En el artículo anterior, que dejo enlazado aquí, les hablé del interés legítimo como base legal para el tratamiento de datos personales en los casos de mercadotecnia directa.
Cuando no se cumplen los requisitos que permiten invocar el interés legítimo —como la adecuada ponderación de intereses exigida por el artículo 6.1.f) del RGPD—, resulta necesario recabar el consentimiento expreso del destinatario. No obstante, esta exigencia se flexibiliza cuando se cumplen las condiciones previstas en el artículo 13.2 de la Directiva 2002/58/CE (Directiva ePrivacy). En este sentido, el TJUE se pronunció en su sentencia de 13 de noviembre de 2025 (asunto C‑654/23), relativa al envío de boletines informativos (newsletters) sin consentimiento previo.
El artículo 7 del RGPD exige que el responsable del tratamiento pueda demostrar que obtuvo el consentimiento del interesado, lo que hace necesario conservar un registro detallado que permita verificarlo en caso de auditoría o inspección. Este registro debe incluir la fecha, el medio de obtención, el texto de la declaración de consentimiento y pruebas de la acción afirmativa del interesado.
Existen varios mecanismos con los que pueden acreditar el consentimiento, que será libre, informado, específico e inequívoco, mediante una acción afirmativa clara, y no por inacción o premarcado de casillas.
Formulario web
Mediante una casilla de verificación o «check box» no premarcada, el interesado declara que ha leído y acepta el contenido del aviso legal y la política de privacidad. De forma que, marcando esa casilla otorga su consentimiento para el tratamiento de sus datos personales.
El texto de la casilla de verificación podría ser el siguiente: «Consiento expresamente la recepción de comunicaciones comerciales relacionadas con esta entidad a través de correo electrónico, medios de comunicación electrónica equivalentes o teléfono, habiendo sido informado de mis derechos conforme al RGPD». Se recomienda incluir un enlace directo a la información detallada y asegurar que el consentimiento sea revocable en cualquier momento con la misma facilidad.
Una prueba del consentimiento efectivo radica en acreditar que el software empleado en el formulario web no permite enviar los datos personales contenidos en el mismo, sin antes haber aceptado el aviso legal y la cláusula informativa sobre protección de la privacidad. Esto se puede acreditar mediante logs del sistema, capturas de pantalla o certificados de auditoría técnica.
Para asegurarnos que el interesado es informado, con carácter previo, es recomendable colocar bajo la casilla de verificación una primera capa informativa, con mención a la identidad del responsable del tratamiento y, en su caso, del DPD; base jurídica que legitima el tratamiento; finalidades; categorías de datos; plazo de conservación; derechos del usuario y un enlace a la política de privacidad, que nos remitirá a la segunda capa.
Doble «opt-in»
Se trata de un sistema de registro doble para los datos de un usuario en una lista de correo, por el que este acepta y confirma su consentimiento de forma expresa e inequívoca, aunque revocable, de recibir comunicaciones comerciales a través de su dirección de correo electrónico.
Este sistema es habitual en los procesos de suscripción. El usuario facilita sus datos personales a través de un formulario web y, antes de comenzar a recibir comunicaciones comerciales, recibe un correo electrónico solicitando la confirmación de su consentimiento. La falta de respuesta o una respuesta negativa a dicho mensaje implica que el usuario no ha confirmado su autorización, por lo que no deben enviársele comunicaciones comerciales.
Este sistema evita listados poco realistas formados por altas apresuradas, usuarios con poco interés, registros desactualizados, cuando no perfiles falsos. El objetivo de este sistema de verificación es optimizar recursos creando listas de correos de calidad, evitando registros que no van a dar frutos.
Correo postal
En ausencia de consentimiento o interés legítimo, nada impide dirigir campañas publicitarias mediante correo postal, siempre que las comunicaciones se dirijan exclusivamente a personas jurídicas, sin tratar datos personales de individuos. Esto se basa en que el RGPD solo aplica a datos de personas físicas; por tanto, envíos genéricos, por ejemplo, a la «Dirección General» no requieren base jurídica bajo el RGPD.
Sin embargo, si dirigimos la carta a una persona física, aunque sea la persona de contacto de la empresa, entramos en el terreno del tratamiento de datos personales y, entonces, necesitamos el consentimiento expreso del destinatario para tratar sus datos personales, so pena de incurrir en infracción.
