¿Cuál es la multa máxima del RGPD?

El RGPD contempla multas de hasta 20 millones de euros o el 4% de la facturación anual global, la cifra que sea mayor. Para pymes, la AEPD aplica el principio de proporcionalidad, pero las infracciones graves bajo la LOPDGDD pueden alcanzar los 150.000 € y las leves los 30.000 €.

¿La AEPD puede cerrar mi web?

No la cierra, pero puede ordenar la suspensión del tratamiento de datos. En la práctica esto inhabilita formularios, sistemas de reserva o el canal de ventas — la web sigue online pero deja de poder operar comercialmente.

¿Me sancionan aunque sea una empresa muy pequeña?

Sí. Ninguna empresa está exenta de cumplir el RGPD. La AEPD aplica proporcionalidad en la cuantía según la capacidad económica, pero la infracción y la obligación de subsanar existen igual para un autónomo que para una multinacional.

Volver al blog

AEPD7 min de lectura

Sanciones del RGPD a webs en 2026: qué arriesga una pyme

El régimen sancionador del RGPD explicado para pymes: rangos de multa, infracciones leves y graves, y la medida que de verdad asusta.

Publicado el 20 de mayo de 2026

Cuando un propietario de pyme oye “sanción del RGPD” piensa en una multa. Pero el importe no es lo que de verdad debería preocuparle. Hay una medida accesoria que la AEPD puede imponer y que es capaz de parar la facturación de un negocio en cuestión de días. En este artículo te explicamos el régimen sancionador completo: qué arriesgas, cuánto, y qué es lo realmente grave.

El marco: tres normas que se solapan

Las sanciones a una web salen de la convergencia del RGPD (reglamento europeo), la LOPDGDD (ley orgánica española) y la LSSI-CE (servicios de la sociedad de la información). No necesitas dominarlas, pero sí saber que actúan en conjunto: un mismo fallo puede vulnerar varias a la vez.

Los rangos de multa

Tipo de infracción	Cuantía	Ejemplo típico
Leve (LSSI-CE)	Hasta 30.000 €	Banner de cookies sin rechazo
Grave (LSSI-CE)	Hasta 150.000 €	Envío reiterado de comunicaciones no consentidas
RGPD (tope europeo)	Hasta 20 M€ o 4% facturación	Brecha grave de datos por negligencia

Para una pyme, las cifras reales suelen quedar lejos del tope europeo gracias al principio de proporcionalidad. Pero las resoluciones contra pequeños negocios por fallos técnicos de web se mueven habitualmente entre 1.000 € y 15.000 € — suficiente para desequilibrar la caja de un trimestre.

Lo que de verdad asusta: la suspensión del tratamiento

Más allá del dinero, la AEPD tiene potestad para ordenar la suspensión del tratamiento de datos. Esto no cierra la web, pero inhabilita todo lo que dependa de procesar datos personales:

El motor de reservas de un hotel o restaurante deja de funcionar.
El formulario de contacto de una clínica queda inutilizado.
El canal de captación de leads de cualquier negocio se corta.

Para un negocio que depende de su web, esto es peor que la multa: es perder ingresos cada día que pasa hasta subsanar. Y como las resoluciones sancionadoras son públicas, se suma el daño reputacional.

Quién puede denunciarte

El procedimiento sancionador rara vez empieza por una inspección de oficio a una pyme. Empieza por una denuncia, y la AEPD tiene un canal online gratuito donde cualquiera puede presentarla: un cliente descontento, un usuario o un competidor. No hace falta ser parte afectada. Si te interesa entender qué ocurre después de una denuncia, lo cubrimos en qué pasa cuando te denuncian a la AEPD.

Cómo se previene

La buena noticia: las sanciones a pymes casi siempre vienen de fallos técnicos concretos y evitables, no de negligencias graves. Una auditoría de los 7 puntos críticos detecta la inmensa mayoría de la exposición. El coste de adaptarse es siempre una fracción del de una sanción.

En resumen

El RGPD, la LOPDGDD y la LSSI-CE actúan en conjunto sobre tu web.
Las multas reales a pymes van de 1.000 € a 15.000 € en la mayoría de casos.
La suspensión del tratamiento es más grave que la multa: corta tu facturación.
El procedimiento suele empezar por una denuncia, no por una inspección.
Casi toda la exposición se elimina con una auditoría técnica preventiva.

Preguntas frecuentes

¿Cuál es la multa máxima del RGPD?: El RGPD contempla multas de hasta 20 millones de euros o el 4% de la facturación anual global, la cifra que sea mayor. Para pymes, la AEPD aplica el principio de proporcionalidad, pero las infracciones graves bajo la LOPDGDD pueden alcanzar los 150.000 € y las leves los 30.000 €.
¿La AEPD puede cerrar mi web?: No la cierra, pero puede ordenar la suspensión del tratamiento de datos. En la práctica esto inhabilita formularios, sistemas de reserva o el canal de ventas — la web sigue online pero deja de poder operar comercialmente.
¿Me sancionan aunque sea una empresa muy pequeña?: Sí. Ninguna empresa está exenta de cumplir el RGPD. La AEPD aplica proporcionalidad en la cuantía según la capacidad económica, pero la infracción y la obligación de subsanar existen igual para un autónomo que para una multinacional.