales repartidas en 299 sanciones, incluida una multa de 10 millones de euros contra Aena por los sistemas de embarque biométrico en aeropuertos.
¿Qué es el derecho a la desconexión digital en España?
El artículo 88 de la LOPDGDD otorga a los trabajadores, tanto del sector público como del privado, el derecho legal a no responder a comunicaciones digitales relacionadas con el trabajo fuera de su horario laboral contratado. Los empleadores deben respetar los períodos de descanso, las vacaciones y el tiempo personal. Las organizaciones deben desarrollar una política interna de desconexión digital en consulta con los representantes de los trabajadores, especificando los canales y horarios de contacto permitidos, y deben proporcionar formación sobre este derecho. La falta de implementación de esta política puede tratarse como un factor agravante en los procedimientos de la AEPD relacionados con el monitoreo laboral.
¿Cómo se notifica una brecha de datos a la AEPD?
Las brechas que probablemente resulten en un riesgo para las personas deben notificarse a la AEPD dentro de las 72 horas siguientes a su descubrimiento. Las notificaciones se presentan electrónicamente a través de la Sede Electrónica de la AEPD, utilizando el formulario oficial de notificación de brechas. El informe debe cubrir la naturaleza de la brecha, el número de personas afectadas, las consecuencias probables, y las medidas correctivas tomadas o planificadas. La AEPD proporciona dos herramientas gratuitas: ASESORA BRECHA para determinar si se requiere notificación, y COMUNICA-BRECHA RGPD para evaluar si también deben notificarse directamente las personas afectadas. Todas las brechas, incluidas las que están por debajo del umbral de notificación, deben documentarse internamente.
¿Pueden los empleadores usar videovigilancia para monitorear a los empleados en España?
Sí, con condiciones estrictas bajo el artículo 89 de la LOPDGDD. Los empleadores deben informar a los empleados con antelación, las cámaras están prohibidas en zonas de descanso, vestuarios y comedores, y la vigilancia por audio está generalmente prohibida. Las imágenes grabadas solo pueden conservarse durante un mes, salvo que constituyan evidencia de conducta ilícita. La vigilancia debe ser proporcional a la finalidad. En casos excepcionales en los que exista una sospecha fundada de conducta ilícita, los empleadores pueden proceder con una obligación de aviso reducida, pero la vigilancia encubierta para el monitoreo rutinario no está permitida.
¿Se aplica la LOPDGDD de España a empresas fuera de España?
Sí. La LOPDGDD se aplica a cualquier organización establecida en España que trate datos personales, y también a las organizaciones establecidas fuera de la UE que ofrezcan bienes o servicios a personas en España o que monitoreen su comportamiento. Esta es la regla de alcance territorial del RGPD, que hereda la LOPDGDD. Las empresas no pertenecientes a la UE deben designar un representante en la UE bajo el artículo 27 del RGPD si se encuentran dentro del alcance territorial del reglamento. La AEPD ha iniciado procedimientos contra organizaciones sin establecimiento en España basándose en el alcance territorial del RGPD.
Fuentes y referencias
- Boletín Oficial del Estado - Constitución Española (artículo 18.4)(boe.es).gov
- Boletín Oficial del Estado - Ley Orgánica 3/2018, LOPDGDD(boe.es).gov
- Agencia Española de Protección de Datos (AEPD) - Sitio oficial(aepd.es).gov
- AEPD - Notificación de una Brecha de Seguridad de Datos Personales a la Autoridad de Control(aepd.es).gov
- Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)(aesia.digital.gob.es).gov
- AESIA - Guías publicadas para apoyar el cumplimiento del Reglamento de IA (diciembre de 2025)(aesia.digital.gob.es).gov
- Reglamento de IA de la UE - Reglamento 2024/1689(eur-lex.europa.eu).gov
- Comité Europeo de Protección de Datos - La AEPD impone una multa de 6,000,000 de euros a CaixaBank(edpb.europa.eu).gov
- Comité Europeo de Protección de Datos - La AEPD sanciona a Vodafone España con más de 8 millones de euros(edpb.europa.eu).gov
- Biometric Update - El operador aeroportuario español Aena sancionado por su programa de embarque biométrico(biometricupdate.com)
- Biometric Update - La AEPD de España sanciona a Yoti con 950,000 euros por infracciones en el tratamiento de datos biométricos(biometricupdate.com)
- PPC Land - España sanciona al FC Barcelona con 500,000 euros por incumplir la EIPD biométrica(ppc.land)
- Linklaters - El regulador español de datos intensifica la aplicación con multas por más de 35.5 millones en el ejercicio 2024(techinsights.linklaters.com)
- Linklaters - El panorama de brechas de datos de España en 2025: 2,765 notificaciones(techinsights.linklaters.com)
- ECIJA - Más sanciones y de mayor importe: la AEPD sube el nivel de multas en 2025(ecija.com)
- Linklaters - Se confirma la multa a La Liga de España por acceso al micrófono(linklaters.com)
- PPC Land - La AEPD ordena a Informa D&B eliminar 1.8 millones de euros en registros(ppc.land)
- activeMind.legal - El Delegado de Protección de Datos bajo la ley española(activemind.legal)
- GDPRhub - Protección de Datos en España(gdprhub.eu)
- Osborne Clarke - La LOPDGDD entra en vigor en España(osborneclarke.com)
- Texto completo de la LOPDGDD (traducción al inglés) - Ley Orgánica 3/2018(uspceu.com)
- Pinsent Masons - España legisla el primer entorno controlado de pruebas del Reglamento de IA de la UE(pinsentmasons.com)