Cumplimiento · Herramienta gratuita
Calcula tu sanción RGPD orientativa
Estima en segundos el rango de una posible multa según el artículo 83 del RGPD: tipo de infracción, tu facturación y los factores agravantes o atenuantes que la AEPD tiene en cuenta antes de resolver.
Resultado orientativo
Riesgo medio
—
—
—
Cómo funciona
Un cálculo transparente, en cinco pasos
01
Categoría de infracción
Eliges si la infracción encaja en el art. 83.4 (tope 10 M€/2%) o en el art. 83.5 (tope 20 M€/4%) del RGPD.
02
Tope legal máximo
La herramienta calcula el tope real: el mayor entre el importe fijo y el porcentaje sobre tu facturación global.
03
Factores del art. 83.2
Intencionalidad, reincidencia, cooperación con la AEPD y categorías de datos afectadas suman o restan gravedad.
04
Nivel de riesgo
Con esos factores se sitúa el caso en bajo, medio o alto dentro del tope legal calculado en el paso 2.
05
Rango orientativo
Se muestra un rango en euros, nunca una cifra exacta — la AEPD nunca resuelve con una calculadora automática.
Sanciones RGPD en España
Qué son las sanciones RGPD y cómo se calculan de verdad
El Reglamento General de Protección de Datos (RGPD) fija en su artículo 83 dos topes máximos de sanción según la gravedad de la infracción. Las infracciones del artículo 83.4 —obligaciones del responsable o encargado del tratamiento, del delegado de protección de datos (DPO) o de los organismos de certificación y supervisión— tienen un tope de 10 millones de euros o el 2% de la facturación global anual de la empresa, aplicándose siempre la cifra mayor. Las infracciones del artículo 83.5 —principios básicos del tratamiento, base jurídica, derechos de los interesados o transferencias internacionales de datos— elevan el tope a 20 millones de euros o el 4% de la facturación global.
Esos topes son el límite máximo, no la cifra que aplica la AEPD en cada expediente. El importe real de cada sanción sale del artículo 83.2 del RGPD, que obliga a la autoridad de control a valorar hasta once criterios antes de fijar la multa: la naturaleza, gravedad y duración de la infracción; si fue intencionada o negligente; las medidas tomadas para mitigar el daño a los afectados; el grado de responsabilidad del infractor teniendo en cuenta las medidas técnicas y organizativas que tenía implantadas; el historial de infracciones previas; el grado de cooperación con la autoridad para poner remedio a la infracción; las categorías de datos personales afectadas (los datos de salud, biometría, ideología o de menores agravan la sanción); la forma en que la AEPD tuvo conocimiento de la infracción; el cumplimiento de medidas ordenadas con anterioridad; la adhesión a códigos de conducta aprobados; y cualquier otro factor agravante o atenuante, incluidos los beneficios financieros obtenidos o las pérdidas evitadas.
El Comité Europeo de Protección de Datos (EDPB) armonizó ese proceso en sus Directrices 04/2022 sobre el cálculo de las multas administrativas, que establecen una metodología de cinco pasos para todas las autoridades europeas, incluida la AEPD. Esta calculadora simplifica esos criterios en cuatro factores prácticos —intencionalidad, reincidencia, cooperación y categorías de datos— para dar una idea de rango, no una cifra oficial.
La actividad sancionadora de la AEPD, en cifras
2025 fue el año de mayor actividad sancionadora de la AEPD desde la entrada en vigor del RGPD: cerca de 31.000 reclamaciones recibidas y unos 48 millones de euros en multas impuestas, con más de 300 procedimientos sancionadores resueltos con sanción. La tendencia se mantiene en 2026, con expedientes abiertos también por usos indebidos de inteligencia artificial. Si tu empresa trata datos de clientes, empleados o usuarios —y hoy prácticamente todas lo hacen—, entender qué mueve el importe de una sanción es el primer paso para evitarla.
