17 de febrero de 2026 EU confirmed
X (Twitter) · 120 M€: primera gran multa bajo la Ley de Servicios Digitales (DSA)
La Comisión Europea multó a X (antes Twitter) con 120 millones de euros por violaciones de la Ley de Servicios Digitales (DSA). La decisión sancionó tres incumplimientos: falta de transparencia de su biblioteca de anuncios, no facilitar a los investigadores el acceso a los datos exigido por la norma, y engañar a los usuarios con la marca de verificación (la marca 'verificada' que, según la Comisión, no verifica realmente las cuentas). Es una de las primeras grandes sanciones bajo la DSA, el régimen europeo que regula el contenido y la transparencia de las grandes plataformas, distinto del DMA (que regula la competencia). El mismo día, la Comisión anunció que había aceptado compromisos vinculantes de TikTok sobre la transparencia de su repositorio de anuncios, sin imponerle multa, subrayando que su objetivo prioritario es el cumplimiento, no la sanción.
2 de septiembre de 2021 IE confirmed
WhatsApp · 225 M€ por falta de transparencia (el EDPB forzó a multiplicar por cuatro la multa inicial)
La Comisión de Protección de Datos de Irlanda (DPC) multó a WhatsApp con 225 millones de euros por no informar de forma transparente a usuarios y no usuarios sobre cómo trataba sus datos. El caso ilustra el peso del Comité Europeo de Protección de Datos (EDPB): la DPC había propuesto inicialmente una multa de unos 50 millones, pero el mecanismo de resolución de disputas del EDPB obligó a Irlanda a recalcularla al alza hasta los 225 millones. Es un dato relevante para el comprador porque muestra que la autoridad local no siempre tiene la última palabra sobre el importe, y que el organismo europeo puede endurecer las sanciones.
19 de enero de 2023 IE confirmed
WhatsApp · 5,5 M€ por la misma base legal indebida para el tratamiento de datos
La Comisión de Protección de Datos de Irlanda (DPC) multó a WhatsApp con 5,5 millones de euros, en la misma línea doctrinal que la sanción de 390 millones a Meta de dos semanas antes: la empresa no podía basar el tratamiento de datos para la mejora del servicio y la seguridad en la 'necesidad contractual' en lugar del consentimiento de los usuarios. El caso, originado también en denuncias de NOYB, refuerza el criterio de la autoridad europea sobre los límites de la 'base contractual' como justificación para el tratamiento de datos personales en servicios digitales.
26 de agosto de 2024 NL confirmed
Uber · 290 M€ por transferir datos de conductores europeos a EE. UU.
La autoridad de protección de datos de los Países Bajos (AP) sancionó a Uber con 290 millones de euros por transferir datos personales de conductores europeos a Estados Unidos sin garantías adecuadas durante un periodo de más de dos años, tras la invalidación del Privacy Shield. Es una de las mayores sanciones impuestas por la autoridad neerlandesa y se sitúa entre las diez mayores del GDPR.
1 de septiembre de 2025 US confirmed
Tractor Supply · 1,35 M$: mayor multa de la agencia de privacidad de California (CPPA)
La Agencia de Protección de la Privacidad de California (CPPA) —distinta de la fiscalía general— alcanzó su mayor sanción hasta la fecha, 1,35 millones de dólares, con Tractor Supply Company. El caso giró en torno a un mecanismo 'No vender mis datos' que no funcionaba: la empresa no atendía las solicitudes de exclusión enviadas por formulario web, no honraba las señales de privacidad del navegador (Global Privacy Control) y su aviso de privacidad no informaba de los derechos CCPA. La CPPA, que empezó a emitir decisiones públicas en 2024, tiene cientos de investigaciones en curso y desde enero de 2026 exige auditorías de ciberseguridad obligatorias.
15 de enero de 2020 IT confirmed
TIM · 27,8 M€ por marketing agresivo y tratamiento indebido de datos de clientes
La autoridad italiana de protección de datos (Garante) multó a la operadora de telecomunicaciones TIM con 27,8 millones de euros por múltiples infracciones del GDPR relacionadas con el tratamiento de datos de clientes: llamadas publicitarias excesivas sin el consentimiento adecuado de los destinatarios, gestión deficiente del consentimiento, listas de contacto desactualizadas y otras prácticas de marketing agresivo que afectaron a millones de personas. Es una de las mayores sanciones del Garante italiano y un referente sobre los límites del telemarketing y la gestión del consentimiento en el sector de las telecomunicaciones.
2 de mayo de 2025 IE confirmed
TikTok · 530 M€ por transferencias de datos a China y falta de transparencia
La Comisión de Protección de Datos de Irlanda (DPC) impuso a TikTok una multa de 530 millones de euros (unos 601 millones de dólares) por incumplir el GDPR en relación con las transferencias de datos de usuarios europeos a China y por falta de transparencia. Es la tercera mayor sanción GDPR de la historia, solo por detrás de las de Amazon (746 M€) y Meta (1.200 M€). La decisión citó infracciones de los artículos 13(1)(f) y 46(1). TikTok anunció que recurriría la decisión.
1 de septiembre de 2023 IE confirmed
TikTok · 345 M€ por la privacidad de los menores (cuentas públicas por defecto)
La Comisión de Protección de Datos de Irlanda (DPC) sancionó a TikTok con 345 millones de euros por incumplir el GDPR en el tratamiento de datos de menores durante 2020: las cuentas de menores se configuraban como públicas por defecto, permitiendo a cualquiera ver y comentar sus vídeos, y hubo deficiencias en la verificación de edad y en la función 'Family Pairing'. La decisión citó infracciones de varios artículos (equidad, minimización de datos, privacidad por diseño). La DPC emitió una reprimenda y ordenó corregir las prácticas en tres meses.
