Datos clave
| Normativa | Resolución de 17 de junio de 2026, AEPD — Publicación de sanciones superiores a 1.000.000€ (art. 76.4 LOPDGDD) |
|---|---|
| Publicación BOE | 27 de junio de 2026 |
| Entrada en vigor | 27 de junio de 2026 |
| Empresas sancionadas | Vodafone España y Amadeus IT Group |
| Importe total | 15.450.000€ |
| Categoría | Protección de Datos |
| Base legal publicación | Artículo 76.4 de la LOPDGDD |
Vodafone España y Amadeus IT Group acumulan juntas 15.450.000€ en multas impuestas por la Agencia Española de Protección de Datos (AEPD) y publicadas en el BOE el 27 de junio de 2026, conforme al artículo 76.4 de la LOPDGDD. Las infracciones detectadas apuntan a dos fallos recurrentes en cualquier organización que trate datos: ausencia de base legal y medidas de seguridad insuficientes.
Estas resoluciones no son un aviso aislado. Son la señal más clara hasta la fecha de que la AEPD aplica el régimen sancionador del RGPD con toda su contundencia, incluso frente a grandes corporaciones con departamentos legales propios.
¿Qué establece esta normativa?
La resolución publica, con nombres y cuantías, las sanciones superiores a un millón de euros impuestas a personas jurídicas, tal como obliga el artículo 76.4 de la LOPDGDD. El desglose de infracciones es el siguiente:
| Empresa | Artículo RGPD vulnerado | Descripción de la infracción | Importe |
|---|---|---|---|
| Vodafone España | Art. 6.1 RGPD | Falta de base legal para el tratamiento de datos (infracción 1) | 150.000€ |
| Vodafone España | Art. 6.1 RGPD | Falta de base legal para el tratamiento de datos (infracción 2) | 150.000€ |
| Vodafone España | Art. 32 RGPD | Medidas de seguridad técnicas y organizativas inadecuadas | 750.000€ |
| Amadeus IT Group | Arts. 6 y 14 RGPD | Falta de base legitimadora del tratamiento e incumplimiento del deber de información | 14.400.000€ |
El artículo 6 RGPD exige que todo tratamiento de datos personales tenga una base legal válida: consentimiento, contrato, obligación legal, interés vital, misión de interés público o interés legítimo. Tratar datos sin encajar en ninguna de estas categorías es una infracción grave. El artículo 14 RGPD obliga a informar a los interesados cuando los datos no se obtienen directamente de ellos. El artículo 32 RGPD exige implementar medidas técnicas y organizativas proporcionales al riesgo para garantizar la seguridad de los datos.
Impacto económico y operativo
La multa a Amadeus (14,4M€) es especialmente relevante porque combina dos infracciones que suelen ir de la mano en empresas tecnológicas que agregan datos de terceros: tratar datos sin base legal y no informar adecuadamente a los afectados. Este tipo de sanción doble puede multiplicar el importe final.
En el caso de Vodafone, el mayor peso recae sobre la infracción de seguridad (750.000€, el 71% de su multa total), lo que evidencia que la AEPD penaliza con especial dureza los fallos en la protección técnica de los datos, no solo los incumplimientos documentales.
Desde una perspectiva operativa, estas sanciones implican que las empresas deben tratar el cumplimiento del RGPD como un coste de negocio recurrente, no como un proyecto puntual. La inversión en auditorías de base legal, registros de actividades de tratamiento y medidas de seguridad es significativamente inferior al coste de una sola sanción de este calibre.
¿A quién afecta?
- Grandes corporaciones tecnológicas y de telecomunicaciones que tratan volúmenes masivos de datos de clientes o usuarios.
- Empresas que agregan o reutilizan datos de terceras fuentes sin verificar la base legal ni informar a los interesados (riesgo art. 14 RGPD).
- Cualquier organización con sistemas de información que no haya revisado sus medidas de seguridad técnicas y organizativas conforme al artículo 32 RGPD.
- Responsables y encargados del tratamiento que no tengan documentada la base legal de cada actividad de tratamiento en su Registro de Actividades.
- Departamentos de compliance, legal y tecnología que deben coordinar la revisión conjunta de legitimación y seguridad.
- Asesores y consultores de protección de datos que gestionan el cumplimiento normativo de sus clientes.
