¿Puedo usar el «interés legítimo» para justificar correos de marketing y mensajes en frío?

No. No, no puedes.

Solo puedes enviar comunicaciones no solicitadas si tienes una relación comercial previa con la persona.

Es cierto que la regulación en esta materia no es tan directa como en otros asuntos del GDPR, pero una lectura adecuada de la legislación europea aclara que no puedes enviar un correo a una persona sin su consentimiento.

Además, cabe señalar que el GDPR del Reino Unido puede diferir del GDPR de la UE en esta materia.

Esto no está regulado en el GDPR, sino en la Directiva 2002/58/CE

En lugar del Reglamento General de Protección de Datos, debemos mirar la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas (también conocida como la Directiva ePrivacy).

Esto se debe a que el Artículo 95 del GDPR, titulado “Relación con la Directiva 2002/58/CE”, explica precisamente que la Directiva 2002/58/CE debe prevalecer en estas materias.

Esto es lo que dice la Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas en su Artículo 13:

Artículo 13: Comunicaciones no solicitadas

1. La utilización de sistemas de llamada automática sin intervención humana (aparatos de llamada automática), fax o correo electrónico con fines de venta directa solo podrá autorizarse respecto de aquellos abonados que hayan dado su consentimiento previo.

Como puedes ver, la Directiva establece claramente que no puedes enviar correos a personas sin su consentimiento.

La excepción: relaciones comerciales existentes

Sin embargo, hay un segundo párrafo, que se refiere a la situación específica en la que una persona ya es cliente:

2. No obstante lo dispuesto en el apartado 1, cuando una persona física o jurídica obtenga de sus clientes la dirección de correo electrónico, en el contexto de la venta de un producto o servicio, de conformidad con la Directiva 95/46/CE, esa misma persona física o jurídica podrá utilizar dicha dirección de correo electrónico para la venta directa de sus propios productos o servicios similares, siempre que se ofrezca claramente a los clientes la posibilidad de oponerse, de forma gratuita y sencilla, a dicha utilización de la dirección de correo electrónico en el momento de su recogida y con ocasión de cada mensaje en caso de que el cliente no hubiera rechazado inicialmente dicha utilización.

Esto significa que sí puedes enviar correos de marketing a una persona si ya es tu cliente, siempre que:

1. Los datos de contacto se obtuvieron en el contexto de una venta de un producto o servicio
2. El marketing sea para productos o servicios similares
3. Al cliente se le dio una oportunidad clara de oponerse cuando se recogieron los datos
4. Cada correo posterior incluya una forma fácil de darse de baja

La legislación nacional puede variar

El tercer párrafo del Artículo 13 continúa diciendo que cada país europeo puede establecer sus propias medidas:

3. Los Estados miembros tomarán las medidas adecuadas para garantizar que, de forma gratuita, no se permitan las comunicaciones no solicitadas con fines de venta directa, en casos distintos de los contemplados en los apartados 1 y 2, sin el consentimiento de los abonados interesados o respecto de los abonados que no deseen recibir dichas comunicaciones, debiendo ser la opción entre estas dos posibilidades determinada por la legislación nacional.

Ejemplo local: la Ley Orgánica 3/2018 de España

Para ofrecer un ejemplo concreto, veamos qué dice un país europeo, España, al respecto. Esto está regulado en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Artículo 19. Tratamiento de datos de contacto de empresarios individuales y profesionales liberales

1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y, en su caso, los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:

(a) que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.

En resumen, la normativa española dice que no, no puedes contactar a alguien por medios electrónicos si no tienes una base legítima. Solo puedes enviar correo postal a la dirección de la empresa.

Curiosamente, en España, se permite enviar marketing no solicitado por correo postal a la dirección física de una empresa, pero no por correo electrónico.

No, “interés legítimo” no significa que tu producto pueda ser interesante

Esto está estrechamente relacionado con el tema del Artículo 6 del GDPR: la base legal para el tratamiento. Para entender completamente este tema, es esencial que comprendas lo que dice el Artículo 6.

En resumen, el Artículo 6 del GDPR dice que necesitas el consentimiento previo de alguien para tratar sus datos. Existen otras cinco justificaciones posibles, pero ninguna te ofrecerá una forma de justificar el envío de comunicaciones no solicitadas.

Una de las justificaciones es el “interés legítimo”, pero como puedes ver en la Directiva 2002/58/CE, el “interés legítimo” no es suficiente como excusa para enviar correos de marketing y emails en frío a tus prospectos – y recuerda que la Directiva 2002/58/CE prevalece sobre el GDPR en esta materia (según el Artículo 95 del GDPR).

Además, el “interés legítimo” solo es aplicable a casos como prevenir daños a alguien, como prevenir fraudes o garantizar sistemas de seguridad. La Comisión Europea lo aclara en su página: ¿Qué significa “motivos de interés legítimo”?

Sin embargo, debería ser obvio que el “interés legítimo” es una situación muy específica; de lo contrario, significaría que cualquiera podría contactar a cualquiera sobre cualquier cosa, haciendo que todo el GDPR quedara obsoleto.

¿Cuáles son las consecuencias del incumplimiento?

Enviar correos de marketing no solicitados sin una base legal adecuada puede resultar en:

• Multas del GDPR: Hasta 20 millones de euros o el 4% de la facturación anual global
• Violaciones de ePrivacy: Multas adicionales bajo las implementaciones nacionales de la Directiva ePrivacy
• Daño reputacional: Las quejas de spam pueden dañar tu reputación como remitente
• Problemas de entregabilidad: Los destinatarios pueden reportar tus correos como spam, afectando futuras campañas

Cómo cumplir con el GDPR y ePrivacy para email marketing

Para garantizar el cumplimiento, sigue estas buenas prácticas:

1. Obtén consentimiento explícito: Usa una acción clara y afirmativa (por ejemplo, casillas de verificación) para recoger el consentimiento
2. Sé transparente: Explica qué enviarás y con qué frecuencia
3. Facilita darse de baja: Incluye un enlace claro de cancelación de suscripción en cada correo
4. Mantén registros: Documenta cuándo y cómo se obtuvo el consentimiento
5. Respeta las bajas inmediatamente: Procesa las solicitudes de cancelación de forma oportuna
6. Usa doble opt-in: Confirma las direcciones de correo antes de añadirlas a tu lista

Documenta tu cumplimiento correctamente

GDPR.Direct puede ayudarte a crear políticas de privacidad y formularios de consentimiento conformes que expliquen claramente cómo recopilas y usas datos personales para fines de marketing.

Empieza con las plantillas gratuitas de GDPR.Direct →

Conclusión

Aunque el interés legítimo es una base legal válida bajo el GDPR para ciertos tipos de tratamiento de datos, no puede usarse como justificación para enviar correos de marketing en frío. La Directiva ePrivacy requiere consentimiento explícito para el marketing directo electrónico, con excepciones limitadas para relaciones comerciales existentes.

Prioriza siempre el cumplimiento y el respeto por las preferencias de privacidad de las personas. No solo es legalmente obligatorio, sino que también genera confianza con tu audiencia.