4 de abril de 2023 GB confirmed
TikTok · 12,7 M£ en Reino Unido por uso indebido de datos de menores (reducida desde 27 M£)
El ICO británico multó a TikTok con 12,7 millones de libras por incumplir el UK GDPR entre 2018 y 2020, principalmente por no proteger la privacidad de los menores: prestó servicios a hasta 1,4 millones de niños británicos menores de 13 años sin el consentimiento de sus padres (pese a que sus propios términos lo prohibían), no explicó de forma comprensible cómo usaba sus datos y no trató los datos de forma lícita, leal y transparente (arts. 5, 8, 12). La multa se redujo desde los 27 millones inicialmente propuestos porque el ICO decidió no perseguir la imputación sobre uso de datos de categorías especiales. Es la tercera mayor multa del ICO, tras British Airways y Marriott. TikTok discrepó y se planteó recurrir el importe.
6 de julio de 2023 BR confirmed
Telekall Infoservice · BRL 14.400: la primera multa de la historia bajo la LGPD brasileña
La Autoridad Nacional de Protección de Datos de Brasil (ANPD) impuso su primera sanción de la historia bajo la LGPD a Telekall Infoservice, una pequeña empresa de telemarketing, con multas que totalizaron 14.400 reales (unos 3.000 dólares). El caso nació de un procedimiento por filtración de datos: la empresa ofrecía datos de miles de ciudadanos de São Paulo a candidatos políticos para la transmisión masiva de campaña en 2020. La ANPD constató falta de base legal para el tratamiento (art. 7), ausencia de un responsable de protección de datos (art. 41) y obstrucción a la investigación. El importe es simbólico —la LGPD permite multas de hasta 50 millones de reales por infracción— por tratarse de una empresa pequeña, pero la decisión sentó precedente: la ANPD sanciona con independencia del tamaño de la empresa. No es firme y puede recurrirse.
7 de abril de 2025 SG confirmed
Singapore Data Hub · 17.500 SGD: la PDPC de Singapur sanciona una brecha de 689.000 personas
La Comisión de Protección de Datos Personales de Singapur (PDPC) ordenó a Singapore Data Hub pagar una multa de 17.500 dólares singapurenses por incumplir su obligación de protección bajo la PDPA: una brecha exfiltró datos personales de 689.000 personas, que probablemente se publicaron en un foro de hacking. La investigación reveló que los servidores afectados eran accesibles públicamente, usaban sistemas operativos obsoletos y carecían de pruebas de seguridad. El caso ilustra dos cosas para el comprador: que la aplicación en el sudeste asiático es activa pero de cuantía baja, y que las multas de la PDPA son moderadas comparadas con las europeas, un dato de contexto regulatorio relevante para evaluar el riesgo por región.
3 de septiembre de 2025 FR confirmed
Shein · 150 M€ por cookies: la CNIL extiende su ofensiva al comercio rápido
El mismo día que sancionó a Google, la CNIL francesa impuso a la plataforma de comercio rápido Shein una multa de 150 millones de euros por violaciones relativas al consentimiento de cookies. La sanción ilustra que la ofensiva de la CNIL sobre las cookies no se limita a las grandes tecnológicas estadounidenses, sino que alcanza a los gigantes del comercio electrónico de otras geografías. Para Shein, las multas de privacidad son relativamente nuevas, en un contexto 2024-2025 de creciente escrutinio regulatorio, aunque buena parte se ha centrado más en protección al consumidor que en pura privacidad.
24 de agosto de 2022 US confirmed
Sephora · 1,2 M$: primer gran acuerdo CCPA de la fiscalía de California
La fiscalía general de California alcanzó un acuerdo de 1,2 millones de dólares con Sephora, el primer gran caso de aplicación de la ley de privacidad del consumidor de California (CCPA). La fiscalía concluyó que Sephora vendía datos personales de los clientes sin revelarlo, no procesaba las solicitudes de exclusión enviadas mediante señales de privacidad del navegador y no corrigió las infracciones en el plazo de subsanación. Sentó el criterio temprano de que compartir datos con terceros para publicidad cuenta como 'venta' bajo la CCPA.
22 de diciembre de 2022 FR confirmed
Microsoft · 60 M€ por las cookies de Bing (rechazo más difícil y cookie antifraude sin consentimiento)
La CNIL francesa multó a Microsoft con 60 millones de euros por las cookies de su buscador Bing: era más fácil aceptarlas que rechazarlas, y además se depositaba sin consentimiento ni conocimiento del usuario una cookie destinada a combatir el fraude publicitario. Microsoft fue hallada en infracción del artículo 82 de la ley francesa, lo que permitió a la CNIL actuar directamente pese a que la sede regional de la empresa está en Irlanda. El importe se basó en el número de afectados y en el beneficio obtenido del sistema. Es otra pieza de la ofensiva francesa sobre cookies, esta vez sobre una gran tecnológica estadounidense más.
5 de junio de 2023 US confirmed
Microsoft (Xbox) · 20 M$ por recoger datos de menores en Xbox Live sin consentimiento
Microsoft acordó pagar 20 millones de dólares y actualizar sus protocolos de privacidad para resolver los cargos de la FTC por violar la ley de privacidad infantil (COPPA) con su servicio Xbox Live: recopilaba información personal de menores durante el registro sin obtener el consentimiento de los padres ni informarles adecuadamente, y retenía esos datos. Es parte de una serie de acciones de la FTC en 2022-2023 centradas en la protección de los datos de menores en servicios de videojuegos y asistentes de voz, un foco regulatorio claro del periodo.
