La Agencia Española de Protección de Datos publica sus resoluciones sancionadoras íntegramente. Esa transparencia permite identificar patrones claros de enforcement que afectan directamente a empresas D2C. Para equipos PE que evalúan targets en España, entender estos patrones es tan importante como entender la normativa. La ley dice qué está prohibido. Las resoluciones de la AEPD dicen qué se está persiguiendo activamente.
Patrón 1: Comunicaciones Comerciales sin Consentimiento
Es la infracción más frecuente en las resoluciones de la AEPD contra empresas con actividad D2C. El patrón típico: una empresa envía comunicaciones comerciales electrónicas (email, SMS) a personas que no han dado consentimiento expreso conforme a la LSSI, o que se han dado de baja y siguen recibiéndolas.
La AEPD clasifica estas infracciones bajo el artículo 21 de la LSSI y el artículo 6 del RGPD. Las sanciones oscilan entre 1.000 y 150.000 euros, dependiendo del volumen, la reiteración y la respuesta de la empresa. Lo relevante para compradores PE: el historial de envíos es verificable. Si el target ha enviado comunicaciones comerciales a bases compradas, a registros sin opt-in LSSI o a personas inscritas en la Lista Robinson, la exposición es cuantificable.
Patrón 2: Cookies y Consentimiento Web
La AEPD, en coordinación con la Guía de Cookies publicada conjuntamente con el Ministerio de Asuntos Económicos, fiscaliza activamente la implementación de banners de cookies. Los patrones de sanción incluyen: muros de cookies que condicionan el acceso al sitio a la aceptación de cookies no esenciales, casillas premarcadas, falta de opción de rechazo equivalente a la de aceptación, y renovación del consentimiento con periodicidad inadecuada.
Para empresas D2C españolas, la configuración de la CMP no es solo una cuestión de RGPD. La AEPD tiene criterios específicos que pueden no coincidir con la práctica en otros países europeos. Una CMP configurada para cumplir con la CNIL francesa puede no cumplir con los criterios de la AEPD. El comprador PE que asume que una CMP "europea" sirve para España puede encontrarse con exposición no prevista.
Patrón 3: Falta de Atención a Derechos de los Interesados
La reclamación más habitual ante la AEPD es la falta de respuesta a solicitudes de ejercicio de derechos. Un interesado pide acceso a sus datos, o solicita su supresión, y la empresa no responde en el plazo de un mes. El interesado reclama ante la AEPD. La AEPD inicia procedimiento sancionador.
El patrón es previsible: empresas que no tienen proceso operacional para gestionar solicitudes de derechos. La solicitud llega a un buzón genérico, nadie la tritura a tiempo, y cuando la AEPD contacta a la empresa, esta responde retroactivamente. Pero la AEPD sanciona el incumplimiento del plazo, no solo la falta de respuesta definitiva. Para el comprador PE: solicitar los logs de solicitudes de derechos de los últimos 12 meses revela inmediatamente si el target tiene proceso operacional o gestiona estas solicitudes de forma reactiva.
Patrón 4: Tratamiento sin Base Legal Documentada
La AEPD sanciona el tratamiento de datos personales sin base legal adecuada, conforme al artículo 6 del RGPD y desarrollado por la LOPDGDD. En contexto D2C, las sanciones más frecuentes son por: uso de datos para finalidades no cubiertas por el consentimiento original, tratamiento basado en interés legítimo sin prueba de ponderación documentada, y cesión de datos a terceros sin base legal.
La AEPD no acepta declaraciones genéricas como "tratamos datos con base en nuestro interés legítimo". Exige documentación de la prueba de ponderación: qué interés legítimo concreto justifica el tratamiento, qué derechos del interesado se ven afectados, y por qué el interés del responsable prevalece. Sin esa documentación, el tratamiento carece de base legal. Para el comprador PE, esto significa que cada actividad de marketing del target necesita base legal documentada y verificable. Su ausencia es un pasivo.
Patrón 5: Brechas de Seguridad y Notificación Tardía
La AEPD ha incrementado las sanciones por notificación tardía de brechas de datos personales. El RGPD establece un plazo de 72 horas para la notificación a la autoridad supervisora. La AEPD ha sancionado a empresas que notificaron fuera de plazo, pero también a empresas que no detectaron la brecha a tiempo por falta de medidas de seguridad adecuadas.
Para empresas D2C con stacks complejos, la detección oportuna de brechas depende de monitorización de seguridad que muchas no tienen implementada. Si el target no tiene sistema de detección de intrusiones, monitorización de accesos anómalos o procedimiento de escalado, el riesgo no es solo la brecha en sí. Es la sanción por detección y notificación tardía.
Implicaciones para Valuation y 100-day Plan
Cada patrón de enforcement de la AEPD se traduce en riesgo cuantificable para el comprador PE:
- Comunicaciones sin consentimiento: Coste de reconstrucción de base de consentimientos + riesgo de sanción por envíos pasados + pérdida de base activa de marketing.
- Cookies: Coste de reconfiguración de CMP + pérdida potencial de datos de analytics históricos + impacto en attribution.
- Derechos de interesados: Coste de implementación de proceso operacional + riesgo de reclamaciones pendientes.
- Bases legales: Coste de documentación retroactiva + riesgo de que datos recolectados sin base legal sean inutilizables.
- Brechas: Coste de implementación de monitorización + seguro de ciberseguridad + riesgo de incidentes no detectados.
El 100-day plan para una empresa de cartera PE en España debe incluir un workstream específico de remediación AEPD que cubra los cinco patrones. La priorización depende del perfil de riesgo del target, pero la experiencia indica que comunicaciones comerciales y derechos de interesados son las áreas de exposición más inmediata.