El Precedente Silencioso

El 4 de marzo de 2026, en un edificio de oficinas del distrito Salamanca de Madrid, una empresa cuyo nombre la Agencia Española de Protección de Datos optó por no revelar recibió una notificación certificada. La misiva, con el expediente PS-00454-2024, detallaba una sanción de doscientos mil euros. La dirección registrada es un piso bajo en una calle amplia, con ventanas tintadas que reflejan el cielo grisáceo de la capital. No hay placas en la entrada, solo un timbre genérico y un portero automático silencioso.

La resolución, de cuarenta y dos páginas, citaba la infracción de los artículos 30, 65, 83.5, 58.2, 63.2, 4.8, 4.7 y 5.1 del Reglamento General de Protección de Datos y la Ley Orgánica de protección de datos española. Pero lo más llamativo no era la cifra ni los preceptos legales, sino un anexo oculto en las páginas finales: una lista de seis resoluciones previas, todas ellas publicadas por la AEPD entre 2024 y 2025, todas ellas referenciando exactamente los mismos artículos. Seis advertencias que, al parecer, nadie en esa oficina había leído.

La letra pequeña del BOE

La primera de esas resoluciones, PS-00354-2024, apareció en el Boletín Oficial del Estado el 28 de abril de 2024. No imponía sanción económica, pero sí establecía un “procedimiento corrector” para Residencial Etxe-Lan, S.L., una empresa vizcaína de gestión inmobiliaria. El texto, firmado por el director de la AEPD, subrayaba la “obligación de llevar un registro de actividades de tratamiento” y la “necesidad de designar un delegado de protección de datos”. Las palabras “deberán adoptarse las medidas técnicas y organizativas apropiadas” aparecían tres veces en tres párrafos distintos.

En los meses siguientes, otras cinco resoluciones siguieron la misma senda. PS-00297-2025, también sin multa, insistía en los “deberes de información” y el “consentimiento inequívoco”. PS-00615-2025, con una sanción de cuatro mil euros, mencionaba la “falta de diligencia en la evaluación de impacto”. PS-00278-2025, con seis mil euros de penalización, hablaba de “tratamientos de datos sin base legítima”. PS-00365-2025, la más modesta con seiscientos euros, se centraba en “incumplimientos en la contratación con encargados”. Y PS-00643-2025, de nuevo sin importe, cerraba el ciclo con una advertencia sobre “la responsabilidad proactiva”.

Cada una de estas resoluciones estaba disponible en la web de la AEPD. Cada una citaba los mismos artículos que luego infringiría la empresa madrileña. Cada una era, en teoría, un faro que debería haber guiado a cualquier organización que manejara datos personales. Pero en aquel piso de Salamanca, los faros parecían apagados.

El expediente que nadie consultó

La empresa sancionada en marzo de 2026 no era un pequeño negocio familiar. Los detalles del expediente PS-00454-2024 la describen como una entidad con “actividad intensiva en tratamiento de datos”, que gestionaba “información de empleados, clientes y proveedores” sin haber implementado “ningún sistema de registro” ni realizado “evaluaciones de impacto”. Tampoco había designado un delegado de protección de datos, a pesar de que el artículo 37 del RGPD lo exige para ciertos casos.

Lo más sorprendente, sin embargo, es que la AEPD constató que la empresa no había presentado “ningún documento que acredite haber consultado la jurisprudencia administrativa en materia de protección de datos”. Es decir: no solo no había cumplido la normativa, sino que ni siquiera había buscado en Google las resoluciones que podrían haberle evitado la multa. Seis avisos públicos, seis oportunidades de aprender de los errores ajenos, seis piezas de un rompecabezas legal que cualquiera podría haber ensamblado.

La resolución final, firmada por la directora de la AEPD, es contundente: “se aprecia una negligencia grave por parte de la entidad, que no ha adoptado las medidas mínimas exigibles para el cumplimiento normativo”. La frase “medidas mínimas” aparece cinco veces en el documento, siempre en referencia a obligaciones básicas como el registro de actividades o la información a los interesados.

¿Quién lee los precedentes?

Hoy, esas seis resoluciones siguen publicadas en la web de la AEPD. Siguen siendo, técnicamente, precedentes vigentes. Siguen esperando a que alguien las consulte antes de cometer los mismos errores. La pregunta es: ¿quién debería leerlas? No solo los compliance officers de las grandes empresas, sino también los abogados que asesoran a pymes, los consultores que implementan sistemas de gestión, los estudiantes que preparan oposiciones, los periodistas que cubren la actualidad digital.

La empresa de Salamanca, por su parte, tiene treinta días para recurrir la sanción. Su dirección sigue siendo la misma: un piso bajo con ventanas tintadas, un timbre sin nombre, un portero automático mudo. Dentro, alguien estará hojeando por primera vez las cuarenta y dos páginas de la resolución. Y quizás, solo quizás, también las seis que llegaron antes.