Rastreo comparado del enforcement del GDPR por autoridad nacional de protección de datos. Desde 2018, las autoridades europeas han impuesto unos 7.100 millones de euros en más de 2.600 multas, pero ese total está repartidísimo de forma desigual: Irlanda concentra más de la mitad del importe (por las sedes europeas de las grandes tecnológicas), mientras que España lidera por número de multas con importes medios mucho menores. El rastreo mide dos brechas: importe acumulado frente a número de sanciones (sancionar mucho no es sancionar caro), y la distancia entre la multa anunciada y la firme (la sanción de Amazon de 746 millones fue anulada en apelación). Cada registro perfila una autoridad nacional con su enfoque, su volumen y su caso destacado.
Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.
Coropleta por número de casos forense o judicialmente documentados. Los países sin casos públicos verificables permanecen en el color base — la ausencia de eventos no equivale a ausencia de vigilancia. Pasa el ratón o haz clic en un país coloreado para ver los casos.
Decir que Europa ha multado 7.100 millones de euros con el GDPR oculta lo esencial: ese dinero no lo reparten por igual los Veintisiete. Irlanda concentra más de la mitad del importe con apenas un puñado de multas gigantes; España impone casi mil sanciones, pero mucho más baratas. Sancionar mucho y sancionar caro son dos cosas distintas, y este rastreo las separa.
El GDPR es una sola ley, pero la aplican veintisiete autoridades nacionales más las del Espacio Económico Europeo, y cada una lo hace a su manera. El titular agregado —unos 7.100 millones de euros en multas desde 2018, según el CMS GDPR Enforcement Tracker— es cierto pero engañoso, porque esconde una desigualdad enorme en cómo se reparte ese enforcement. Este rastreo perfila a las principales autoridades para responder la pregunta que el agregado no responde: ¿quién sanciona de verdad, y cómo?
La primera brecha que salta es la del importe frente al volumen. La Comisión de Protección de Datos de Irlanda acumula unos 4.040 millones de euros —más de la mitad del total europeo— con apenas un puñado de multas, nueve de las diez mayores de la historia. España, en cambio, ha impuesto cerca de mil sanciones, la mayor cifra del continente, pero con un importe medio muy inferior. Son dos filosofías opuestas: Irlanda sanciona poco y enorme; España, mucho y barato. Ninguna de las dos es 'la correcta'; son estrategias regulatorias distintas que el dato agregado fusiona y oculta.
El dominio de Irlanda es estructural, no casual: Meta, Google, TikTok, LinkedIn, Apple y Microsoft tienen su sede europea en Dublín, y bajo el mecanismo de ventanilla única del GDPR, la autoridad del país de establecimiento lidera la investigación. Eso convierte a un regulador de un país de cinco millones de habitantes en el árbitro de facto de la privacidad de cientos de millones de europeos.
La segunda brecha que el rastreo captura es la de siempre en este medio: la distancia entre la multa que titula y la que queda firme. Luxemburgo es el caso de manual. Su autoridad figura segunda de Europa por importe acumulado —unos 746 millones— pero casi todo procede de una sola sanción: la multa a Amazon de 2021. Y esa multa fue anulada por motivos procesales por el Tribunal Administrativo de Luxemburgo en marzo de 2026, aunque se confirmaran las infracciones de fondo. Sobre el papel, Luxemburgo es un gran sancionador; en la práctica, su mayor multa se evaporó en apelación.
Y luego están los enfoques que ni siquiera priorizan la multa. Suecia consulta y amonesta antes de sancionar; el Reino Unido, tras el Brexit, aplica una filosofía abiertamente escéptica de las multas —su comisionado declaró que no cree que sean la herramienta de mayor impacto—. Un importe acumulado bajo no significa una autoridad pasiva: puede significar una autoridad que regula con otras herramientas. Por eso el rastreo perfila el enfoque de cada autoridad, no solo su cifra.
Para un delegado de protección de datos, un despacho o una empresa que opera en varios mercados europeos, saber 'cuánto multa Europa' es inútil; lo que importa es qué autoridad le supervisa según dónde tenga su establecimiento principal, y cómo sanciona esa autoridad en concreto. No es lo mismo caer bajo la CNIL francesa —agresiva en cookies y ad-tech— que bajo una autoridad que amonesta antes de multar. El rastreo convierte el agregado europeo en un mapa comparable, autoridad por autoridad, de dónde está el riesgo real.
