Derechos RGPD en newsletter y CRM: oposición, supresión y cómo no liarla
La mayoría de negocios no falla el RGPD por tener una mala política de privacidad. Falla por no tener un proceso real cuando alguien se da de baja, se opone a recibir comunicaciones o pide que borres sus datos.
Esto es especialmente delicado en newsletters, CRM, ecommerce, formularios, automatizaciones y comunidades privadas. El problema no es solo legal. También es operativo: si tus herramientas no están bien conectadas, puedes seguir enviando emails a alguien que ya se opuso o conservar datos que deberías haber suprimido.
El RGPD no premia tener textos bonitos. Premia poder demostrar que gestionas derechos de forma coherente, proporcionada y a tiempo.
Qué derechos importan aquí
Para newsletter y CRM hay dos derechos que aparecen una y otra vez: el derecho de oposición y el derecho de supresión.
| Situación | Qué pide la persona | Qué debería pasar |
|---|---|---|
| Baja de newsletter | No recibir más emails comerciales | Excluirla de campañas y automatizaciones comerciales |
| Oposición a marketing | Que no uses sus datos para comunicaciones comerciales | Registrar supresión/oposición para evitar reimportaciones |
| Supresión | Borrar sus datos cuando proceda | Eliminar o anonimizar lo no necesario y conservar solo lo justificable |
| Cliente con factura | Borrar todo | No borrar obligaciones fiscales/contractuales, pero sí bloquear uso comercial |
Derecho de oposición
El derecho de oposición permite a una persona pedir que dejes de tratar sus datos en determinados supuestos. En marketing directo, la regla práctica es clara: si alguien se opone a recibir comunicaciones comerciales, tienes que dejar de enviarlas.
En una newsletter, esto no debería depender de que alguien del equipo recuerde borrar manualmente una etiqueta. La baja, la oposición y las preferencias de comunicación deben estar conectadas con el CRM y las automatizaciones.
Derecho de supresión
El derecho de supresión permite pedir la eliminación de datos personales cuando se dan ciertas condiciones. Pero no significa que siempre tengas que borrar absolutamente todo en el mismo segundo. Puede haber datos que debas conservar por obligación legal, facturación, defensa ante reclamaciones o prueba de consentimiento.
La clave es documentar qué se borra, qué se conserva, por qué se conserva y durante cuánto tiempo.
Lo que ha recordado el EDPB
El Comité Europeo de Protección de Datos publicó el 25 de junio de 2026 una actualización de su digest de casos One-Stop-Shop sobre derecho de oposición y derecho de supresión. No es una guía para pymes, pero sí muestra dónde miran las autoridades: procesos internos, tiempos de respuesta, obstáculos innecesarios, identificación del solicitante y medidas correctivas.
Una idea importante: pedir documentación de identidad por defecto puede ser desproporcionado. El EDPB recuerda que solo tiene sentido pedir información adicional si hay dudas razonables sobre la identidad, y que esa comprobación debe ser proporcionada al contexto.
Errores habituales en newsletters y CRM
- Permitir la baja de la newsletter, pero dejar a la persona dentro de una automatización comercial.
- Borrar el contacto del CRM sin conservar una mínima lista de supresión cuando necesitas evitar futuros envíos.
- Pedir DNI por sistema para cualquier solicitud, aunque la persona escriba desde el mismo email registrado.
- Tener formularios, etiquetas, listas y automatizaciones sin mapa claro.
- No registrar cuándo se recibió la solicitud, qué se hizo y quién lo hizo.
- Confundir baja comercial con eliminación total de la relación jurídica o fiscal.
Qué debería tener un negocio digital
No necesitas un departamento legal para cada email. Pero sí necesitas un procedimiento simple y repetible.
- Un canal claro para recibir solicitudes: email, formulario o área de cliente.
- Una forma de verificar identidad sin pedir más datos de los necesarios.
- Un mapa de herramientas: FluentCRM, WordPress, SureCart, formularios, comunidad, hojas, facturación y automatizaciones.
- Una regla sobre supresión, anonimización, baja comercial y conservación bloqueada.
- Una lista de supresión para no reimportar contactos que se opusieron a marketing.
- Un registro mínimo de solicitudes y respuesta.
Newsletter: baja no es lo mismo que borrar todo
Si alguien solo quiere dejar de recibir la newsletter, normalmente basta con tramitar la baja o la oposición a comunicaciones comerciales. Pero si además pide supresión, hay que revisar qué datos conserva el sistema y por qué.
Por ejemplo: puedes tener que conservar datos de facturación, prueba de una transacción o evidencia de consentimiento durante cierto tiempo. Lo que no tiene sentido es seguir segmentando, etiquetando o impactando comercialmente a esa persona como si nada hubiera pasado.
CRM: el peligro está en las automatizaciones
El CRM no es solo una agenda de contactos. En herramientas como FluentCRM, ActiveCampaign, HubSpot o similares, un contacto puede estar en listas, etiquetas, funnels, secuencias, formularios, compras y eventos. Si solo borras un campo o quitas una lista, quizá no has resuelto nada.
Por eso conviene revisar el flujo completo: entrada, segmentación, campañas, automatizaciones, exclusiones, backups, integraciones y exportaciones.
Checklist práctico
- ¿La baja de newsletter detiene todas las campañas futuras?
- ¿La oposición a marketing queda registrada para evitar reimportaciones?
- ¿Sabes qué sistemas contienen datos del contacto?
- ¿Tienes una respuesta tipo para confirmar la recepción de solicitudes?
- ¿Puedes justificar qué datos no borras y por qué?
- ¿Evitas pedir DNI salvo que exista una duda razonable de identidad?
- ¿Tu equipo sabe qué hacer si alguien responde “borra mis datos” a una campaña?
La diferencia entre cumplir y aparentar cumplir suele estar ahí: en tener un proceso real cuando llega una solicitud incómoda.
Consultoría EBDF
Ordena tu CRM antes de que te explote una solicitud
Revisamos listas, etiquetas, formularios, automatizaciones, bajas y conservación de datos para que tu newsletter y tu CRM funcionen con criterio legal y operativo.
Reservar una consultoríaLecturas relacionadas
- Reglamento Europeo de IA: lo que tu empresa tiene que hacer antes de agosto de 2026
Aunque este post va de RGPD, IA y CRM se cruzan cuando usas automatizaciones y asistentes. - Cancelar una suscripción no debería ser una carrera de obstáculos
Relacionado con bajas, fricción artificial y diseño que puede acabar siendo un problema legal. - Botón de desistimiento online: qué debe cambiar en tu checkout
Para negocios digitales que venden online y necesitan alinear UX, consumidor y compliance.
