La prensa cubre las megamultas RGPD (Meta, Amazon, Google) que dan titulares. La referencia de fines de GDPR.eu es útil para la mecánica legal; este artículo complementa con la realidad 2026 de cómo se ven las multas para SaaS de distintos tamaños, para que planifiques en vez de entrar en pánico.
El techo legal vs el suelo operativo
El techo es conocido: hasta 4% de la facturación global anual o 20M EUR (lo que sea más alto) por violaciones graves. El suelo operativo (lo que de verdad pasa a SaaS pequeños y medianos) es mucho más bajo:
| Tamaño | Rango típico | Violación común |
|---|---|---|
| Pre-ingresos / menos de 100k EUR ARR | 500 - 5.000 EUR | Falta de DPO, sin aviso de privacidad |
| 100k - 1M EUR ARR | 2.000 - 30.000 EUR | Notificación de brecha tardía, cookie banner |
| 1M - 10M EUR ARR | 10.000 - 250.000 EUR | Sub-encargados, retención |
| 10M - 100M EUR ARR | 100.000 - 2M EUR | Fallos sistémicos de proceso |
| 100M+ EUR ARR | 500.000 - 50M EUR | Transfronterizo, reincidencia |
Son medianas de autoridades UE para 2024-2025. Hay outliers; la distribución es lo que importa para planificar.
Las 4 palancas que usan los reguladores
1. Naturaleza y gravedad
Número de afectados, sensibilidad del dato, intencional vs negligente. Datos de salud/financieros multiplican la base.
2. Mitigación
Velocidad de respuesta, notificación voluntaria, cooperación. La autodivulgación recorta multas un 30-50% de forma rutinaria.
3. Postura de cumplimiento
DPIAs documentadas, acuerdos con sub-encargados, formación interna. Una empresa que demuestra "lo intentamos" paga menos.
4. Reincidencia
Primeras violaciones reciben warnings o multas bajas. La segunda en la misma área puede ser 5-10x.
La acción de mayor apalancamiento que puede tomar un SaaS pequeño es mantener postura documentada (políticas versionadas, sub-encargados mapeados, DPIA en archivo). Los reguladores citan rutinariamente "la entidad demostró buena fe" como motivo para reducir la base sustancialmente.
Lo que el seguro puede y no puede
El seguro cyber suele cubrir costes de terceros (defensa legal, notificación) pero raras veces cubre la multa regulatoria en jurisdicciones UE. Planifica: el seguro compra la respuesta, no la multa.
Presupuesto realista para 2026
Para SaaS entre 1M y 10M ARR operando en UE:
- Programa de cumplimiento privacy: 30.000-80.000 EUR/año
- Reserva de riesgo por multa: 100.000-250.000 EUR
- Retainer de respuesta a incidentes: 10.000-30.000 EUR/año
Invertir en el programa baja tanto la reserva como el coste de respuesta. La matemática compone.
La referencia de GDPR.eu apunta que las multas son "efectivas, proporcionadas y disuasorias". Traducción operativa para SaaS: la mala fe multiplica multas, la buena fe documentada las divide. Tu rastro de cumplimiento es la variable más grande.
Conclusión
Planifica para la mediana, prepárate para el outlier. Una multa de 30.000 EUR es sobrevivible; una de 2M EUR reestructura la empresa. La varianza se explica mayormente por documentación y postura. Ambas están bajo tu control.
Para mantener políticas versionadas, mapas de sub-encargados y DPIA que los reguladores reconozcan como buena fe, prueba Termerly gratis.