23 de abril de 2025 EU confirmed
Meta · 200 M€ por el modelo 'consentir o pagar' bajo la DMA
La Comisión Europea impuso a Meta una multa de 200 millones de euros (caso DMA.100055) por incumplir el artículo 5(2) de la Ley de Mercados Digitales con su modelo 'consentir o pagar' en Facebook e Instagram entre marzo y noviembre de 2024: la Comisión concluyó que Meta no ofreció a los usuarios una alternativa equivalente que usara menos datos personales, privándoles de una elección libre sobre la combinación de sus datos. Como Meta dejó de ofrecer ese modelo y el nuevo está bajo revisión, no se emitió orden de cese. Para contextualizar el importe, la Comisión había multado a Meta el año anterior con 797 millones por una infracción antimonopolio de unos 7 años. Meta anunció recurso.
1 de noviembre de 2025 ES confirmed
Meta · 479 M€ por vía judicial: un tribunal de Madrid falla a favor de 87 medios
Un tribunal de Madrid condenó a Meta a pagar 479 millones de euros tras fallar a favor de 87 empresas de medios españolas que alegaron que las prácticas de datos de la compañía le dieron una ventaja desleal en el mercado de la publicidad en línea. El tribunal consideró que Meta procesó datos de usuarios de forma ilícita: cuando el GDPR entró en vigor en 2018, Meta cambió la base legal de la recogida de datos de 'consentimiento del usuario' a 'necesidad contractual', justificación que los reguladores rechazaron. Es un caso relevante porque la sanción llega por vía judicial civil (demanda de competidores), no por una autoridad de protección de datos, lo que ilustra una vía de exposición distinta para las plataformas.
22 de mayo de 2023 IE confirmed
Meta · 1.200 M€ por transferencias de datos a EE. UU. (la mayor multa GDPR de la historia)
La Comisión de Protección de Datos de Irlanda (DPC) impuso a Meta Platforms una multa de 1.200 millones de euros por transferir datos personales de usuarios de Facebook en la UE a Estados Unidos sin garantías adecuadas, incumpliendo la sentencia Schrems II del Tribunal de Justicia de la UE que invalidó el marco Privacy Shield. Además de la multa, se ordenó a Meta cesar las transferencias y corregir sus prácticas en cinco meses. Es la mayor sanción GDPR jamás impuesta. Meta anunció de inmediato su intención de recurrir, argumentando que operaba dentro del marco legal disponible y confiando en que un nuevo acuerdo de adecuación UE-EE. UU. resolvería el problema de fondo.
4 de enero de 2023 IE confirmed
Meta · 390 M€ por basar la publicidad personalizada en el 'contrato' y no en el consentimiento
La Comisión de Protección de Datos de Irlanda (DPC) multó a Meta con 390 millones de euros (210 millones por Facebook y 180 por Instagram) tras tres denuncias de la organización NOYB de Max Schrems. La DPC concluyó que Meta no podía basar la publicidad personalizada en la 'necesidad contractual' —una cláusula de sus términos de servicio— en lugar de obtener el consentimiento de los usuarios. Es un caso doctrinalmente decisivo: cuestionó el modelo de negocio publicitario de Meta en la UE y le obligó a buscar una base legal distinta para la publicidad dirigida. Forma parte de la larga serie de sanciones de la DPC irlandesa contra Meta. La misma semana, la DPC añadió una multa de 5,5 millones a WhatsApp por el mismo asunto.
27 de septiembre de 2024 IE confirmed
Meta · 91 M€ por almacenar contraseñas de usuarios en texto plano
La Comisión de Protección de Datos de Irlanda (DPC) multó a Meta con 91 millones de euros tras una investigación sobre un incidente de 2019 en el que la empresa almacenó contraseñas de usuarios de redes sociales en formato no cifrado (texto plano) en sus sistemas internos. La DPC concluyó que Meta infringió las obligaciones del GDPR de notificar la brecha y de aplicar medidas técnicas adecuadas para garantizar la seguridad de los datos. Es un caso de referencia sobre la seguridad básica del almacenamiento de credenciales y se suma a la larga serie de sanciones de la DPC irlandesa a Meta, que superan en conjunto los 3.000 millones de euros.
25 de noviembre de 2022 IE confirmed
Meta (Facebook) · 265 M€ tras hallarse datos de usuarios en un foro de hacking
La Comisión de Protección de Datos de Irlanda (DPC) sancionó a Meta con 265 millones de euros después de que datos personales de usuarios de Facebook aparecieran en un foro de hacking en línea. La autoridad concluyó que Meta no había aplicado las medidas técnicas y organizativas adecuadas para proteger los datos frente al 'scraping' (extracción masiva) que dio lugar a la filtración, infringiendo las obligaciones de protección de datos por diseño y por defecto.
5 de septiembre de 2022 IE confirmed
Instagram (Meta) · 405 M€ por el tratamiento de datos de menores
La Comisión de Protección de Datos de Irlanda (DPC) sancionó a Meta con 405 millones de euros por la gestión de los datos de menores en Instagram, en particular por permitir que cuentas de adolescentes mostraran direcciones de correo y números de teléfono en cuentas de empresa, y por configurar como públicas por defecto las cuentas de usuarios menores. Es una de las mayores sanciones por protección de datos de menores bajo el GDPR.
31 de diciembre de 2021 FR confirmed
Facebook (Meta) · 60 M€ por un botón de rechazo de cookies confuso y engañoso
El mismo día que sancionó a Google, la CNIL francesa multó a Facebook Ireland con 60 millones de euros por exigir varios clics para rechazar las cookies en facebook.com, frente al clic único para aceptarlas. El botón para rechazarlas estaba al final de una segunda página y, de forma confusa, llevaba la etiqueta 'Aceptar cookies'. Como en el caso de Google, la sanción se basó en la Directiva ePrivacy y en el número de usuarios afectados. Junto a las cookies, ilustra la ofensiva sistemática de la CNIL contra los patrones oscuros en el consentimiento.