Ejemplo práctico
Imagina una empresa de software de gestión hotelera que, para mejorar su servicio de recomendaciones, incorpora datos de huéspedes obtenidos de plataformas de reservas de terceros. Si no verifica que esos datos tienen una base legal válida para el nuevo uso que les da (art. 6 RGPD) y no informa a los huéspedes de que sus datos están siendo tratados por una empresa distinta a la que se los facilitó (art. 14 RGPD), está replicando exactamente el patrón de infracción por el que Amadeus IT Group ha sido sancionada con 14.400.000€.
El tamaño de la empresa influye en la cuantía, pero no en la tipificación de la infracción. Una pyme en la misma situación puede recibir una sanción proporcional a su facturación que, en términos relativos, resulte igual de devastadora.
¿Qué deben hacer las empresas ahora?
- Auditar el Registro de Actividades de Tratamiento: Revisa cada actividad y verifica que tiene asignada una base legal válida del artículo 6 RGPD. Si alguna actividad carece de ella, detén el tratamiento o documenta la legitimación antes de continuar.
- Revisar los tratamientos con datos obtenidos de terceros: Si tu empresa recibe datos de otras fuentes (socios, proveedores, plataformas), comprueba que cumples con el deber de información del artículo 14 RGPD y que existe una base legal para el uso que haces de esos datos.
- Evaluar las medidas de seguridad técnicas y organizativas: Realiza o actualiza tu análisis de riesgos conforme al artículo 32 RGPD. Documenta las medidas implementadas. La falta de documentación es tan sancionable como la falta de medidas.
- Revisar contratos con encargados del tratamiento: Asegúrate de que los acuerdos de encargo incluyen las cláusulas de seguridad y responsabilidad exigidas por el RGPD.
- Formar al equipo: Los fallos de base legal y seguridad suelen originarse en decisiones operativas del día a día. La formación periódica en protección de datos reduce el riesgo de infracciones involuntarias.
Preguntas frecuentes
¿Por qué la multa a Amadeus es tan superior a la de Vodafone?
Amadeus IT Group fue sancionada con 14.400.000€ por vulnerar simultáneamente los artículos 6 y 14 del RGPD: falta de base legitimadora del tratamiento e incumplimiento del deber de información. Vodafone recibió 1.050.000€ por tres infracciones separadas (dos del art. 6.1 y una del art. 32). La diferencia de cuantía refleja tanto la gravedad de las infracciones de Amadeus como el volumen y alcance del tratamiento de datos en cada caso.
¿Qué es el artículo 32 RGPD y por qué Vodafone fue multada por él?
El artículo 32 RGPD obliga a los responsables del tratamiento a implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad proporcional al riesgo. Vodafone fue sancionada con 750.000€ por tener medidas de seguridad inadecuadas, lo que representa el 71% de su multa total. Esto incluye aspectos como cifrado, control de accesos, gestión de incidentes y evaluaciones de riesgo.
¿Por qué la AEPD publica estas sanciones en el BOE?
El artículo 76.4 de la LOPDGDD obliga a la AEPD a publicar en el BOE las sanciones superiores a un millón de euros impuestas a personas jurídicas. Esta publicación tiene efecto disuasorio y de transparencia: cualquier empresa o ciudadano puede consultar qué organizaciones han sido sancionadas y por qué importe.
¿Qué pasa si mi empresa trata datos sin base legal documentada?
Tratar datos sin una base legal válida del artículo 6 RGPD es una infracción grave que puede conllevar multas de hasta 20.000.000€ o el 4% de la facturación global anual (la cifra que sea mayor). Vodafone fue sancionada con 150.000€ por cada una de sus dos infracciones del artículo 6.1. La cuantía varía según el volumen de datos, el número de afectados y la intencionalidad.
¿Cuándo entra en vigor esta resolución y qué implica para otras empresas?
La resolución fue publicada y entró en vigor el 27 de junio de 2026. No impone nuevas obligaciones directas a terceras empresas, pero refuerza la interpretación de la AEPD sobre los artículos 6, 14 y 32 del RGPD. Cualquier empresa que trate datos personales debe revisar su cumplimiento a la luz de estos criterios para evitar sanciones equivalentes.
Fuente oficial
Consultar normativa completa en fuente oficial
Aviso: Este artículo tiene carácter meramente informativo y no constituye asesoramiento legal. Para decisiones específicas, consulte a un profesional cualificado. Fuente: https://www.boe.es/diario_boe/txt.php?id=BOE-A-2026-14010