En Legitec, estamos muy atentos a lo que hace la Agencia Española de Protección de Datos (AEPD). ¿Por qué? Porque cada vez que publica una sanción, nos está diciendo algo muy claro: el cumplimiento del RGPD ya no es opcional. Y si envías mensajes comerciales sin consentimiento, tu empresa podría verse en problemas, aunque solo hayas mandado un correo o un WhatsApp.
Una de las últimas sanciones impuestas (EXP202312711) ha vuelto a dejarlo claro: 5.000 euros de multa por enviar publicidad sin el consentimiento del destinatario. Y no hablamos de una gran empresa. Esto les está pasando a negocios de todos los tamaños.
¿Qué se considera “spam” hoy en día?
Cuando oímos hablar de spam, solemos pensar en mensajes masivos, llenos de enlaces sospechosos o directamente en fraudes. Pero legalmente, spam es cualquier mensaje comercial no solicitado, por cualquier canal digital. Da igual si lo envías a miles de personas o a una sola.
Hablamos de:
Correos electrónicos promocionales.
SMS publicitarios.
Mensajes de WhatsApp o Telegram con fines comerciales.
Mensajes directos en redes sociales.
Incluso si mandas una oferta personalizada a alguien por correo porque encontraste su dirección “pública” en internet, podrías estar incurriendo en una infracción. La clave está en el consentimiento.
Entonces… ¿Qué dice la normativa?
La normativa española y europea lo deja muy claro. Para enviar comunicaciones comerciales necesitas:
Consentimiento previo, expreso y verificable.
No vale con “si no dices nada, entendemos que aceptas”.
Tienes que permitir que el destinatario pueda darse de baja fácilmente.
Y en cada mensaje, debe quedar claro quién eres y por qué le estás escribiendo.
Esto se aplica a todos: desde una gran cadena hasta un pequeño ecommerce o un freelance.
¿Y si solo mando un correo?
Muchas empresas piensan: “Bah, si solo hemos enviado uno”, o “lo hacemos de vez en cuando, no pasa nada”. Pero la realidad es que una sola denuncia puede iniciar un procedimiento sancionador. La AEPD tiene un canal rápido (www.aepd.es) y cada vez más personas lo están usando.
¿Y si no puedes demostrar que tenías permiso para enviar ese correo? La sanción puede llegar igual. Y además del dinero, el daño reputacional puede ser importante.
¿Tienes una tienda online o una startup?
En ecommerce y startups, el marketing digital es clave desde el minuto uno. Es normal querer comunicarte con tus usuarios: enviar ofertas, novedades, descuentos… pero hay que hacerlo bien desde el principio.
Errores habituales que vemos cada día:
Añadir a todos los que compran a tu newsletter, sin pedirles permiso.
Enviar correos con promociones “porque ya son clientes”.
No diferenciar entre mensajes necesarios (ej. estado del pedido) y comerciales.
Usar bases de datos compradas, pensando que son “legales”.
Una estrategia de marketing no está reñida con la protección de datos. Se puede hacer bien y seguir creciendo. En Legitec, ayudamos a muchas empresas a conseguirlo.
¿Cómo puedes cumplir (sin morir en el intento)?
Aquí van algunos consejos prácticos que puedes aplicar hoy mismo para evitar sanciones:
1. Revisa tus formularios
Asegúrate de que:
Tienes una casilla específica para aceptar el envío de comunicaciones comerciales.
No está premarcada.
Hay un texto legal claro, que explique para qué vas a usar los datos.
2. Guarda pruebas del consentimiento
No vale con decir “sí, claro que lo aceptó”. Debes poder demostrarlo:
Fecha y hora.
IP.
Qué texto se aceptó.
Desde qué formulario se recogió.
3. Facilita el «no»
Cada mensaje comercial que envíes debe permitir darse de baja de forma clara y sencilla. Si alguien lo pide, hazlo efectivo inmediatamente. Nada de seguir mandando correos semanas después.
4. Segmenta tus listas
No todo el mundo está en la misma situación. Organiza tus bases de datos:
Contactos que han dado permiso.
Clientes actuales (puedes mandarles comunicaciones similares a lo que compraron).
Contactos antiguos, que necesitan renovar su consentimiento.
5. No compres bases de datos
Sí, lo sabemos. Parece una solución rápida. Pero usar una base de datos comprada es un riesgo enorme. La mayoría no cumplen con los requisitos legales. Y si hay una denuncia, te tocará a ti demostrar que todo estaba en orden.
6. Forma a tu equipo
Muchos problemas vienen del desconocimiento. Que tu equipo de marketing, ventas o atención al cliente sepa cuándo puede y no puede usar un dato personal, es clave. Una hora de formación puede evitarte muchos quebraderos de cabeza (y euros en sanciones).
¿Y cómo puede ayudarte Legitec?
En Legitec llevamos años ayudando a empresas a cumplir con la normativa de protección de datos y a hacer un uso responsable de la información de sus clientes. ¿Nuestros servicios? Aquí van algunos ejemplos:
Revisión y redacción de textos legales y formularios web.
Auditorías de cumplimiento del RGPD y la LSSI.
Asesoramiento legal en campañas de marketing.
Defensa y respuesta ante requerimientos de la AEPD.
Formación práctica para equipos internos.
Además, somos Delegados de Protección de Datos certificados, lo que nos permite actuar como DPD externo si lo necesitas. Trabajamos con pymes, agencias de marketing, ecommerce, ayuntamientos, clínicas, colegios profesionales… Si usas datos personales, podemos ayudarte a hacerlo bien.
📩 ¿Quieres que revisemos tus formularios, bases de datos o campañas de email?
Escríbenos. Te asesoramos sin compromiso.