24 de julio de 2019 US confirmed
Meta (Facebook) · 5.000 M$: la mayor sanción de privacidad de la historia de EE. UU. (FTC)
La Comisión Federal de Comercio de EE. UU. (FTC) impuso a Facebook una sanción récord de 5.000 millones de dólares para resolver los cargos de que la empresa había violado una orden de la FTC de 2012 al engañar a los usuarios sobre su capacidad de controlar la privacidad de sus datos, en el contexto del escándalo de Cambridge Analytica (la consultora que recopiló datos de millones de usuarios para perfiles psicológicos usados en publicidad política en las elecciones de 2016). Es, con diferencia, la mayor sanción de privacidad jamás impuesta en EE. UU. y una de las mayores del mundo. Además del importe, la orden de 20 años reestructuró la gobernanza de privacidad de la empresa. Facebook la registró en sus cuentas y no la recurrió.
23 de diciembre de 2022 US confirmed
Meta · 725 M$: el mayor acuerdo de demanda colectiva de privacidad de EE. UU.
Meta acordó pagar 725 millones de dólares para resolver una demanda colectiva derivada del escándalo de Cambridge Analytica, presentada por usuarios de Facebook. Es el mayor acuerdo de una demanda colectiva de privacidad en la historia de EE. UU. —superior a cualquier sanción de una autoridad estatal individual— e ilustra un mecanismo de aplicación distinto del regulatorio: las demandas colectivas privadas, que escalan con el número de afectados sin necesidad de que un regulador actúe primero. Es un complemento al acuerdo de 5.000 millones con la FTC sobre los mismos hechos: la misma conducta generó exposición tanto regulatoria como civil.
5 de noviembre de 2024 KR confirmed
Meta · 21.600 M₩ (~15 M$) en Corea por recoger datos sensibles de 980.000 usuarios
La PIPC de Corea del Sur multó a Meta con 21.620 millones de wones (unos 15 millones de dólares) tras una investigación de cuatro años (2018-2022) que concluyó que la empresa recopiló ilegalmente información sensible de unos 980.000 usuarios de Facebook —incluidas creencias políticas y religiosas y orientación sexual— y la compartió con miles de anunciantes. La PIPC señaló además que Meta no implementó protocolos básicos de seguridad, como bloquear cuentas inactivas, y se negó injustificadamente a dar acceso a los usuarios a sus datos. Junto a la multa, emitió una orden correctiva. Meta dijo que 'revisaría cuidadosamente' la decisión.
15 de octubre de 2021 CN confirmed
Meituan · 3.442 M¥ (~541 M$) por la misma práctica de exclusividad de plataforma
La SAMR china multó a Meituan, la mayor plataforma de reparto de comida del país, con 3.442 millones de yuanes (unos 541 millones de dólares), el 3% de sus ventas de 2020, por abuso de posición dominante mediante la misma práctica de 'elegir uno de dos': prohibía a los restaurantes operar simultáneamente en plataformas competidoras. Fue la tercera gran empresa tecnológica sancionada por esta conducta tras Alibaba y Sherpa's. Junto a Alibaba, Meituan concentró el 92% de los 23.600 millones de yuanes en multas antimonopolio que China impuso en 2021, un aumento de más de 50 veces respecto a 2020.
30 de octubre de 2020 GB confirmed
Marriott · 18,4 M£ por la brecha de 339 millones de registros (reducida desde ~99 M£)
El ICO británico multó a Marriott International con 18,4 millones de libras por no proteger los datos de sus clientes: la brecha comprometió cerca de 339 millones de registros de huéspedes, incluidos siete millones de residentes en el Reino Unido, con nombres, correos, teléfonos, números de pasaporte, datos de llegada y salida, estatus VIP y números de fidelización. Como en el caso de British Airways, el ICO había propuesto inicialmente una multa mucho mayor (~99 millones de libras) que redujo en más de un 81% tras las alegaciones de la empresa y la retirada de ciertas imputaciones. Es la segunda mayor multa del ICO por una brecha, detrás de la de British Airways.
22 de octubre de 2024 IE confirmed
LinkedIn · 310 M€ por análisis de comportamiento y publicidad dirigida
La Comisión de Protección de Datos de Irlanda (DPC) sancionó a LinkedIn Ireland con 310 millones de euros por el tratamiento ilícito de datos de usuarios para análisis de comportamiento y publicidad dirigida. El caso se originó en una reclamación de la organización francesa La Quadrature du Net. La decisión cuestionó la base legal con la que LinkedIn procesaba los datos para fines publicitarios.
1 de octubre de 2020 DE confirmed
H&M · 35,3 M€ por vigilancia de empleados: mayor multa GDPR por datos laborales
El Comisionado de Protección de Datos de Hamburgo (Alemania) multó a la cadena de moda H&M con 35,3 millones de euros por la vigilancia extensiva de empleados en su centro de servicios de Núremberg. Los investigadores hallaron que la empresa mantenía registros excesivos e intrusivos sobre su plantilla, incluidos detalles sobre sus familias, religiones, enfermedades, vacaciones, síntomas médicos y diagnósticos. Tras un error técnico, esos datos quedaron accesibles para toda la red de la empresa durante unas horas, lo que destapó el caso. Es la mayor multa GDPR jamás impuesta por la vigilancia de empleados y un referente sobre los límites del control laboral.
13 de diciembre de 2021 NO confirmed
Grindr · ~65 M NOK en Noruega por ceder datos a terceros sin consentimiento (mayor multa de la DPA noruega)
La autoridad de protección de datos de Noruega (Datatilsynet) multó a Grindr, la app de citas estadounidense, por enviar datos personales de sus usuarios a terceros con fines publicitarios sin consentimiento válido. La autoridad consideró que Grindr 'vendió' deliberadamente datos personales —incluido el hecho de ser usuario de una app dirigida a la comunidad LGTBI, un dato especialmente sensible— y que las transacciones infringían el GDPR. Fue la mayor multa jamás impuesta por la DPA noruega, al considerar las infracciones 'graves'. El importe inicial fue mayor, pero se redujo tras alegar Grindr una situación financiera ajustada: otro ejemplo de cómo el desenlace modula la cifra final.
