En una frase. Marketing y publicidad concentran el 12% del importe sancionador AEPD con multas habituales entre 5.000 EUR y 200.000 EUR por envío de comunicaciones comerciales sin consentimiento válido, base de datos no validada y omisión del derecho de oposición.
Puntos clave
- 358 procedimientos sancionadores AEPD por marketing en 2024-2025.
- Sanción media: 12.000 EUR. Máxima del sector: 350.000 EUR (broker datos).
- LSSI-CE art. 21 + RGPD: doble régimen para email y SMS.
- Lista Robinson: verificación obligatoria antes de campañas telefónicas.
- Compra de bases de datos: tres requisitos cumulativos casi nunca cumplidos.
1. Marco legal aplicable
Las comunicaciones comerciales en España combinan tres normas:
- RGPD: base jurídica (art. 6), información (art. 13), derecho de oposición (art. 21).
- LSSI-CE art. 21: prohibición de comunicaciones electrónicas comerciales no solicitadas salvo consentimiento o relación contractual previa con productos similares.
- Ley General de Telecomunicaciones art. 66: oposición a llamadas comerciales y Lista Robinson.
2. Tipos de campañas y régimen aplicable
| Canal | Norma principal | Base requerida |
|---|---|---|
| Email comercial | LSSI-CE + RGPD | Consentimiento o cliente con producto similar |
| SMS comercial | LSSI-CE + RGPD | Consentimiento explícito |
| Llamada telefónica | LGT + RGPD | Lista Robinson + base jurídica |
| Publicidad postal | RGPD | Interés legítimo (válido) |
| WhatsApp comercial | LSSI-CE + RGPD | Consentimiento explícito específico |
| Cookies marketing | RGPD + LSSI | Consentimiento art. 22 LSSI |
3. Casos sancionados típicos
- Envío masivo de email a base comprada: 60.000 EUR (PS/00220/2024).
- WhatsApp comerciales sin consentimiento: 30.000 EUR (varios casos pyme).
- Llamadas a número en Lista Robinson: 15.000 EUR por línea.
- Cookies de marketing sin consentimiento: 30.000-200.000 EUR.
- Compra de base de datos para campaña: 350.000 EUR a broker en 2024.
4. Compra de bases de datos: los tres requisitos
Para usar una base comprada en marketing, la AEPD exige cumulativamente:
- La fuente original obtuvo consentimiento informado para cesión a terceros con fines de marketing.
- La empresa cedente identificó al cesionario o categoría de cesionarios.
- El cesionario informa al sujeto en un plazo razonable antes del primer contacto (art. 14 RGPD).
En la práctica, el 95% de bases compradas en el mercado español no cumplen el primer requisito.
5. Email marketing: consentimiento o relación previa
LSSI-CE art. 21 permite enviar comunicaciones electrónicas en dos supuestos:
- Consentimiento previo del destinatario.
- Cliente con relación contractual previa, sobre productos o servicios “similares” y con opción clara de oposición en cada envío.
La interpretación de “similares” es restrictiva: una óptica no puede enviar promoción de gafas de sol a quien compró audífonos. Caso PS/00345/2023: 25.000 EUR.
6. SMS y WhatsApp: consentimiento estricto
SMS y WhatsApp comerciales requieren consentimiento explícito específico para el canal. No vale el consentimiento genérico de “comunicaciones comerciales”. Sanciones AEPD habituales entre 6.000 y 30.000 EUR por campaña. La AEPD considera WhatsApp canal “intrusivo” y eleva el agravante del art. 83.2.g RGPD.
7. Llamadas comerciales y Lista Robinson
Desde 2023 toda llamada comercial requiere:
- Verificación previa de la Lista Robinson (gratuita para empresas).
- Identificación clara del operador comercial al inicio.
- Información sobre el derecho a oposición y a no recibir más llamadas.
- Registro de la oposición con confirmación al usuario.
Sanciones típicas: 5.000-50.000 EUR.
8. Cookies y publicidad programática
Las cookies de marketing y trackers para publicidad personalizada requieren consentimiento conforme a la nueva guía AEPD 2026. Botón “Aceptar” y botón “Rechazar” al mismo nivel visual. Sanciones típicas: 30.000-200.000 EUR por banner no conforme.
9. Lead generation y formularios web
Los formularios de captación deben:
- Identificar al responsable del tratamiento.
- Explicar finalidad específica.
- Informar sobre cesiones si las hay (art. 13 RGPD).
- Ofrecer casillas separadas: una para tratamiento operativo, otras independientes para marketing y cesiones.
- Conservar prueba del consentimiento (timestamp + IP + texto exacto).
10. Derecho de oposición: respuesta inmediata
El destinatario puede oponerse al marketing en cualquier momento (art. 21 RGPD). La AEPD exige:
- Mecanismo simple en cada envío (link de baja en email).
- Procesamiento en máximo 48 horas.
- Confirmación al usuario.
- Conservación del registro de oposición indefinidamente.
11. Cómo evitar sanciones de marketing
- Auditoría jurídica de la base de datos antes de toda campaña masiva.
- Doble opt-in en todas las altas web con email de confirmación.
- Verificación Lista Robinson previa a campaña telefónica.
- Política de privacidad específica para marketing.
- Procedimiento de oposición con respuesta en 48h.
- Formación al equipo de marketing y CRM.
FAQ
¿Puedo enviar email a mis clientes existentes?
Sí, sobre productos o servicios “similares” a los ya contratados y con opción de oposición clara en cada envío (LSSI-CE art. 21).
¿La compra de bases de datos es legal?
Legalmente posible pero casi nunca conforme. Requiere tres requisitos cumulativos que el 95% de bases del mercado no cumplen.
¿WhatsApp comercial requiere consentimiento?
Sí. Consentimiento explícito específico para el canal. El consentimiento genérico de “comunicaciones” no es válido.
¿Qué multa puedo recibir por mandar emails sin permiso?
Sanciones típicas entre 5.000 y 60.000 EUR. La sanción máxima registrada a broker de datos: 350.000 EUR en 2024.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial