Introducción
El 8 de octubre de 2024, el Comité Europeo de Protección de Datos (EDPB) publicó nuevas reglas sobre cómo usar el “interés legítimo” para tratar datos personales.
Esto es muy relevante para las personas que envían correos electrónicos de marketing en España, ya que les ayuda a entender cómo equilibrar sus necesidades comerciales con los derechos de los destinatarios.
En este artículo, explicaremos qué es el interés legítimo como base legal para enviar correos sin consentimiento expreso, los requisitos para su uso y cómo se aplica al envío de correos electrónicos a profesionales.
También veremos ejemplos de sanciones (multas) que ha impuesto la Agencia Española de Protección de Datos (AEPD) por violar estas normas y cómo se conecta con el artículo 19 de la Ley de Protección de Datos (LOPD) sobre el uso de datos profesionales.
¿Qué es el Cold Email?
El “cold email” es una técnica de marketing en la que una empresa o profesional envía correos electrónicos a personas con las que no ha tenido contacto antes.
A diferencia de los correos enviados a clientes actuales o suscriptores, los cold emails buscan establecer una relación inicial o atraer a nuevos clientes.
Aunque son similares a las llamadas “en frío” (cold calling), los cold emails son más eficientes porque se envían por correo electrónico.
Sin embargo, deben cumplir con normativas como el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Servicios de la Sociedad de la Información (LSSI) en España. Además, con el uso de herramientas tecnológicas como la inteligencia artificial o el web scraping, es importante conocer los límites legales de esta estrategia para evitar sanciones.
¿Es Legal el Cold Email en España bajo el GDPR y la LSSI?
Hacer cold email puede ser legal en España, pero hay que cumplir ciertas reglas.
Sin ánimo de realizar un análisis legal completo, es fundamental distinguir entre enviar correos a consumidores (personas) o a empresas/profesionales, ya que las normativas varían.
El GDPR permite el uso de diferentes bases legales para enviar cold emails, pero la LSSI (Ley de Servicios de la Sociedad de la Información) añade restricciones al envío de correos no solicitados.
Así por ejemplo, el artículo 21 de la LSSI prohíbe enviar correos comerciales no solicitados, a menos que se cumplan excepciones específicas relacionadas con la existencia de otra base legal acreditable. Y cita, la existencia de una relación contractual previa, siempre que los datos hayan sido captados legítimamente y se ofrezca al destinatario una forma clara y gratuita para que pueda optar por no recibir más correos en el futuro.
En resumen, cada sistema de envío de campañas de cold email debe analizarse caso por caso, dependiendo del destinatario y del contexto.
Este análisis casuístico de la base de datos, del tipo de leads y en general del tipo de campaña es fundamental para evitar responsabilidades.
Tres Requisitos Clave para Usar el Interés Legítimo
Entre las bases legales distintas al consentimiento y recogidas en el GDPR, nos encontramos con el denominado como “interés legítimo“.
Para utilizarlo como justificación legal en el envío de cold emails en España, se deben cumplir simultáneamente los siguientes requisitos:
- Interés legítimo claro: El interés debe ser válido, como promocionar productos a clientes actuales. Si no hay una relación previa y se trata de consumidores, se necesitará su consentimiento.
- Necesidad del procesamiento: El uso de los datos debe ser necesario. Por ejemplo, si enviar un correo es la única forma de contactar a un cliente, podría considerarse necesario, siempre que se respeten los límites de la LSSI.
- Equilibrio de derechos: Hay que asegurarse de que los derechos del destinatario no se vean perjudicados por el interés comercial. Incluso si se aplica el interés legítimo, la LSSI exige que se incluya una forma fácil para que los destinatarios puedan darse de baja.
Cold Emailing y el Interés Legítimo en España
Aunque el interés legítimo puede ser una base válida para justificar el envío de cold emails, para un profesional no jurídico puede resultar útil e importante la clave de distinguir entre consumidores y profesionales.
En general, en España, y si quieres evitar problemas con tus campañas de cold email, será necesario obtener el consentimiento previo del destinatario si no existe una relación previa.
Muchas empresas que hacen marketing digital inspiradas en estrategias importadas de otros países como Estados Unidos o Brasil no son conscientes de estas normas, lo que puede generar problemas legales cuando los destinatarios de las mismas son europeos.
Si buscas un enfoque más seguro, lo ideal es tener una base legal clara, como una relación contractual previa, y siempre incluir una opción para que el destinatario se oponga al tratamiento de sus datos.
Jurisprudencia Reciente sobre el Interés Legítimo
Algunas autoridades de protección de datos, como la ICO (del Reino Unido), han sido más flexibles en cuanto a permitir el uso del interés legítimo para el envío de campañas con fines comerciales, siempre que se cumplan ciertas condiciones.
Sin embargo, en España, la Agencia Española de Protección de Datos (AEPD) y el Tribunal Supremo han adoptado una postura más estricta.
La AEPD ha dejado claro que, aunque el beneficio económico puede ser un interés legítimo, nunca debe ser más importante que el derecho de las personas a proteger sus datos.
El Tribunal Supremo ha respaldado esta visión, afirmando que los intereses comerciales de una empresa no pueden prevalecer sobre los derechos de los titulares de los datos.
Además, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado recientemente que los intereses comerciales, como vender datos sin el consentimiento de la persona, no siempre pueden justificarse bajo el interés legítimo.
Cold Email y Contactos Profesionales: ¿es legal?
Lo anterior, no obstante, no significa que el cold email sin consentimiento expreso sea imposible en España.