27 de junio de 2017 EU confirmed
Google · 2.420 M€ por Google Shopping (confirmada por el TJUE en 2024, recursos agotados)
La Comisión Europea sancionó a Google con 2.420 millones de euros por favorecer su propio servicio de comparación de compras (Google Shopping) en los resultados generales de su buscador, en detrimento de los comparadores rivales. Fue la primera de las tres grandes multas antimonopolio de la UE a Google. El caso recorrió todas las instancias: en septiembre de 2024, el Tribunal de Justicia de la UE (la corte suprema del bloque) rechazó el recurso final de Google, agotando todas las apelaciones y dejando la multa firme y definitiva. Es un ejemplo del extremo opuesto a las multas anuladas: aquí el desenlace, tras siete años de litigio, confirmó íntegramente la sanción.
18 de julio de 2018 EU confirmed
Google · 4.340 M€ por Android (récord antimonopolio; reducida a 4.125 M€ en apelación)
La Comisión Europea impuso a Google una multa récord de 4.340 millones de euros por usar su sistema operativo Android para consolidar el dominio de su buscador: obligaba a los fabricantes a preinstalar Google Search y Chrome junto a la tienda Play, les pagaba por preinstalar solo Google Search y les impedía usar versiones rivales de Android. Es un caso modélico de por qué el desenlace importa: en 2022 el Tribunal General confirmó en lo esencial la decisión pero redujo la multa a 4.125 millones de euros al discrepar en parte del razonamiento sobre los acuerdos de reparto de ingresos. Google recurrió ante el TJUE, cuya abogada general recomendó desestimar el recurso. Sigue siendo la mayor multa antimonopolio de la historia de la UE.
5 de septiembre de 2025 EU confirmed
Google · 2.950 M€ por su tecnología publicitaria (con agravante de reincidencia, +60%)
La Comisión Europea impuso a Google una multa de 2.950 millones de euros por prácticas abusivas en su tecnología de publicidad en línea (ad-tech), favoreciendo sus propios servicios de intermediación de anuncios. Es la segunda mayor multa antimonopolio jamás impuesta a Google. Un detalle relevante para el comprador: dado que Google ya había sido sancionada en 2017, 2018 y 2019, su conducta se calificó de reincidencia, lo que elevó el importe en un 60%. Ilustra cómo el historial sancionador previo agrava las multas posteriores.
20 de marzo de 2019 EU confirmed
Google · 1.490 M€ por AdSense (restricciones a la publicidad de competidores)
La Comisión Europea multó a Google con 1.490 millones de euros por abusar de su posición dominante en la publicidad en buscadores: impedía que los propietarios de sitios web que usaban su producto AdSense mostraran anuncios de búsqueda de competidores de Google. Es la tercera de las grandes multas antimonopolio de la UE a Google, que en conjunto suman unos 8.250 millones de euros. Google la recurrió.
31 de diciembre de 2021 FR confirmed
Google LLC · 90 M€ por las cookies de YouTube (parte de la sanción combinada de 150 M€)
Dentro de la sanción combinada de 150 millones de euros que la CNIL francesa impuso a Google el 31 de diciembre de 2021, 90 millones correspondieron específicamente a Google LLC por las cookies de youtube.com: los usuarios no podían rechazar las cookies con la misma facilidad con que las aceptaban. La CNIL dio a Google tres meses para cambiar el aspecto y funcionamiento de su aviso de cookies bajo penalización diaria. Se registra de forma separada del tramo de Google Ireland para reflejar la atribución exacta por entidad, un nivel de detalle relevante para el análisis de cumplimiento.
3 de septiembre de 2025 FR confirmed
Google · 325 M€ por cookies y anuncios en Gmail: mayor multa de la CNIL francesa
La autoridad francesa de protección de datos (CNIL) multó a Google con 325 millones de euros (unos 381 millones de dólares) por mostrar anuncios entre los correos de los usuarios en Gmail sin su consentimiento y por colocar cookies de seguimiento en las cuentas nuevas durante el registro. Es la mayor multa de la historia de la CNIL, que ya había sancionado a Google con 50 millones en 2019 y con multas por cookies en 2020 y 2021. La decisión es resultado de varias investigaciones entre 2022 y 2023, y refleja la persistencia de la CNIL en la aplicación de las reglas de consentimiento de cookies.
31 de diciembre de 2021 FR confirmed
Google · 150 M€ por dificultar el rechazo de cookies en google.fr y YouTube
La CNIL francesa multó a Google con 150 millones de euros (90 millones a Google LLC y 60 a Google Ireland) por no permitir a los usuarios de google.fr y youtube.com rechazar las cookies con la misma facilidad con que podían aceptarlas: aceptar requería un solo clic, mientras que rechazarlas exigía al menos cinco acciones distintas. La CNIL emitió además un requerimiento para corregirlo en tres meses bajo multa de 100.000 euros por día de retraso. Google cumplió añadiendo un botón de rechazo, y la CNIL cerró el requerimiento en julio de 2023. Es un caso clave sobre 'patrones oscuros' en los avisos de cookies, regido por la Directiva ePrivacy (no por el mecanismo de ventanilla única del GDPR).