Ese es el valor del activo: pasar de '7.100 millones en multas GDPR' a 'Irlanda 4.040 millones por concentración estructural, Francia más de 1.000 agresiva en cookies, España casi mil multas pero baratas, Luxemburgo segundo por importe pero con su mayor multa anulada'. Esa granularidad es la diferencia entre un titular y una herramienta de debida diligencia.
El Comisionado de Información británico fue un caso atípico en 2024, con muy pocas multas. Su titular, John Edwards, declaró en noviembre de 2024 que no cree que las multas tengan el mayor impacto y que lo enredarían en años de litigios. Tras el Brexit, el Reino Unido aplica su propia versión del GDPR con una filosofía deliberadamente menos sancionadora.
La autoridad sueca sigue un enfoque distinto al de los grandes sancionadores: prioriza la consulta y emite amonestaciones o advertencias antes de imponer multas. Su importe acumulado es bajo, pero no por inacción, sino por filosofía regulatoria: la sanción económica es el último recurso, no el primero.
La autoridad neerlandesa aplica sanciones contundentes aunque menos numerosas: en agosto de 2024 impuso una multa de 290 millones de euros, una de las mayores del año en Europa. Prioriza casos sistémicos sobre el volumen.
La autoridad luxemburguesa acumula unos 746 millones de euros, casi todos de una sola sanción: la multa a Amazon de 2021 por publicidad sin consentimiento válido. Esa multa fue anulada por motivos procesales por el Tribunal Administrativo de Luxemburgo en marzo de 2026, aunque se confirmaron las infracciones de fondo. Es el ejemplo perfecto de la brecha entre importe anunciado e importe firme.
El Garante italiano es una de las autoridades más activas por número de sanciones (41 en 2024, tercera de la UE) y ha sido pionera en actuar contra servicios de IA por tratamiento de datos. Combina sanciones a grandes y medianas empresas en sectores como utilities y telecomunicaciones.
La Comisión de Protección de Datos de Irlanda lidera con diferencia: unos 4.040 millones de euros acumulados, más del 50% del total europeo, y 9 de las 10 mayores multas del GDPR. Su dominio es estructural: Meta, Google, TikTok, LinkedIn, Apple y Microsoft tienen su sede europea en Dublín, lo que la convierte en autoridad principal bajo la ventanilla única. Mayor multa histórica: Meta, 1.200 millones (2023).
La CNIL francesa superó a Luxemburgo en 2025 y es la segunda autoridad que supera los 1.000 millones de euros acumulados, además de Irlanda. Ha sido la más agresiva en consentimiento de cookies y publicidad: en septiembre de 2025 impuso 325 millones a Google y 150 millones a Shein.
La Agencia Española de Protección de Datos es la más activa de Europa por volumen: cerca de 1.000 multas desde 2018, la mayor cifra del continente. Pero su importe medio es muy inferior al de otras autoridades. Es la cara opuesta de Irlanda: sanciona mucho y barato, frente a Irlanda que sanciona poco y enorme. En número de multas en 2024 lideró con 107, seguida de Rumanía e Italia.
Alemania es un caso particular: su enforcement está repartido entre las autoridades de protección de datos de cada Land (estado federado), además de la federal. Esto produce un volumen relevante de sanciones (unos 45,9 millones en el periodo analizado de 2024) pero disperso, sin la concentración de Irlanda ni el volumen unitario de España.
Cada registro perfila una autoridad nacional de protección de datos con su importe acumulado de multas GDPR desde 2018, su número aproximado de sanciones, su enfoque regulatorio (sancionar directo, amonestar antes de multar, escéptico de las multas) y su caso más destacado. Los importes proceden de rastreos especializados (CMS, DLA Piper, Statista) y son aproximados por las diferencias de metodología y fecha de corte entre fuentes; se citan rangos cuando las fuentes difieren. Se distingue entre multa anunciada y firme: cuando una sanción ha sido anulada o reducida en apelación, se indica. No se imputan cifras no publicadas. El campo decisivo es el contraste entre importe y volumen, que revela enfoques regulatorios opuestos.