— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cifras del cierre
Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7 Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7
/ trackers / gdpr-enforcement-by-country
UE · Protección de datos

GDPR · qué autoridad nacional sanciona de verdad

Rastreo comparado del enforcement del GDPR por autoridad nacional de protección de datos. Desde 2018, las autoridades europeas han impuesto unos 7.100 millones de euros en más de 2.600 multas, pero ese total está repartidísimo de forma desigual: Irlanda concentra más de la mitad del importe (por las sedes europeas de las grandes tecnológicas), mientras que España lidera por número de multas con importes medios mucho menores. El rastreo mide dos brechas: importe acumulado frente a número de sanciones (sancionar mucho no es sancionar caro), y la distancia entre la multa anunciada y la firme (la sanción de Amazon de 746 millones fue anulada en apelación). Cada registro perfila una autoridad nacional con su enfoque, su volumen y su caso destacado.

Snapshot · 8 de junio de 2026
11
autoridades perfiladas
↑ 11 perfiles e hitos de aplicación del GDPR por país documentados; novedades 2026: Italia (Garante) emite las primeras multas GDPR europeas relacionadas con IA, y un tribunal de Luxemburgo anula una gran multa por motivos procesales aunque mantiene las infracciones. España supera 900 multas por volumen

Evolución

Análisis de los datos

Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.

Enfoque regulatorio

Cómo sanciona cada autoridad: multa directa, amonestación previa, o escepticismo ante las multas. El campo que revela filosofías opuestas.

Región

Distribución regional de las autoridades de protección de datos perfiladas.

Tramo de importe acumulado

El tramo de importe total de multas GDPR impuesto por cada autoridad desde 2018.

Mapa de incidencia mundial

Coropleta por número de casos forense o judicialmente documentados. Los países sin casos públicos verificables permanecen en el color base — la ausencia de eventos no equivale a ausencia de vigilancia. Pasa el ratón o haz clic en un país coloreado para ver los casos.

Natural Earth 50m · Diálogo Ciudadano

Lectura de los datos

Decir que Europa ha multado 7.100 millones de euros con el GDPR oculta lo esencial: ese dinero no lo reparten por igual los Veintisiete. Irlanda concentra más de la mitad del importe con apenas un puñado de multas gigantes; España impone casi mil sanciones, pero mucho más baratas. Sancionar mucho y sancionar caro son dos cosas distintas, y este rastreo las separa.

YV
Yaneth Vickari S. · Experta en regulación digital · Madrid
26 de mayo de 2026 · 6 min de lectura

El GDPR es una sola ley, pero la aplican veintisiete autoridades nacionales más las del Espacio Económico Europeo, y cada una lo hace a su manera. El titular agregado —unos 7.100 millones de euros en multas desde 2018, según el CMS GDPR Enforcement Tracker— es cierto pero engañoso, porque esconde una desigualdad enorme en cómo se reparte ese enforcement. Este rastreo perfila a las principales autoridades para responder la pregunta que el agregado no responde: ¿quién sanciona de verdad, y cómo?

La primera brecha que salta es la del importe frente al volumen. La Comisión de Protección de Datos de Irlanda acumula unos 4.040 millones de euros —más de la mitad del total europeo— con apenas un puñado de multas, nueve de las diez mayores de la historia. España, en cambio, ha impuesto cerca de mil sanciones, la mayor cifra del continente, pero con un importe medio muy inferior. Son dos filosofías opuestas: Irlanda sanciona poco y enorme; España, mucho y barato. Ninguna de las dos es 'la correcta'; son estrategias regulatorias distintas que el dato agregado fusiona y oculta.

El dominio de Irlanda es estructural, no casual: Meta, Google, TikTok, LinkedIn, Apple y Microsoft tienen su sede europea en Dublín, y bajo el mecanismo de ventanilla única del GDPR, la autoridad del país de establecimiento lidera la investigación. Eso convierte a un regulador de un país de cinco millones de habitantes en el árbitro de facto de la privacidad de cientos de millones de europeos.

La segunda brecha: anunciado no es firme

La segunda brecha que el rastreo captura es la de siempre en este medio: la distancia entre la multa que titula y la que queda firme. Luxemburgo es el caso de manual. Su autoridad figura segunda de Europa por importe acumulado —unos 746 millones— pero casi todo procede de una sola sanción: la multa a Amazon de 2021. Y esa multa fue anulada por motivos procesales por el Tribunal Administrativo de Luxemburgo en marzo de 2026, aunque se confirmaran las infracciones de fondo. Sobre el papel, Luxemburgo es un gran sancionador; en la práctica, su mayor multa se evaporó en apelación.