21 de enero de 2019 FR confirmed
Google · 50 M€: la primera gran multa GDPR de la CNIL (transparencia y consentimiento publicitario)
La CNIL francesa impuso a Google LLC una multa de 50 millones de euros, tras una serie de denuncias de las organizaciones NOYB y La Quadrature du Net presentadas en los primeros días de aplicación del GDPR. La CNIL concluyó que Google no proporcionaba información suficientemente transparente y accesible sobre cómo trataba los datos para personalizar la publicidad, y que el consentimiento obtenido no era válido (ni específico ni inequívoco). Fue la primera gran multa GDPR de la CNIL y una de las primeras sanciones significativas del nuevo régimen en Europa, marcando el inicio de la aplicación seria contra las grandes tecnológicas.
14 de noviembre de 2022 US confirmed
Google · 391,5 M$: acuerdo récord con 40 fiscales estatales por geolocalización
Google aceptó un acuerdo de 391,5 millones de dólares con un bloque de 40 fiscales generales estatales de EE. UU. por prácticas engañosas de rastreo de ubicación: la investigación concluyó que la empresa siguió recopilando la localización de los usuarios incluso cuando estos creían haberla desactivado. Fue, en su momento, el mayor acuerdo multiestatal de privacidad de la historia de EE. UU. y un ejemplo del mecanismo de aplicación más potente del país a falta de ley federal: la acción coordinada de fiscales estatales. El acuerdo incluyó obligaciones de mayor transparencia sobre el rastreo de ubicación.
14 de septiembre de 2022 KR confirmed
Google · 69.200 M₩ (~50 M$) en Corea del Sur: mayor multa de datos del país
La Comisión de Protección de Información Personal de Corea del Sur (PIPC) multó a Google con 69.200 millones de wones (unos 50 millones de dólares) por recopilar datos de comportamiento de los usuarios desde sitios web mediante herramientas de rastreo, sin obtener su consentimiento con divulgaciones suficientemente claras y usando 'patrones oscuros' que dejaban la opción 'aceptar' por defecto mientras ocultaban otras alternativas. Fue, junto a la de Meta el mismo día, la primera sanción del país sobre la recogida de datos de comportamiento para publicidad personalizada, y la mayor multa de privacidad jamás impuesta en Corea del Sur. Google manifestó su desacuerdo y su disposición a litigar.
1 de enero de 2026 US confirmed
General Motors · 12,75 M$: récord de la fiscalía de California bajo la CCPA
La fiscalía general de California alcanzó un acuerdo récord de 12,75 millones de dólares con General Motors por infracciones de la ley de privacidad del consumidor de California (CCPA) relativas a la minimización de datos y la limitación de finalidad —en esencia, recoger y compartir más datos de los conductores de los necesarios y para fines no autorizados—. Es la mayor sanción de la fiscalía californiana bajo la CCPA hasta la fecha, superando el caso anterior, y refleja el creciente foco de los reguladores estadounidenses en los datos generados por los vehículos conectados. Las multas estatales de privacidad en EE. UU. sumaron 3.425 millones de dólares en 2025, casi el doble que en 2024.
22 de julio de 2019 US confirmed
Equifax · hasta 700 M$ por la brecha de datos de 2017 (FTC + estados + CFPB)
La agencia de informes crediticios Equifax aceptó pagar hasta 700 millones de dólares a consumidores y autoridades estatales y federales de EE. UU. para resolver las reclamaciones derivadas de su brecha de datos de 2017, que expuso la información personal de cerca de 147 millones de personas. El acuerdo combinó la actuación de la FTC, la Oficina de Protección Financiera del Consumidor (CFPB) y los 50 estados. Es uno de los mayores acuerdos por una brecha de datos en EE. UU. e ilustra el modelo estadounidense de aplicación coordinada entre múltiples autoridades a falta de una ley federal de privacidad única.
19 de diciembre de 2022 US confirmed
Epic Games (Fortnite) · 520 M$: récord de la FTC por privacidad infantil y patrones oscuros
La FTC anunció dos acuerdos con Epic Games, creadora de Fortnite, que sumaron 520 millones de dólares. El primero, 275 millones, por violar la ley de privacidad infantil (COPPA) al recopilar datos de menores de 13 años sin consentimiento parental: es la mayor sanción jamás obtenida por la FTC por incumplir una de sus reglas. El segundo, 245 millones en reembolsos a consumidores, por usar 'patrones oscuros' (diseños engañosos) que llevaban a los jugadores a compras involuntarias: el mayor reembolso de la FTC en una acción de videojuegos. La FTC añadió por primera vez obligaciones reforzadas de privacidad para adolescentes de 13-17 años y los primeros cargos por configuraciones de privacidad públicas por defecto. Epic aceptó el acuerdo sin confirmar ni negar las alegaciones.
8 de febrero de 2024 IT confirmed
Enel Energia · 79,1 M€ por telemarketing ilícito con listas de clientes obtenidas ilegalmente
La autoridad italiana de protección de datos (Garante) multó a Enel Energia con 79,1 millones de euros tras una investigación de la Guardia di Finanza que reveló que la compañía había adquirido ilícitamente 978 contratos de cuatro empresas usando listas de clientes ilegales, sin implementar medidas de seguridad adecuadas en su sistema de gestión de clientes. El Garante consideró las infracciones graves por el número de afectados y el papel de Enel. Es una de las mayores multas GDPR fuera del sector tecnológico puro y un ejemplo del foco italiano en el telemarketing abusivo.
1 de febrero de 2026 US confirmed
Disney · 2,75 M$ con la fiscalía de California por señales de exclusión
La fiscalía general de California alcanzó un acuerdo de 2,75 millones de dólares con Disney por no respetar las señales de exclusión (opt-out) de los usuarios bajo la CCPA. En su momento fue el mayor acuerdo de la fiscalía californiana, antes de ser superado por el de General Motors. El caso ilustra el patrón de aplicación más común en EE. UU.: sanciones de cuantía moderada pero frecuentes, centradas en fallos concretos como no honrar las solicitudes de exclusión o las señales de privacidad del navegador (GPC).
