— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cumplimiento y sanciones · Datos

7.100 millones en multas digitales: cuánto ha sancionado de verdad la Unión Europea, y a quién

El GDPR acumula más de 7.100 millones de euros en sanciones desde 2018. El DSA y el DMA empiezan a sumar las suyas. Pero entre la multa que titula y la multa que se cobra media un abismo de recursos, apelaciones y años. Esta es la anatomía del régimen sancionador digital más influyente del mundo.

Por Yaneth Vickari S. Experta en regulación digital 10 min de lectura
GDPR DSA DMA multas digitales Unión Europea Meta TikTok enforcement
Cumplimiento y sanciones · Datos 7.100 millonesen multas digitales Mayores sanciones GDPR a tecnológicas — millones de euros Meta (transferencias a EE.UU., 2023) 1200 M€ Amazon (publicidad sin consentimiento, 2021) 746 M€ TikTok (datos a China, 2025) 530 M€ LinkedIn (base legal publicidad, 2024) 310 M€ Fuente: CMS GDPR Enforcement Tracker · DPA press releases · cifras en millones de euros DIÁLOGO CIUDADANO

El régimen sancionador digital más influyente del mundo

Desde que el Reglamento General de Protección de Datos entró en vigor en mayo de 2018, las autoridades europeas han impuesto, según el CMS GDPR Enforcement Tracker, más de 7.100 millones de euros en sanciones, repartidas en más de 2.800 multas. La cifra no es una anécdota regulatoria: es la referencia global de facto. Cuando un país de América Latina o de Asia escribe su ley de protección de datos, mira al GDPR. Cuando una empresa de cualquier continente sirve a usuarios europeos, queda sujeta a él.

Este rastreo no celebra ni denuncia las multas. Las ordena. Mide tres cosas que el titular suele confundir: cuánto se ha sancionado, a quién, y —la pregunta que casi nadie hace— cuánto de eso se ha cobrado de verdad frente a lo que sigue recurrido. Porque entre la multa anunciada y la multa firme media un abismo de años y apelaciones.

Las diez grandes, casi todas tecnológicas

Nueve de las diez mayores multas del GDPR de la historia han recaído sobre grandes tecnológicas. El podio lo encabeza, con enorme distancia, Meta.

EmpresaMultaAñoMotivo
Meta1.200 M€2023Transferencia de datos de usuarios europeos a EE.UU. sin garantías
Amazon746 M€2021Sistema de publicidad dirigida sin consentimiento adecuado
TikTok (ByteDance)530 M€2025Transferencia ilegal de datos del EEE a China
Meta405 M€2022Tratamiento de datos de menores en Instagram
Meta390 M€2023Cambio de base legal de consentimiento a contrato
TikTok345 M€2023Tratamiento de cuentas de menores
LinkedIn310 M€2024Base legal incorrecta para publicidad y analítica

El patrón que emerge es nítido. Las transferencias internacionales de datos (artículo 46) generan las multas individuales más altas —la de Meta de 1.200 millones y la de TikTok de 530—. Y los datos de menores aparecen en cuatro de las diez mayores sanciones. Meta, sumando sus filiales, concentra alrededor del 40% del total acumulado: es, con diferencia, el reincidente del sistema.

La brecha que nadie titula: anunciada vs. firme

Aquí está el dato que convierte este rastreo en una herramienta de debida diligencia y no en una lista de récords. Una multa anunciada no es una multa cobrada. La sanción de 1.200 millones a Meta fue recurrida; su desenlace final, tras años de litigio, puede diferir de la cifra del titular. Lo mismo ocurre con buena parte de las grandes: se anuncian, se recurren, y solo años después se sabe cuánto entra realmente en las arcas públicas.

Un rastreo serio distingue, por tanto, entre estados que el público suele fundir en uno:

Estado de la multaQué significaValor para due diligence
Anunciada / propuestaEl regulador comunica su intención sancionadoraSeñal de riesgo, no de pasivo firme
Impuesta (primera instancia)Resolución administrativa dictadaPasivo contingente
Recurrida / apeladaLa empresa impugna ante tribunalesImporte en disputa
FirmeAgotados los recursosPasivo cierto
Reducida / anuladaTribunal modifica o tumba la sanciónEl importe real difiere del anunciado
CobradaEl dinero entra efectivamenteEnforcement real

La diferencia entre estas casillas es exactamente la información que un banco, una aseguradora o un despacho necesitan para valorar el riesgo regulatorio real de una contraparte. El titular dice “1.200 millones”. El analista necesita saber en qué casilla está esa cifra hoy.