Esta calculadora es un buen punto de partida, pero no sustituye una auditoría de cumplimiento normativo real. Si quieres entender en profundidad qué obligaciones RGPD aplican a tu empresa y cómo evitar sanciones, consulta también nuestra guía completa de RGPD para empresas.
Casos reales
3 resoluciones reales de la AEPD
10.043.002 €
Aena
Implantó reconocimiento facial biométrico para embarque en varios aeropuertos sin una Evaluación de Impacto (EIPD) válida conforme al artículo 35 del RGPD.
Fuente: cobertura de la resolución AEPD
6.000.000 €
CaixaBank
Cedió datos personales a otras entidades del grupo sin base jurídica válida y sin informar correctamente a los afectados. La Audiencia Nacional redujo después el importe a 2 M€ por concurso medial.
Fuente: FACUA, sobre el expediente AEPD
5.000.000 €
BBVA
Envió comunicaciones comerciales sin una base de consentimiento válida: la casilla de oposición no equivalía a un consentimiento correctamente recabado.
Preguntas frecuentes
Dudas habituales sobre sanciones RGPD
¿Esta calculadora sustituye a una resolución oficial de la AEPD?
No. Es una estimación orientativa basada en los tramos económicos del artículo 83 del RGPD y en una simplificación de los factores del artículo 83.2. La AEPD sigue un procedimiento propio, con las Directrices 04/2022 del Comité Europeo de Protección de Datos (EDPB) sobre cálculo de multas, que valora cada caso de forma individual. El resultado de esta herramienta no es una cifra oficial ni vinculante.
¿Qué diferencia hay entre el artículo 83.4 y el artículo 83.5 del RGPD?
El artículo 83.4 fija un tope máximo de 10 millones de euros o el 2% de la facturación global anual de la empresa, la cifra que sea mayor. El artículo 83.5 cubre las infracciones más graves (por ejemplo, principios básicos del tratamiento, derechos de los interesados o transferencias internacionales) con un tope de 20 millones de euros o el 4% de la facturación global, también la cifra mayor.
¿Qué factores tiene en cuenta la AEPD para fijar el importe exacto de una sanción?
El artículo 83.2 del RGPD lista hasta once criterios: naturaleza y gravedad de la infracción, carácter intencionado o negligente, categorías de datos afectadas, número de personas afectadas, medidas adoptadas para mitigar el daño, reincidencia, grado de cooperación con la autoridad, forma en que se conoció la infracción, cumplimiento de medidas previas, adhesión a códigos de conducta y cualquier otro factor agravante o atenuante, incluidos los beneficios financieros obtenidos.
¿Puede la AEPD sancionar a autónomos y pequeñas empresas?
Sí. El RGPD no excluye a pymes ni autónomos, aunque en la práctica la AEPD suele aplicar sanciones proporcionalmente menores a esta categoría, y la Ley Orgánica 3/2018 (LOPDGDD) prevé apercibimiento en lugar de multa para primeras infracciones de escasa entidad cometidas por entidades de menos de 250 empleados o de facturación reducida, cuando no exista intencionalidad ni reincidencia.
¿Qué hago si he recibido un requerimiento o la apertura de un expediente de la AEPD?
Cuenta con un plazo tasado para alegar, normalmente 10 días hábiles desde la notificación. Es el momento de reunir toda la documentación (registro de actividades, evaluaciones de impacto, evidencias de las medidas de seguridad aplicadas) y valorar con un asesor si procede allanamiento, alegaciones o recurso. Actuar en los primeros días marca la diferencia en el importe final.
¿Quieres que lo revisemos juntos?
Un rango orientativo es un punto de partida, no un diagnóstico. Agenda una sesión gratuita de 30 minutos y revisamos juntos tu exposición real a sanciones RGPD y cómo reducirla.
Dataset de tramos del art. 83 RGPD y casos AEPD actualizados a 16 de julio de 2026 · fuentes citadas en cada caso.