Y luego están los enfoques que ni siquiera priorizan la multa. Suecia consulta y amonesta antes de sancionar; el Reino Unido, tras el Brexit, aplica una filosofía abiertamente escéptica de las multas —su comisionado declaró que no cree que sean la herramienta de mayor impacto—. Un importe acumulado bajo no significa una autoridad pasiva: puede significar una autoridad que regula con otras herramientas. Por eso el rastreo perfila el enfoque de cada autoridad, no solo su cifra.

Para quién es este perfil

Para un delegado de protección de datos, un despacho o una empresa que opera en varios mercados europeos, saber 'cuánto multa Europa' es inútil; lo que importa es qué autoridad le supervisa según dónde tenga su establecimiento principal, y cómo sanciona esa autoridad en concreto. No es lo mismo caer bajo la CNIL francesa —agresiva en cookies y ad-tech— que bajo una autoridad que amonesta antes de multar. El rastreo convierte el agregado europeo en un mapa comparable, autoridad por autoridad, de dónde está el riesgo real.

Ese es el valor del activo: pasar de '7.100 millones en multas GDPR' a 'Irlanda 4.040 millones por concentración estructural, Francia más de 1.000 agresiva en cookies, España casi mil multas pero baratas, Luxemburgo segundo por importe pero con su mayor multa anulada'. Esa granularidad es la diferencia entre un titular y una herramienta de debida diligencia.

Nota metodológica

Los importes proceden del CMS GDPR Enforcement Tracker (7ª ed., corte 1-mar-2026), la DLA Piper GDPR Fines Survey y Statista; son aproximados porque las fuentes difieren en metodología y fecha de corte (el total europeo se cita entre 5.880 y 7.100 millones según la fuente). Se distingue entre multa anunciada y firme: la sanción de Amazon en Luxemburgo se anotó como anulada en apelación. El número de multas y el importe medio se tratan como dimensiones separadas. El enfoque regulatorio se atribuye a las declaraciones y prácticas documentadas de cada autoridad.

Las gráficas y el mapa se calculan a partir de los atributos de cada registro. Este rastreo es infraestructura informativa, no asesoría jurídica ni valoración del pasivo de ninguna empresa.

Eventos documentados (11)

1 de noviembre de 2024 GB confirmed

Reino Unido (ICO): escéptico de las multas como herramienta

El Comisionado de Información británico fue un caso atípico en 2024, con muy pocas multas. Su titular, John Edwards, declaró en noviembre de 2024 que no cree que las multas tengan el mayor impacto y que lo enredarían en años de litigios. Tras el Brexit, el Reino Unido aplica su propia versión del GDPR con una filosofía deliberadamente menos sancionadora.

1 de marzo de 2026 SE confirmed

Suecia (IMY): consulta y amonesta antes de imponer multas

La autoridad sueca sigue un enfoque distinto al de los grandes sancionadores: prioriza la consulta y emite amonestaciones o advertencias antes de imponer multas. Su importe acumulado es bajo, pero no por inacción, sino por filosofía regulatoria: la sanción económica es el último recurso, no el primero.

1 de agosto de 2024 NL confirmed

Países Bajos (AP): multas contundentes y selectivas

La autoridad neerlandesa aplica sanciones contundentes aunque menos numerosas: en agosto de 2024 impuso una multa de 290 millones de euros, una de las mayores del año en Europa. Prioriza casos sistémicos sobre el volumen.

1 de marzo de 2026 LU reported

Luxemburgo · Un tribunal anula una gran multa GDPR por motivos procesales, pero mantiene las infracciones

El Tribunal Administrativo de Luxemburgo anuló en marzo de 2026, por motivos procesales, una de las mayores multas GDPR impuestas por la CNPD, aunque mantuvo las infracciones subyacentes y devolvió el caso al regulador. El episodio ilustra una tensión recurrente en la aplicación del GDPR: la validez de las grandes sanciones depende tanto del fondo como de la corrección del procedimiento, y los tribunales no dudan en anular por forma aun cuando confirman el incumplimiento material. Fuera de ese caso, la actividad sancionadora de Luxemburgo es modesta.