El DSA y el DMA entran en escena

El GDPR ya no es el único frente. La Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA) han empezado a sumar sus propias sanciones, y el calibre es comparable. En 2025, la Comisión multó a Apple con 500 millones de euros y a Meta con 200 millones por infracciones del DMA. Y en el frente del DSA, Meta y TikTok afrontan conclusiones preliminares que, de confirmarse, podrían alcanzar el 6% de su facturación global —una cifra que para Meta se estima en torno a los 9.870 millones de dólares—.

NormaQué regulaSanción máximaCasos 2025
GDPRDatos personales4% facturación globalMeta, TikTok, LinkedIn
DMACompetencia en plataformas “guardianas”10% facturación globalApple 500 M€, Meta 200 M€
DSAContenidos y riesgos sistémicos6% facturación globalConclusiones preliminares Meta/TikTok/X

El salto cualitativo del DSA y el DMA es que sus techos —6% y 10% de la facturación global— superan al 4% del GDPR. La regulación digital europea ha subido la apuesta. El detalle de los siete guardianes de acceso designados bajo el DMA, sus servicios y el estado de cada sanción e investigación lo seguimos en el rastreo de guardianes del DMA.

Irlanda, la autoridad que concentra el poder

Un dato estructural recorre todo el sistema: la Comisión de Protección de Datos de Irlanda impone más de la mitad de todas las multas del GDPR. No es casualidad: las sedes europeas de Meta, TikTok, LinkedIn, Apple y Google están en Irlanda, y bajo el mecanismo de “ventanilla única” del GDPR, la autoridad del país de establecimiento lidera la investigación. Eso convierte al regulador irlandés en el árbitro de facto de la privacidad de medio mundo, una concentración de poder que tiene tantos defensores —coherencia, especialización— como críticos —lentitud, presión de un sector clave para la economía irlandesa—. Comparamos a las principales autoridades nacionales —quién sanciona mucho, quién sanciona caro y quién prefiere amonestar— en el rastreo de enforcement del GDPR por país.

El contraste con otros Estados es revelador. Mientras Irlanda sanciona, otras autoridades nacionales todavía no están plenamente operativas. España es un caso de manual: designó a la CNMC como su Coordinador de Servicios Digitales en enero de 2024, pero a mayo de 2026 ese coordinador sigue sin régimen sancionador aprobado, con la habilitación legal derogada y un procedimiento de infracción europeo abierto. Lo seguimos hito a hito en el rastreo de la brecha del Coordinador DSA español: tener la autoridad nombrada no es lo mismo que tenerla sancionando.

Por qué esto es un dataset, no un anecdotario

Seguir las multas digitales europeas como una base de datos estructurada —empresa, norma, importe anunciado, importe firme, estado del recurso, autoridad, motivo— responde preguntas que el flujo de noticias no puede. ¿Cuánto debe realmente Meta una vez descontadas las reducciones en apelación? ¿Qué norma genera más enforcement real por país? ¿Qué proporción de lo anunciado se cobra de verdad? Cada respuesta tiene comprador: equipos de compliance, despachos, aseguradoras de riesgo regulatorio, proveedores de due diligence, plataformas GRC.

El valor no está en la cifra grande del titular, sino en la trazabilidad: poder ir de “1.200 millones a Meta” a “impuesta en 2023, recurrida, pendiente de resolución firme, autoridad DPC Irlanda, motivo transferencias internacionales”. Esa cadena es la diferencia entre una noticia y un activo de datos.

Nota metodológica

Las cifras proceden del CMS GDPR Enforcement Tracker, los comunicados de las autoridades de protección de datos y las decisiones de la Comisión Europea sobre DSA y DMA, con fecha de corte a comienzos de 2026. Se distingue entre multa anunciada, impuesta, recurrida, firme, reducida, anulada y cobrada. Los importes de DSA/DMA citados como “potenciales” son conclusiones preliminares, no sanciones firmes. Diálogo Ciudadano no presta asesoría jurídica; este rastreo es infraestructura informativa y no constituye valoración del pasivo de ninguna empresa.

Seguir leyendo