21 de julio de 2022 CN confirmed
Didi · 8.000 M¥ (~1.200 M$): la mayor multa de datos de Asia, impuesta por China
La Administración del Ciberespacio de China (CAC) multó a la empresa de transporte Didi con 8.000 millones de yuanes (unos 1.200 millones de dólares) tras una investigación de un año por violaciones de seguridad de datos calificadas de 'naturaleza grave'. La CAC concluyó que Didi almacenó en texto plano la información de identidad de más de 57 millones de conductores y analizó datos de pasajeros sin su conocimiento, incluidas fotos y datos de reconocimiento facial, durante siete años desde junio de 2015. La multa equivale a más del 4% de los ingresos anuales de la empresa. Didi aceptó la decisión. Es la mayor sanción de protección de datos impuesta en Asia y una de las mayores del mundo.
15 de junio de 2023 FR confirmed
Criteo · 40 M€ (reducida desde 60 M€) por seguimiento publicitario sin consentimiento
La CNIL francesa sancionó a la empresa de publicidad en línea Criteo por múltiples infracciones del GDPR ligadas a su actividad de seguimiento publicitario: desplegaba rastreadores sin consentimiento válido, no informaba de forma clara en su política de privacidad y no habilitaba procedimientos adecuados para que los usuarios ejercieran sus derechos (acceso, retirada de consentimiento, supresión). La multa inicial propuesta fue de 60 millones de euros, pero se redujo a 40 millones en 2023 tras la evaluación final de las cinco infracciones. Es otro ejemplo de cómo el importe anunciado y el final pueden diferir.
3 de septiembre de 2024 NL confirmed
Clearview AI · 30,5 M€ en Países Bajos: la mayor de la cadena europea de multas a la empresa
La autoridad neerlandesa de protección de datos (AP) multó a Clearview AI con 30,5 millones de euros por múltiples infracciones del GDPR, tras confirmar que su base de datos —unos 50.000 millones de imágenes faciales extraídas de internet— contenía imágenes de ciudadanos neerlandeses recopiladas sin base legal y con fallos de transparencia. Es la mayor de la cadena de sanciones que Clearview ha recibido en Europa. La AP añadió una multa adicional de hasta 5,1 millones por incumplimiento continuado (el total podría llegar a 35,6 millones) y anunció que estudiaba perseguir personalmente a los directivos. Clearview alegó no tener sede ni clientes en la UE y considerar la decisión inaplicable; la AP replicó que el GDPR se aplica extraterritorialmente. El caso ilustra el límite real de la aplicación: una multa grande que puede resultar incobrable.
2 de septiembre de 2021 GB confirmed
Clearview AI · 7,5 M£ en Reino Unido por reconocimiento facial (luego anulada en apelación)
La autoridad británica de protección de datos (ICO) multó a Clearview AI con 7,5 millones de libras por recopilar imágenes de personas del Reino Unido de internet sin su conocimiento para su base de datos de reconocimiento facial. Sin embargo, este caso es un ejemplo paradigmático de por qué el 'desenlace' importa tanto: en octubre de 2023, un tribunal de apelación británico anuló la multa, al considerar que la actividad de Clearview quedaba fuera de la jurisdicción del ICO porque la empresa prestaba servicios a agencias de seguridad extranjeras. Es un recordatorio de que una multa anunciada no equivale a una multa cobrada, y de que el coste real de incumplir solo se conoce al final del proceso.
9 de marzo de 2022 IT confirmed
Clearview AI · 20 M€ por reconocimiento facial sin base legal en Italia
La autoridad italiana de protección de datos (Garante) sancionó a Clearview AI con 20 millones de euros por tratar datos biométricos de personas en Italia sin base legal, mediante la recopilación masiva de imágenes faciales de internet para su sistema de reconocimiento facial. Además de la multa, ordenó borrar los datos de personas en territorio italiano y prohibió la recogida y el tratamiento ulterior. Es un caso de referencia sobre la aplicación del GDPR a la biometría y el reconocimiento facial. Clearview ha recibido sanciones similares en otros países europeos.
13 de julio de 2022 GR confirmed
Clearview AI · 20 M€ en Grecia: la mayor multa de la autoridad griega a una empresa privada
La autoridad griega de protección de datos (HDPA) multó a Clearview AI con 20 millones de euros por violar los principios de licitud y transparencia (art. 5.1.a y .2, 6, 9 GDPR) y sus obligaciones de información (arts. 12, 14, 15, 27). Además ordenó a la empresa satisfacer la solicitud de acceso del denunciante, le prohibió recopilar y tratar datos de personas en territorio griego y le ordenó borrar los ya recopilados. Es la mayor multa que la autoridad griega ha impuesto a una empresa privada. Según reportajes posteriores, Grecia impuso deliberadamente la sanción máxima por su peso simbólico, sin esperar realmente poder cobrarla, dado que Clearview no tiene presencia en el país.
19 de octubre de 2022 FR confirmed
Clearview AI · 20 M€ en Francia: la CNIL impone la multa máxima por reconocimiento facial
La CNIL francesa impuso a Clearview AI la multa máxima posible bajo el artículo 83 del GDPR, 20 millones de euros, por tratamiento ilícito de datos (art. 6), no respetar los derechos de los individuos (arts. 12, 15, 17) y falta de cooperación con la autoridad (art. 31). La CNIL había requerido en noviembre de 2021 a Clearview cesar la recopilación de datos de personas en territorio francés, pero la empresa no respondió al requerimiento. Además de la multa, la CNIL ordenó cesar la recogida y borrar los datos ya recopilados, con una penalización de 100.000 euros por día de retraso. Es una de las cuatro grandes sanciones europeas en cadena contra la misma empresa.