De hecho, la ley Ley de Protección de Datos española permite enviar “cold emails” bajo ciertas condiciones a contactos profesionales sin necesidad de consentimiento, siempre que se cumplan ciertos requisitos como que:
- Los datos utilizados sean necesarios para localizar al destinatario en su entorno profesional.
- Los correos tengan un objetivo relacionado con la actividad profesional del destinatario.
- El envío de correos se dirija a profesionales y empresarios y los datos de contacto están vinculados a su trabajo.
En definitiva, como es ya acostumbrado, resulta esencial que estos correos se estructuren dentro de un marco legal riguroso, respetando siempre los derechos de los destinatarios y sus expectativas razonables de recepción de correo electrónico.
Ejemplos de Sanciones por Cold Emailing
La Agencia Española de Protección de Datos ha impuesto varias sanciones a empresas por utilizar datos personales de forma incorrecta en campañas de cold email. Multas que en la práctica van desde los mil euros hasta los veinte millones de euros o un dos al cuatro por ciento de la facturación según el volumen de la campaña y otros criterios de graduación.
Veamos algunos ejemplos habituales, de cuantía reducida, y que suelen ser los casos más comunes.
Multa de 2.000€ por Enviar Correos sin Consentimiento a Consumidor en la Lista Robinson
Se multó con 2.000 euros a la empresa Gestión de Patrimonios Anfipolis SL por enviar un correo publicitario a una persona que no era cliente, no había solicitado información y que además estaba registrada en la Lista Robinson (un directorio para no recibir publicidad).
Para mayor gravedad, la empresa no ofreció la opción de darse de baja del correo, lo cual es obligatorio. Ver expediente
Cold Email sin Consentimiento y Enlace de Baja Inoperativo sancionado
MAPEX AGENCIA CONSULTING, S.L. fue sancionada con 1.000€ por enviar un correo comercial no solicitado a una empresa sin tener una relación previa ni el consentimiento del destinatario.
Como añadido, el enlace para darse de baja no funcionaba, lo que impidió al destinatario oponerse al envío. Ver expediente
Sanción de 2.500€ por Enviar Correos Publicitarios sin Consentimiento en España
A la compañía Línea Directa Aseguradora, S.A. se le impuso una multa de 2.500€ por enviar correos comerciales sin haber obtenido el consentimiento del destinatario, lo que violaba el artículo 21 de la LSSI.
Adicionalmente, no pudieron demostrar que el destinatario hubiera dado su consentimiento. Ver expediente
Multa por Enviar Cold Emails a Correos Captados en Redes Sociales como Instagram
La AEPD sancionó con 1.000 euros a SokMedia por enviar un correo comercial sin consentimiento, promocionando servicios de Instagram.
Los datos del destinatario se obtuvieron de su perfil público en la red social, y el correo no incluía una opción válida para oponerse o darse de baja. Ver expediente
Conclusión sobre la Legalidad del Cold Email en España
El cold emailing puede ser legal en España, pero es crucial cumplir con las normativas.
Un criterio que puede ayudar a los perfiles no jurídicos es diferenciar entre correos a consumidores y a empresas. Aunque sin olvidarnos de que las empresas y empresarios individuales, también pueden operar en el tráfico jurídico como consumidores.
Para los personas físicas que son consumidores, generalmente se requiere su consentimiento previo, mientras que en el caso de contactos profesionales se puede utilizar, no sin criterio, la base legal del interés legítimo. Ello, siempre respetando los derechos de los destinatarios y siguiendo los criterios legales y jurisprudenciales ya apuntados.
Consejos para Evitar Problemas en Tu Próxima Campaña de Cold Email
Para abogados o profesionales del derecho, este tema puede parecer sencillo, pero los tecnicismos pueden ser confusos para marketers o consultores.
Aquí tienes algunas claves para evitar problemas en tus campañas de email marketing en Europa:
- Consulta a expertos: Asegúrate de que todas tus estrategias comerciales cumplan con la normativa. Un mal uso del email marketing puede traer problemas serios.
- Correos a empresas o profesionales: Puedes enviar correos sin consentimiento expreso basándote en el interés legítimo, siempre que cumplas con los requisitos legales. Asegúrate de revisar todo con tu abogado, especialmente si manejas grandes volúmenes.
- Correos a consumidores: Generalmente necesitarás el consentimiento explícito. Otras bases legales son más complicadas de aplicar. Ten cuidado con herramientas de IA o scraping que prometen “leads gratis”.
- Directrices del EDPB: No confíes solo en el interés legítimo. Documenta bien tus procesos y protege los derechos de los destinatarios. Consulta las guías especializadas para más detalles.
- Riesgos: El incumplimiento puede resultar en multas y dañar la reputación de tu empresa. Las sanciones son públicas y fácilmente accesibles en internet.
En definitiva, para asegurarte de que tus campañas de cold emailing cumplen con todas las normativas, no intentes hacer todo por tu cuenta y pide ayuda.
Te recomiendo tratar el asunto en una consultoría de negocio o explorar nuestra membresía Ignition, donde tendrás acceso a recursos clave que te ayudarán a alinear tu estrategia con el GDPR, la LSSI y otras normativas. Pudiendo lanzar tus preguntas a nuestros expertos tanto en directo, como en talleres y de manera diferida cada mes.
Recuerda, cumplir con la normativa no solo protege a tus destinatarios.
También salvaguarda tu negocio y protege la reputación de tu marca personal y corporativa.
