Tiempo lectura: 9 minutos
Blog
El coste legal de no formar: multas PRL + RGPD en 2026
Álvaro Martínez
Content Specialist
Digitalización
El coste legal de no formar: multas PRL + RGPD en 2026
En 2024, solo la Inspección de Trabajo de Cataluña impuso 49,4 millones de euros en multas, un récord histórico en esa comunidad repartido en más de 13.000 sanciones.¹ La tendencia es similar en el resto del Estado, con un aumento sostenido de las sanciones por incumplimientos en PRL y condiciones de trabajo. Ese mismo año, la Agencia Española de Protección de Datos superó los 35 millones de euros en resoluciones sancionadoras.² Y en muchas de esas resoluciones, la causa de fondo era la misma: empleados que no habían recibido formación adecuada.
Este artículo desglosa el marco legal que obliga a formar, cuánto cuesta no hacerlo y qué tienen en común las empresas que acaban pagando. Si gestionas formación corporativa o te toca velar por el cumplimiento normativo, los números que vienen son relevantes para tu presupuesto de 2026.
La obligación de formar empleados no es una recomendación. Está recogida en varias normativas que afectan a prácticamente cualquier empresa con actividad en España.
La Ley 31/1995 de Prevención de Riesgos Laborales establece en su artículo 19 que el empresario debe garantizar formación teórica y práctica a cada trabajador, tanto en el momento de la contratación como cuando cambien las condiciones del puesto. Esta formación debe ser suficiente, adaptada al puesto y actualizarse siempre que evolucionen los riesgos.³
No es opcional ni delegable. Y la responsabilidad es del empresario, no del servicio de prevención ajeno.
El Reglamento General de Protección de Datos no dice literalmente "forme a sus empleados". Pero la interpretación conjunta de sus artículos 5.2, 24, 32 y 39 establece que cualquier sistema de cumplimiento sólido debe incluir formación del personal que participa en el tratamiento de datos.⁴ La AEPD lo ha confirmado en múltiples resoluciones: cuando se produce una brecha y no hay evidencia de formación, la sanción se agrava.
A PRL y protección de datos se suman otras obligaciones que muchas empresas desconocen o posponen:
Formación obligatoria en España: PRL (Ley 31/1995), protección de datos (RGPD, arts. 5.2, 24, 32, 39) e igualdad (RD 1026/2024). Las multas por incumplimiento van de 2.451 € a casi 1 M€ en PRL, y hasta 20 M€ o el 4% de facturación global en RGPD.
Las cuantías dependen de la gravedad de la infracción y del ámbito normativo. Lo que sigue es el marco vigente según la LISOS (Ley de Infracciones y Sanciones del Orden Social) y el propio RGPD.
| Gravedad | Rango mínimo | Rango medio | Rango máximo |
|---|---|---|---|
| Leve | 45 - 485 € | 486 - 975 € | 976 - 2.450 € |
| Grave | 2.451 - 9.830 € | 9.831 - 24.585 € | 24.586 - 49.180 € |
| Muy grave | 49.181 - 196.746 € | 196.747 - 491.865 € | 491.866 - 983.736 € |
*Fuente: LISOS, arts. 40.2, actualizado por Ley 10/2021.*⁶
En la práctica, la falta de formación suficiente y adecuada se encuadra en el artículo 12.8 LISOS como infracción grave. Pero cuando esa carencia se combina con un riesgo grave o un accidente real, puede reconducirse al artículo 13.4 como infracción muy grave, con acceso al tramo alto de sanción: más de 900.000 euros.
Un matiz importante: desde la Ley 10/2021, las sanciones pueden aplicarse por cada trabajador afectado, no por empresa. Una misma infracción en una planta con 200 operarios puede multiplicar la cuantía de forma significativa.
| Nivel | Cuantía máxima |
|---|---|
| Infracciones leves | Hasta 40.000 € |
| Infracciones graves | Hasta 300.000 € |
| Infracciones muy graves | Hasta 20.000.000 € o 4% de la facturación anual global |
*Fuente: RGPD, art. 83; LOPDGDD, art. 76.*⁷
La AEPD impuso 242 multas en 2024, con un total acumulado de 35,6 millones de euros.² El volumen de reclamaciones también crece: más de 19.000 reclamaciones recibidas ese año.⁸
Los datos agregados ayudan a entender la tendencia. Pero los casos concretos muestran cómo funciona esto en la práctica.
