La Agencia Española de Protección de Datos (AEPD) publicó esta semana su memoria 2025 con cifras récord: 30.931 reclamaciones presentadas (un 64% más que en 2024), 48.108.765 euros en sanciones totales, y 77 procedimientos abiertos solo por brechas de datos (un 157% más que el año anterior). El salto no es marginal, es señal estructural: la concienciación ciudadana subió, la complejidad de los casos aumentó y los reguladores están escalando capacidad. Este artículo aterriza qué dice ese dato para tu SaaS y cinco capas operativas que reducen drásticamente la probabilidad de ser el próximo expediente.
Lo que las cifras 2025 indican sobre 2026-2027
- Las reclamaciones por brechas crecen al doble del ritmo que las generales: 77 procedimientos en 2025 vs 30 en 2024 (+157%). El usuario sabe ahora qué es una brecha y dónde reportarla.
- Los casos transfronterizos lideran: 1.118 nuevos casos (+36%) y 47 liderados por la AEPD como autoridad principal (+114%). Si tu SaaS opera en varios países UE, tu juez ya no es solo el de tu país de sede.
- La cifra acumulada de DPOs registrados llegó a 126.176, lo que normaliza la figura: el regulador ya no acepta "no sabíamos que necesitábamos uno".
Las áreas donde la AEPD reportó más actividad sancionadora
| Área | Por qué le interesa al regulador |
|---|---|
| Brechas de seguridad sin notificar | Sanciones por 19,8 millones de euros en 2025 |
| Cookies y trackers | Casos visibles, fácil verificación, sanciones recurrentes |
| Información incompleta al usuario | Política de privacidad poco clara, base legal sin documentar |
| Cesión de datos a terceros sin base | Tracking pixels, integraciones con marketing tools sin consentimiento |
| Procesamiento sin DPO designado | Cuando legalmente lo requiere y la empresa no tiene uno |
Las cinco capas que reducen el riesgo
1. Una política de privacidad por jurisdicción real, no copy-paste
Una política que dice "cumplimos RGPD" sin desglosar bases legales, retención, derechos del usuario y procedimiento de reclamación es inválida ante la AEPD. Cada flujo de datos personales en tu producto debe mapearse a una base legal (consentimiento, contrato, interés legítimo, obligación legal) y aparecer documentado.
2. Consent banner que registra versión aceptada
Cuando llega una reclamación de cookies, tu defensa es probar qué política de cookies aceptó el usuario en qué fecha. Un banner que solo registra "sí/no" sin trazabilidad de versión no defiende. Un banner que loggea timestamp + versión del documento sí.
3. Notificación de brechas en 72h con proceso ensayado
El plazo del Artículo 33 RGPD es 72 horas. La mayoría de SaaS pequeños descubren a las 70h que no tienen claro a quién avisar internamente, qué se notifica, qué no, y dónde se rellena el formulario AEPD. Tener un runbook de 1 página listo es la diferencia entre cumplir y no.
4. Acuerdos con encargados de tratamiento al día
Si usas Stripe, AWS, SendGrid, HubSpot o cualquier herramienta que toque datos personales, necesitas un DPA (Data Processing Agreement) firmado y vigente. Las auditorías arrancan con "enséñenos los contratos"; si faltan, el procedimiento se alarga.
5. Registro de actividades de tratamiento (RAT) escrito
Artículo 30 RGPD: documento interno con qué datos procesas, por qué, dónde van, cuánto los retienes. No se publica, pero el regulador puede pedirlo. Una hoja en Notion sirve si tiene el contenido correcto.
El error más común que ve la AEPD en SaaS pequeños no es maldad, es desorden. Las cinco capas anteriores no requieren tecnología cara: requieren disciplina de mantenerlas vigentes. La diferencia entre el SaaS que sale ileso y el que paga 100.000 euros suele ser una tarde de organización.
El "Canal Prioritario" y por qué importa
La AEPD habilitó un Canal Prioritario para contenido sensible (no consentido, íntimo, de menores) con resolución acelerada. Si tu SaaS gestiona perfiles de usuario, fotos, o contenido visual generado por usuarios, debes tener un proceso de takedown rápido. No tenerlo no es ya "buenas prácticas", es exposición regulatoria.
Recursos oficiales que conviene tener marcado
- La página de herramientas web de la AEPD ofrece guías sectoriales y plantillas oficiales
- El nuevo herramientas interactiva para consultar notificaciones de brechas permite ver qué reportan otras empresas y aprender de los casos
- El Plan Estratégico 2025-2030 de la AEPD marca los enfoques regulatorios prioritarios (IA, menores, brechas)
El incremento del 64% en reclamaciones "evidencia creciente complejidad en casos debido a nuevas tecnologías" (memoria 2025 de la AEPD). Traducción operativa: el regulador no se está relajando, está escalando capacidad y enfoque.
Conclusión
2025 fue el año de la normalización del reclamo en España. Los SaaS que arrancan 2026 sin las cinco capas básicas operativas tienen una probabilidad real, no teórica, de aparecer en la siguiente memoria de la AEPD. Las herramientas para ponerse en orden son baratas; el coste de no hacerlo crece año a año.
Si quieres centralizar la generación y actualización de política de privacidad, cookies, ToS, y mantener historial de versiones por proyecto en un único dashboard, Termerly es gratis y cubre los requisitos del RGPD desde el primer día.
