El régimen sancionador digital más influyente del mundo
Desde que el Reglamento General de Protección de Datos entró en vigor en mayo de 2018, las autoridades europeas han impuesto, según el CMS GDPR Enforcement Tracker, más de 7.100 millones de euros en sanciones, repartidas en más de 2.800 multas. La cifra no es una anécdota regulatoria: es la referencia global de facto. Cuando un país de América Latina o de Asia escribe su ley de protección de datos, mira al GDPR. Cuando una empresa de cualquier continente sirve a usuarios europeos, queda sujeta a él.
Este rastreo no celebra ni denuncia las multas. Las ordena. Mide tres cosas que el titular suele confundir: cuánto se ha sancionado, a quién, y —la pregunta que casi nadie hace— cuánto de eso se ha cobrado de verdad frente a lo que sigue recurrido. Porque entre la multa anunciada y la multa firme media un abismo de años y apelaciones.
Las diez grandes, casi todas tecnológicas
Nueve de las diez mayores multas del GDPR de la historia han recaído sobre grandes tecnológicas. El podio lo encabeza, con enorme distancia, Meta.
| Empresa | Multa | Año | Motivo |
|---|---|---|---|
| Meta | 1.200 M€ | 2023 | Transferencia de datos de usuarios europeos a EE.UU. sin garantías |
| Amazon | 746 M€ | 2021 | Sistema de publicidad dirigida sin consentimiento adecuado |
| TikTok (ByteDance) | 530 M€ | 2025 | Transferencia ilegal de datos del EEE a China |
| Meta | 405 M€ | 2022 | Tratamiento de datos de menores en Instagram |
| Meta | 390 M€ | 2023 | Cambio de base legal de consentimiento a contrato |
| TikTok | 345 M€ | 2023 | Tratamiento de cuentas de menores |
| 310 M€ | 2024 | Base legal incorrecta para publicidad y analítica |
El patrón que emerge es nítido. Las transferencias internacionales de datos (artículo 46) generan las multas individuales más altas —la de Meta de 1.200 millones y la de TikTok de 530—. Y los datos de menores aparecen en cuatro de las diez mayores sanciones. Meta, sumando sus filiales, concentra alrededor del 40% del total acumulado: es, con diferencia, el reincidente del sistema.
La brecha que nadie titula: anunciada vs. firme
Aquí está el dato que convierte este rastreo en una herramienta de debida diligencia y no en una lista de récords. Una multa anunciada no es una multa cobrada. La sanción de 1.200 millones a Meta fue recurrida; su desenlace final, tras años de litigio, puede diferir de la cifra del titular. Lo mismo ocurre con buena parte de las grandes: se anuncian, se recurren, y solo años después se sabe cuánto entra realmente en las arcas públicas.
Un rastreo serio distingue, por tanto, entre estados que el público suele fundir en uno:
| Estado de la multa | Qué significa | Valor para due diligence |
|---|---|---|
| Anunciada / propuesta | El regulador comunica su intención sancionadora | Señal de riesgo, no de pasivo firme |
| Impuesta (primera instancia) | Resolución administrativa dictada | Pasivo contingente |
| Recurrida / apelada | La empresa impugna ante tribunales | Importe en disputa |
| Firme | Agotados los recursos | Pasivo cierto |
| Reducida / anulada | Tribunal modifica o tumba la sanción | El importe real difiere del anunciado |
| Cobrada | El dinero entra efectivamente | Enforcement real |
La diferencia entre estas casillas es exactamente la información que un banco, una aseguradora o un despacho necesitan para valorar el riesgo regulatorio real de una contraparte. El titular dice “1.200 millones”. El analista necesita saber en qué casilla está esa cifra hoy.