En 2025, la AEPD sancionó a Ibermutua con 600.000 euros (reducidos desde un millón inicial tras admisión de responsabilidad). Un empleado envió por error un archivo con datos de 3.395 personas a 354 destinatarios. La causa: un fallo en el sistema de envío de correos combinado con falta de formación del personal en seguridad de datos.⁹
La resolución destaca que no existía evidencia de un plan de formación estructurado en materia de confidencialidad. El error humano fue la causa directa, pero la falta de formación fue el agravante que elevó la sanción.
Solo en Cataluña, la ITSS tramitó 1.949 infracciones vinculadas a accidentes laborales en 2024, un 12,6% más que el año anterior, por un importe total de 9,27 millones de euros.¹ Entre los sectores más afectados: manufactura, construcción, comercio y hostelería.
Los accidentes mortales también subieron: 796 fallecidos en 2024, un aumento del 10,4% respecto a 2023.¹⁰ Las causas recurrentes que identifica el INSST incluyen el incumplimiento en formación e información al trabajador y la ausencia de equipos de protección adecuados.
La multa es la parte visible. Pero el coste real de no formar se extiende mucho más allá de la resolución administrativa.
Recargo de prestaciones. Cuando un accidente laboral se produce por falta de medidas de seguridad (incluida la formación), la Seguridad Social puede imponer un recargo del 30 al 50% sobre todas las prestaciones derivadas del accidente. Este recargo lo paga directamente la empresa, sin posibilidad de asegurarlo.
Responsabilidad penal. En casos de accidentes graves con resultado de muerte o lesiones, el artículo 316 del Código Penal prevé penas de prisión de seis meses a tres años para quienes, estando obligados, no faciliten los medios necesarios para la seguridad de los trabajadores.
El coste económico agregado. Según datos de AEPSAL, los accidentes laborales cuestan a la economía española más de 15.300 millones de euros al año, lo que equivale a aproximadamente el 3% del PIB.¹¹ En el conjunto de la UE, la cifra alcanza los 476.000 millones anuales.
La conexión con protección de datos. Más del 60% de las brechas de seguridad de datos tienen su origen en errores humanos.¹² Es la razón por la que la AEPD valora específicamente la existencia de formación cuando investiga una brecha. No tener un programa de formación documentado no significa que esté entendido, pero no tenerlo en absoluto es un agravante directo.
El problema rara vez es que la empresa no quiera formar. Es que el modelo de formación no escala.
Las charlas presenciales de cuatro horas se imparten una vez al año, se olvidan en dos semanas y no dejan registro trazable. Los PDFs con las políticas de protección de datos acumulan polvo digital en una carpeta de SharePoint que nadie abre. Y cuando llega la inspección, la empresa tiene que demostrar no solo que formó, sino que la formación fue adecuada, actualizada y verificable.
Es lo que llamamos Inercia Documental: la tendencia a seguir usando formatos estáticos (PDF, PowerPoint, charlas puntuales) porque el coste percibido de cambiar parece alto, aunque la evidencia muestre que esos formatos no generan retención ni trazabilidad.
Lo que funciona para cumplir y que la formación realmente se quede:
Ejemplo: una empresa con 400 empleados reparte cada año un PDF de política de datos. Con módulos de 7 minutos en vídeo interactivo, traducidos automáticamente y trazables, puedes demostrar en segundos quién ha completado qué, cuándo y con qué resultado, ante una inspección de Trabajo o una auditoría de la AEPD.
Pasar de una charla anual de 4 horas a un sistema modular con trazabilidad suele reducir el tiempo perdido en formación improductiva y, sobre todo, elimina el riesgo de "no puedo demostrar que formé".
