La Agencia Española de Protección de Datos presenta la memoria de actuación de 2025

25-05-2026 — AR/2026/057

En este documento, la Agencia hace un balance de las reclamaciones recibidas, las actuaciones realizadas, las acciones de colaboración e inspección, los informes y los procedimientos más relevantes del año, y analiza las tendencias normativas y los riesgos para la privacidad.

Las Agencia Española de Protección de Datos (AEPD) presentó, el 6-5-2026, la «Memoria anual 2025», que recoge:

  • la actividad supervisora en ese año,
  • un balance de las actuaciones y las acciones de colaboración e inspección puestas en marcha,
  • los informes y procedimientos más relevantes del año, y
  • un análisis de las tendencias normativas y de los desafíos para la privacidad.

A continuación, resumimos los aspectos más relevantes de la memoria.

Volumen de reclamaciones

Aumento histórico

En 2025, la AEPD recibió 30.931 reclamaciones, la cifra más alta registrada en un año, que subió el 64 % respecto a la del 2024.

Atribuye este aumento al mayor conocimiento de la ciudadanía de sus derechos sobre la protección de datos y de los mecanismos para reclamarlos.

Recoge también la memoria 1.118 casos transfronterizos, procedentes de otras autoridades europeas (+36 % respecto al 2024), y 14 casos iniciados de oficio por la propia Agencia. En total, 32.063 nuevas entradas.

Creciente complejidad

La memoria destaca la creciente complejidad de los asuntos y del contenido de las reclamaciones recibidas, debido sobre todo al influjo de las nuevas tecnologías y, en particular, del uso de sistemas de inteligencia artificial (IA).

Procedimientos transfronterizos

La AEPD actuó, durante 2025, como autoridad principal en 47 procedimientos transfronterizos. En 2024 lo hizo en 22 casos.

Además, participó como autoridad interesada en 419 casos, el 20 % más que en 2024.

La Agencia indica que estos datos muestran la creciente relevancia de la cooperación europea.

Cuestiones de especial relevancia

Sanciones impuestas

El total de las multas impuestas superó los 48 millones de euros.

Las áreas de actividad con mayor número de procedimientos sancionadores y de apercibimiento fueron las siguientes con los porcentajes de variación sobre 2024 que se indican:

  • Videovigilancia: 81 procedimientos (-4 %).
  • Servicios de internet: 77 procedimientos (-3 %).
  • Quiebras de datos personales: 46 procedimientos (+229 %).
  • Administraciones públicas: 41 procedimientos (+105 %).
  • Comercio, transporte y hostelerías: 41 procedimientos (+54 %).
  • Sanidad: 34 procedimientos (+278 %).

En cuanto a los recursos interpuestos ante la Audiencia Nacional contra resoluciones de la AEPD, el 76 % resultó inadmitido o desestimado, lo que refleja un elevado grado de confirmación judicial de las resoluciones.

Brechas de datos personales y procedimientos sancionadores

Las brechas de datos personales aumentaron el 157 % en 2025 y dieron lugar a casi 20 millones de euros en sanciones, que representa el 40 % del total de las sanciones impuestas durante el año.

La memoria:

  • advierte de que las infracciones de la protección de datos pueden tener un impacto significativo sobre los derechos y libertades de las personas afectadas, y
  • destaca que un tratamiento de datos mal diseñado o no adaptado a la normativa puede denotar problemas sistémicos en lo que parece un caso aislado y revelar problemas sistémicos con riesgos reales o potenciales para los usuarios del servicio.

Aceleración de la estrategia de IA y preparación frente el RIA

Sobre la inteligencia artificial, la memoria destaca los puntos siguientes:

  1. La publicación de la política de uso de IA generativa.1
  2. La decisión interna de un enfoque «inteligencia artificial primero» o «IA first»,2 para integrar estas herramientas en su actividad administrativa y supervisora.
  3. El desarrollo de las pruebas piloto y de concepto con IA, la formación interna del personal y la inversión en infraestructura propia para ejecutar los sistemas de IA en esa infraestructura (lo que se conoce como soluciones on premise).

Por otra parte, la AEPD expone que ha desarrollado numerosas actuaciones preparatorias para asumir las competencias derivadas del reglamento de IA3 , entre las que destacan:

  • el análisis de procesos, recursos y procedimientos,
  • la planificación de un laboratorio de IA, y
  • el estudio de la interacción entre los reglamentos de protección de datos y de IA.

Por último, la AEPD identifica la IA «agéntica» como una de las cuestiones más relevantes para las autoridades de protección de datos de la Unión a corto plazo, por las consecuencias en tratamientos masivos y complejos de datos personales.

Para abordar los riesgos que implica, la Agencia publicó a principios de este año una guía sobre la IA agéntica.4

Plan estratégico

La AEPD también explica su Plan Estratégico 2025-2030, en el que apuesta por la supervisión apoyada en la tecnología y busca priorizar las áreas con mayor efecto sobre la dignidad y los derechos de las personas para incorporar medidas como el uso de la IA con garantías y el desarrollo de los sistemas avanzados de supervisión.

1 Agencia Española de Protección de Datos: «Política general para el uso de IA generativa en procesos administrativos de la AEPD». Versión del 27-11-2025, disponible en vínculo al margen.
Un enfoque «IA first» («inteligencia artificial primero) es una orientación empresarial y de desarrollo que sitúa a la inteligencia artificial en el centro de todos los procesos, productos y toma de decisiones, en lugar de usarla como un simple complemento.
3 Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.º 300/2008, (UE) n.º 167/2013, (UE) n.º 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial).
4 Agencia Española de Protección de Datos: «Inteligencia artificial agéntica desde la perspectiva de protección de datos». Versión del 2-2026, disponible en vínculo al margen.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información