El DSA y el DMA entran en escena
El GDPR ya no es el único frente. La Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA) han empezado a sumar sus propias sanciones, y el calibre es comparable. En 2025, la Comisión multó a Apple con 500 millones de euros y a Meta con 200 millones por infracciones del DMA. Y en el frente del DSA, Meta y TikTok afrontan conclusiones preliminares que, de confirmarse, podrían alcanzar el 6% de su facturación global —una cifra que para Meta se estima en torno a los 9.870 millones de dólares—.
| Norma | Qué regula | Sanción máxima | Casos 2025 |
|---|---|---|---|
| GDPR | Datos personales | 4% facturación global | Meta, TikTok, LinkedIn |
| DMA | Competencia en plataformas “guardianas” | 10% facturación global | Apple 500 M€, Meta 200 M€ |
| DSA | Contenidos y riesgos sistémicos | 6% facturación global | Conclusiones preliminares Meta/TikTok/X |
El salto cualitativo del DSA y el DMA es que sus techos —6% y 10% de la facturación global— superan al 4% del GDPR. La regulación digital europea ha subido la apuesta. El detalle de los siete guardianes de acceso designados bajo el DMA, sus servicios y el estado de cada sanción e investigación lo seguimos en el rastreo de guardianes del DMA.
Irlanda, la autoridad que concentra el poder
Un dato estructural recorre todo el sistema: la Comisión de Protección de Datos de Irlanda impone más de la mitad de todas las multas del GDPR. No es casualidad: las sedes europeas de Meta, TikTok, LinkedIn, Apple y Google están en Irlanda, y bajo el mecanismo de “ventanilla única” del GDPR, la autoridad del país de establecimiento lidera la investigación. Eso convierte al regulador irlandés en el árbitro de facto de la privacidad de medio mundo, una concentración de poder que tiene tantos defensores —coherencia, especialización— como críticos —lentitud, presión de un sector clave para la economía irlandesa—. Comparamos a las principales autoridades nacionales —quién sanciona mucho, quién sanciona caro y quién prefiere amonestar— en el rastreo de enforcement del GDPR por país.
El contraste con otros Estados es revelador. Mientras Irlanda sanciona, otras autoridades nacionales todavía no están plenamente operativas. España es un caso de manual: designó a la CNMC como su Coordinador de Servicios Digitales en enero de 2024, pero a mayo de 2026 ese coordinador sigue sin régimen sancionador aprobado, con la habilitación legal derogada y un procedimiento de infracción europeo abierto. Lo seguimos hito a hito en el rastreo de la brecha del Coordinador DSA español: tener la autoridad nombrada no es lo mismo que tenerla sancionando.
Por qué esto es un dataset, no un anecdotario
Seguir las multas digitales europeas como una base de datos estructurada —empresa, norma, importe anunciado, importe firme, estado del recurso, autoridad, motivo— responde preguntas que el flujo de noticias no puede. ¿Cuánto debe realmente Meta una vez descontadas las reducciones en apelación? ¿Qué norma genera más enforcement real por país? ¿Qué proporción de lo anunciado se cobra de verdad? Cada respuesta tiene comprador: equipos de compliance, despachos, aseguradoras de riesgo regulatorio, proveedores de due diligence, plataformas GRC.
El valor no está en la cifra grande del titular, sino en la trazabilidad: poder ir de “1.200 millones a Meta” a “impuesta en 2023, recurrida, pendiente de resolución firme, autoridad DPC Irlanda, motivo transferencias internacionales”. Esa cadena es la diferencia entre una noticia y un activo de datos.
Nota metodológica
Las cifras proceden del CMS GDPR Enforcement Tracker, los comunicados de las autoridades de protección de datos y las decisiones de la Comisión Europea sobre DSA y DMA, con fecha de corte a comienzos de 2026. Se distingue entre multa anunciada, impuesta, recurrida, firme, reducida, anulada y cobrada. Los importes de DSA/DMA citados como “potenciales” son conclusiones preliminares, no sanciones firmes. Diálogo Ciudadano no presta asesoría jurídica; este rastreo es infraestructura informativa y no constituye valoración del pasivo de ninguna empresa.