1 de marzo de 2026 LU confirmed

Luxemburgo (CNPD): segundo por importe, pero su mayor multa fue anulada

La autoridad luxemburguesa acumula unos 746 millones de euros, casi todos de una sola sanción: la multa a Amazon de 2021 por publicidad sin consentimiento válido. Esa multa fue anulada por motivos procesales por el Tribunal Administrativo de Luxemburgo en marzo de 2026, aunque se confirmaron las infracciones de fondo. Es el ejemplo perfecto de la brecha entre importe anunciado e importe firme.

1 de mayo de 2026 IT reported

Italia · El Garante emite las primeras multas GDPR europeas relacionadas con IA

El Garante italiano, uno de los reguladores de protección de datos más activos de Europa, con cientos de decisiones, registró actividad reciente que incluye las primeras multas GDPR europeas relacionadas con inteligencia artificial, con foco particular en telecomunicaciones, servicios de IA y tratamiento de datos en el ámbito laboral. El dato confirma que la aplicación del GDPR se está extendiendo al terreno de la IA antes incluso de que entren en vigor las obligaciones de alto riesgo del AI Act (2 de agosto de 2026), creando una doble capa de fiscalización sobre los sistemas de IA que tratan datos personales.

1 de marzo de 2026 IT confirmed

Italia (Garante): activa por volumen y atenta a la IA

El Garante italiano es una de las autoridades más activas por número de sanciones (41 en 2024, tercera de la UE) y ha sido pionera en actuar contra servicios de IA por tratamiento de datos. Combina sanciones a grandes y medianas empresas en sectores como utilities y telecomunicaciones.

1 de marzo de 2026 IE confirmed

Irlanda (DPC): la autoridad que concentra más de la mitad del importe total

La Comisión de Protección de Datos de Irlanda lidera con diferencia: unos 4.040 millones de euros acumulados, más del 50% del total europeo, y 9 de las 10 mayores multas del GDPR. Su dominio es estructural: Meta, Google, TikTok, LinkedIn, Apple y Microsoft tienen su sede europea en Dublín, lo que la convierte en autoridad principal bajo la ventanilla única. Mayor multa histórica: Meta, 1.200 millones (2023).

1 de marzo de 2026 FR confirmed

Francia (CNIL): superó a Luxemburgo y es la más agresiva en cookies y ad-tech

La CNIL francesa superó a Luxemburgo en 2025 y es la segunda autoridad que supera los 1.000 millones de euros acumulados, además de Irlanda. Ha sido la más agresiva en consentimiento de cookies y publicidad: en septiembre de 2025 impuso 325 millones a Google y 150 millones a Shein.

1 de marzo de 2026 ES confirmed

España (AEPD): líder por número de multas, pero con importes medios bajos

La Agencia Española de Protección de Datos es la más activa de Europa por volumen: cerca de 1.000 multas desde 2018, la mayor cifra del continente. Pero su importe medio es muy inferior al de otras autoridades. Es la cara opuesta de Irlanda: sanciona mucho y barato, frente a Irlanda que sanciona poco y enorme. En número de multas en 2024 lideró con 107, seguida de Rumanía e Italia.

1 de enero de 2025 DE confirmed

Alemania: enforcement descentralizado entre autoridades regionales

Alemania es un caso particular: su enforcement está repartido entre las autoridades de protección de datos de cada Land (estado federado), además de la federal. Esto produce un volumen relevante de sanciones (unos 45,9 millones en el periodo analizado de 2024) pero disperso, sin la concentración de Irlanda ni el volumen unitario de España.

Metodología

Tipo
event-log
Construcción
Construcción periodística DC
Cadencia
trimestral

Cada registro perfila una autoridad nacional de protección de datos con su importe acumulado de multas GDPR desde 2018, su número aproximado de sanciones, su enfoque regulatorio (sancionar directo, amonestar antes de multar, escéptico de las multas) y su caso más destacado. Los importes proceden de rastreos especializados (CMS, DLA Piper, Statista) y son aproximados por las diferencias de metodología y fecha de corte entre fuentes; se citan rangos cuando las fuentes difieren. Se distingue entre multa anunciada y firme: cuando una sanción ha sido anulada o reducida en apelación, se indica. No se imputan cifras no publicadas. El campo decisivo es el contraste entre importe y volumen, que revela enfoques regulatorios opuestos.

Fuentes consultadas

  1. CMS GDPR Enforcement Tracker Report (7ª ed., corte 1-mar-2026) ↗ academic
  2. DLA Piper GDPR Fines and Data Breach Survey (ene 2026) ↗ academic
  3. Statista — Countries with highest GDPR fines ↗ press