El objetivo no es "tener formación". Es tener una infraestructura de conocimiento que se mantenga viva, que escale con la empresa y que, cuando llegue la inspección, la documentación esté lista sin necesidad de improvisar.
Hemos repasado las cifras: hasta 983.736 euros por una infracción muy grave en PRL. Hasta 20 millones por una brecha de datos sin formación que la respalde. Más de 15.000 millones anuales en costes por accidentes laborales en España. Y un recargo de prestaciones que sale directamente del bolsillo de la empresa.
Pero más allá de los números, hay un patrón claro. Las empresas que acaban pagando no son las que hicieron algo mal a propósito. Son las que no tenían un sistema estructurado para formar a escala y demostrarlo cuando tocó.
La formación obligatoria no es un coste. Es la póliza más barata que puede contratar una empresa. Y en 2026, con la Inspección de Trabajo batiendo récords y la AEPD cada vez más activa, el riesgo de no tenerla no hace más que crecer.
Las multas por falta de formación en prevención de riesgos laborales se clasifican como infracción grave según el artículo 12.8 de la LISOS, con sanciones de 2.451 a 49.180 euros. Si la falta de formación genera un riesgo grave e inminente, la infracción sube a muy grave, con multas de hasta 983.736 euros. Desde 2021, estas sanciones pueden aplicarse por cada trabajador afectado.
No existe un artículo único que lo diga explícitamente, pero la combinación de los artículos 5.2, 24, 32 y 39 del RGPD establece que la formación es un componente necesario de cualquier sistema de cumplimiento. La AEPD lo ha confirmado en múltiples resoluciones: la ausencia de formación se considera un agravante cuando se investiga una brecha de seguridad.
Según datos de AEPSAL, el coste total de los accidentes laborales en España supera los 15.300 millones de euros anuales, equivalente a aproximadamente el 3% del PIB. Esto incluye costes directos (atención sanitaria, prestaciones) e indirectos (absentismo, pérdida de productividad, sustituciones).
La Ley 31/1995 establece que la formación debe actualizarse siempre que cambien las condiciones del puesto, se introduzcan nuevas tecnologías o evolucionen los riesgos. En la práctica, se recomienda revisión anual como mínimo, y actualización inmediata ante cambios normativos relevantes, como los introducidos por el RD 1026/2024 en materia de igualdad.
Las principales son: prevención de riesgos laborales (Ley 31/1995), protección de datos personales (RGPD + LOPDGDD), igualdad y no discriminación (RD 1026/2024, LO 3/2007), prevención del acoso sexual (LO 10/2022) y canal interno de denuncias (Ley 2/2023). Las obligaciones varían según el tamaño de la empresa y el sector, pero PRL y protección de datos aplican a todas.
¹ La Inspección de Trabajo bate el récord de sanciones en 2024 - El Triángulo
² Multas de la AEPD en 2025: qué podemos aprender de los casos más relevantes - ForLOPD
³ Ley 31/1995 de Prevención de Riesgos Laborales, art. 19 - BOE
⁴ ¿Es obligatoria la formación en protección de datos? - Grupo Cibernos
⁵ Formaciones obligatorias en España para 2026 - Glocal Thinking
⁶ Real Decreto Legislativo 5/2000, LISOS - BOE
⁷ Reglamento General de Protección de Datos, art. 83 - DOUE
⁸ La AEPD recibió 19.000 reclamaciones en 2024 - AEPD
⁹ Notificación de brecha que termina con una sanción de 1 millón de euros - Baylos Abogados
¹⁰ Informe anual de accidentes de trabajo en España - INSST
¹¹ El coste de la accidentabilidad y enfermedad laboral en 2023 - AEPSAL
¹² Sanciones RGPD 2025: cómo evitar multas AEPD - Edorteam
@ 2026 Vidext Inc.
Únete a nuestra newsletter
Descubre todas las noticias y novedades de Vidext
@ 2026 Vidext Inc.