Me surge una duda práctica: ¿cómo encaja todo esto con los correos que, en principio, no contienen una oferta comercial directa, sino una invitación a participar en un evento, estudio, comunidad o iniciativa, y en los que únicamente se solicita autorización para enviar información complementaria más adelante?
En estos casos, donde el primer contacto no “vende” nada de forma explícita, ¿la Agencia Española de Protección de Datos los considera igualmente comunicaciones comerciales sujetas a consentimiento previo, o existiría algún margen si el contenido es meramente informativo y orientado a solicitar permiso?
Hola José Luis,
La cuestión que planteas es muy habitual en la práctica y ha sido objeto de análisis tanto por la AEPD como por la propia interpretación consolidada del artículo 21 de la LSSI-CE, en conexión con el RGPD y la LOPDGDD.
Voy a estructurar la respuesta desde un enfoque técnico-jurídico.
1. Punto de partida normativo: artículo 21 LSSI-CE
El artículo 21.1 de la LSSI establece:
Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios.
La clave no está en si el correo “vende algo”, sino en si tiene finalidad comercial o promocional.
2. ¿Qué entiende la AEPD por “comunicación comercial”?
La AEPD mantiene una interpretación amplia del concepto.
Conforme al artículo 2.f) LSSI:
Comunicación comercial es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa.
Esto es esencial: no es necesario que haya una oferta directa de venta.
Basta con que el mensaje:
Promocione la imagen de la entidad.
Tenga finalidad de posicionamiento.
Busque generar negocio futuro.
Pretenda captar clientes o contactos cualificados.
3. El llamado “correo para pedir permiso”
La AEPD ha sido clara en distintos informes y resoluciones: Un correo cuyo único objeto es solicitar autorización para enviar publicidad futura ya es una comunicación comercial.
¿Por qué?
Porque:
Tiene finalidad promocional indirecta.
Persigue abrir un canal comercial.
Forma parte de una estrategia de captación.
En consecuencia:
No puede utilizarse una comunicación electrónica para solicitar el consentimiento si previamente no se tiene base jurídica para contactar.
Este criterio ha sido reiterado en múltiples procedimientos sancionadores.
4. ¿Y si el contenido es “informativo”?
Aquí debemos distinguir:
Caso A: Invitación institucional o meramente relacional
Podría no considerarse comunicación comercial si:
No hay promoción de servicios.
No existe finalidad económica.
No se vincula a actividad empresarial.
Se trata de relaciones estrictamente profesionales entre entidades con relación previa.
Pero este margen es muy limitado.
Caso B: Invitación a evento, estudio o comunidad con finalidad empresarial
En la práctica, la AEPD tiende a considerar que:
Invitaciones a eventos organizados por la empresa.
Invitaciones a webinars.
Invitaciones a formar parte de comunidades profesionales vinculadas a una marca.
Invitaciones a estudios con finalidad de marketing.
Solicitudes de suscripción a newsletter.
Son comunicaciones comerciales, aunque no haya oferta directa.
Porque existe promoción indirecta de la imagen o servicios.
5. Excepción: relación contractual previa (art. 21.2 LSSI)
Solo existe un margen claro cuando:
Existe una relación contractual previa.
Se utilizan los datos obtenidos lícitamente.
Se trata de productos o servicios similares.
Se ofrece posibilidad de oposición en cada envío.
Fuera de este supuesto, el consentimiento previo es obligatorio.
6. ¿Existe algún margen real?
Desde una perspectiva estricta y alineada con la doctrina de la AEPD:
El margen es muy reducido.
En entornos B2B, algunos operadores sostienen una interpretación más flexible cuando:
Se utilizan datos profesionales (art. 19 LOPDGDD).
El contacto se limita a funciones profesionales.
Se invoca interés legítimo.
Sin embargo:
La LSSI prevalece respecto al canal electrónico.
Y el artículo 21 no distingue entre B2B y B2C.
La AEPD viene entendiendo que incluso en B2B el envío masivo no solicitado por email es sancionable si tiene finalidad promocional.
7. Conclusión técnica
En términos estrictamente alineados con la AEPD:
Un primer correo que invita a un evento, estudio o comunidad empresarial
Aunque no contenga oferta directa
Aunque solo solicite autorización para futuros envíos
Se considera comunicación comercial si existe finalidad promocional directa o indirecta.
Por tanto, requiere consentimiento previo salvo que concurra la excepción del artículo 21.2 LSSI.
8. Recomendación práctica
Desde una perspectiva de cumplimiento:
No utilizar correo electrónico para pedir consentimiento si no se tiene base jurídica previa.
Recoger el consentimiento por otras vías (formularios web, descarga de recursos, contratación, etc.).
Valorar alternativas como:
Contacto telefónico en determinados supuestos B2B (analizando base jurídica).
Contacto postal.
Documentar adecuadamente la base jurídica.
Una pregunta, ¿es legal enviar un correo electrónico (dentro de una campaña de envíos a una libreta de direcciones utilizando «mail merge») a una dirección de correo electrónico publicada en la web de una empresa? por ejemplo a «info@legitec.com» ¿O hay que contar con la aprobación de la empresa para realizar un envío a esa dirección de correo? ¿Es un envío ilegítimo? Un saludo
Buenos días Juan. El hecho de que el email sea corporativo y esté visible no equivale a consentimiento. ¿Hace falta autorización expresa de la empresa? Sí, si el correo es comercial o promocional. No, si es una comunicación puntual, legítima y relacionada con su actividad.
Por lo tanto, enviar campañas de emails comerciales a direcciones como info@… sin consentimiento no es legal, aunque estén publicadas en la web. La AEPD y los tribunales atienden más a la finalidad real del envío que a cómo se describa el contenido. Un saludo.