13 de enero de 2021 ES confirmed
CaixaBank · 6 M€ de la AEPD: una de las mayores multas GDPR a un banco en España
La Agencia Española de Protección de Datos (AEPD) multó a CaixaBank con 6 millones de euros por infracciones relativas al tratamiento de datos personales: bases inadecuadas para el tratamiento, falta de consentimiento válido e información insuficiente sobre cómo se trataban los datos de los clientes. En su momento fue una de las mayores multas impuestas por la AEPD —una de las autoridades más activas de Europa en número de sanciones— y un referente sobre el tratamiento de datos en el sector financiero.
16 de octubre de 2020 GB confirmed
British Airways · 20 M£ por una brecha de 2018 (reducida desde 183 M£ propuestos)
La autoridad británica (ICO) multó a British Airways con 20 millones de libras por un ciberataque de 2018 que comprometió datos personales y financieros de cerca de 400.000-500.000 clientes; la investigación concluyó que la aerolínea carecía de medidas de seguridad básicas como la autenticación multifactor. El caso es un ejemplo paradigmático del valor del campo 'desenlace': el ICO había anunciado en julio de 2019 una intención de multar con 183 millones de libras (el 1,5% de la facturación global de BA), pero tras las alegaciones de la empresa y la consideración de factores atenuantes —incluido el impacto de la pandemia—, la multa final se redujo casi un 90%. Aun así, sigue siendo la mayor multa del ICO por una brecha de datos. Ilustra que el importe anunciado y el cobrado pueden diferir radicalmente.
8 de octubre de 2025 AU confirmed
Australian Clinical Labs · primera sentencia judicial bajo la Privacy Act australiana
El Tribunal Federal de Australia dictó, el 8 de octubre de 2025, la primera sentencia que aplica las disposiciones sancionadoras de la Privacy Act australiana de 1988 (caso Australian Information Commissioner v Australian Clinical Labs Limited, FCA 1224). Es la primera vez que un tribunal australiano examina el Principio de Privacidad 11 (seguridad de la información personal), las obligaciones de notificación de brechas y el régimen de penalizaciones de la ley. Bajo el régimen vigente en el momento de los hechos, el máximo era de 2,22 millones de dólares australianos por contravención. El caso marca el inicio real de la aplicación judicial de la privacidad en Australia, donde el regulador (OAIC) persigue además a Medibank y Optus por brechas masivas que afectaron a más de 9,5 millones de personas cada una. Las reformas de 2022 y 2024 elevaron drásticamente los máximos para infracciones graves o repetidas.
23 de abril de 2025 EU confirmed
Apple · 500 M€: primera multa DMA de la historia, por restricciones a los desarrolladores
La Comisión Europea impuso a Apple una multa de 500 millones de euros (caso DMA.100109) por incumplir la obligación anti-dirigismo del artículo 5(4) de la Ley de Mercados Digitales: Apple no permitió suficientemente que los desarrolladores informaran a los usuarios sobre opciones de compra alternativas fuera de la App Store. Junto a Meta el mismo día, es la primera sanción de la historia bajo la DMA. Además de la multa, la Comisión ordenó eliminar las restricciones técnicas y comerciales en 60 días. Apple acusó a la Comisión de 'atacar injustamente' a la compañía y anunció recurso.
16 de julio de 2021 LU confirmed
Amazon · 746 M€ por publicidad dirigida sin consentimiento válido
La Comisión Nacional de Protección de Datos de Luxemburgo (CNPD) sancionó a Amazon Europe con 746 millones de euros tras una serie de 10.000 reclamaciones presentadas por el grupo francés La Quadrature du Net. La autoridad determinó que Amazon mostraba publicidad dirigida sin obtener el consentimiento adecuado de los usuarios ni ofrecer un medio para rechazar ese seguimiento. Fue la mayor multa GDPR hasta que la superó Meta en 2023. Amazon sostuvo que no hubo brecha de datos ni exposición de información de clientes, cooperó con la investigación pero discrepó de las conclusiones y recurrió en 2024, alegando que el regulador no le dio oportunidad de cambiar sus prácticas antes de sancionar.
31 de mayo de 2023 US confirmed
Amazon (Alexa) · 25 M$ por retener indefinidamente datos de voz de menores
La FTC y el Departamento de Justicia de EE. UU. ordenaron a Amazon pagar 25 millones de dólares por violar la ley de privacidad infantil (COPPA) con su asistente de voz Alexa. Más de 800.000 menores tenían perfiles propios de Alexa; Amazon retenía indefinidamente sus grabaciones de voz y su geolocalización —incluso cuando los padres pedían borrarlas— para entrenar y mejorar su algoritmo. La FTC fue contundente: 'el aprendizaje automático no es excusa para infringir la ley'. El acuerdo obligó a Amazon a borrar las cuentas inactivas de menores y le prohibió usar esos datos para crear o mejorar productos. El mismo día, la FTC anunció una acción separada contra Amazon por el acceso de empleados a datos de sus cámaras Ring.
10 de abril de 2021 CN confirmed
Alibaba · 18.200 M¥ (~2.800 M$): récord antimonopolio de China por 'elegir uno de dos'
La Administración Estatal de Regulación del Mercado de China (SAMR) impuso a Alibaba una multa récord de 18.228 millones de yuanes (unos 2.800 millones de dólares) tras una investigación rápida iniciada en diciembre de 2020. La SAMR concluyó que Alibaba coaccionaba a los comerciantes para vender en exclusiva en su plataforma —la práctica conocida en China como 'elegir uno de dos'—, en perjuicio de competidores, vendedores y consumidores. La multa equivalió al 4% de las ventas de Alibaba en China en 2019 y triplicó el récord anterior (los 975 millones a Qualcomm en 2015). Marcó el inicio de la era de aplicación antimonopolio sobre las plataformas chinas, dentro del giro regulatorio de Pekín sobre sus gigantes tecnológicos.
