En una frase. Una agencia de marketing es a la vez encargado del tratamiento (cuando ejecuta campañas para sus clientes) y responsable (cuando trata su propia base de datos), y confundir los dos roles es el origen de la mayoría de sus problemas de cumplimiento y de las cesiones ilícitas que sanciona la AEPD.
El RGPD agencias de marketing parte de una pregunta que hay que responder para cada tratamiento: ¿actúo por cuenta de mi cliente o por cuenta propia? De esa respuesta depende quién decide, quién firma el contrato y quién responde ante la Agencia Española de Protección de Datos. Esta guía aterriza las obligaciones del sector.
Puntos clave
- La agencia es encargado en las campañas de sus clientes y responsable de su propia base de datos.
- El email marketing se rige por el art. 21 LSSI además del RGPD.
- La compra de bases de datos rara vez es lícita sin consentimiento del titular.
- La Lista Robinson (Adigital) debe consultarse antes de campañas de publicidad.
- Vodafone España fue multada con 8,15 M EUR por prácticas de marketing agresivo.
1. Encargado o responsable: la distinción que lo condiciona todo
Cuando la agencia ejecuta una campaña con la base de datos del cliente, actúa como encargado del tratamiento: el cliente decide fines y medios, y la agencia debe firmar un contrato del art. 28 RGPD. Cuando la agencia usa su propia base de datos, capta leads o enriquece registros para su negocio, actúa como responsable y responde de todo.
El error clásico es tratar la base de un cliente como si fuera propia —reutilizarla para otras campañas o para prospección propia—. Eso convierte a la agencia en responsable de un tratamiento sin base y en autora de una cesión ilícita. Formaliza siempre la relación con el modelo de contrato de encargado y revisa las obligaciones del artículo 28 RGPD.
La distinción tiene consecuencias muy concretas en el día a día. Como encargada, la agencia solo puede tratar los datos siguiendo las instrucciones documentadas del cliente, no puede contratar subencargados (por ejemplo, una herramienta de email o un proveedor de SMS) sin autorización, y debe devolver o suprimir los datos al terminar la campaña. Como responsable de su propia base, en cambio, la agencia decide fines y medios y asume todas las obligaciones: información, base jurídica, atención de derechos y notificación de brechas. Un mismo empleado puede pasar de un rol a otro en la misma jornada según el proyecto que toque, y ahí es donde se cometen los errores. La regla operativa es sencilla: antes de tocar una base de datos, preguntar de quién es y con qué instrucciones se puede usar. El Comité Europeo de Protección de Datos (EDPB) ha publicado directrices sobre los conceptos de responsable y encargado que conviene tener a mano.
2. Compra y enriquecimiento de bases de datos
Comprar una base de datos “para hacer email marketing” es una de las prácticas más arriesgadas del sector. Para que fuera lícita, los titulares tendrían que haber consentido específicamente la cesión a terceros para publicidad, cosa que casi nunca ocurre. El resultado habitual es una base sin consentimiento válido y un envío que vulnera a la vez el RGPD y la LSSI. Lo mismo aplica al enriquecimiento con datos de terceras fuentes: cada dato añadido debe tener origen lícito y encajar con la finalidad informada al titular.
3. Email marketing y la LSSI
El envío de comunicaciones comerciales por medios electrónicos se rige por el art. 21 de la Ley de Servicios de la Sociedad de la Información, además del RGPD. Reglas:
- Regla general: consentimiento previo del destinatario.
- Excepción: se pueden enviar comunicaciones sobre productos o servicios similares a clientes propios de los que se obtuvo el dato en una venta, siempre con opción de baja.
- Cada comunicación debe incluir un mecanismo de baja gratuito y sencillo.
- Identificación clara del remitente y de la naturaleza publicitaria del mensaje.
Redacta los consentimientos con nuestra guía de ejemplos de consentimiento RGPD.
4. Píxeles, cookies y audiencias
Las campañas digitales dependen de píxeles de seguimiento, cookies y audiencias personalizadas (lookalike). Cada una tiene implicaciones:
- Los píxeles y cookies de terceros exigen consentimiento previo conforme a la Guía de cookies de la AEPD, con opción de rechazar en la primera capa. Revisa cómo cumplir en la guía sobre la bandera de cookies conforme a la AEPD.
- Las audiencias personalizadas que suben listas de clientes a plataformas publicitarias son cesiones de datos que requieren base e información.
- El retargeting debe respetar la oposición del usuario.
El principio es que ningún seguimiento no esencial debe activarse antes de que el usuario haya consentido de forma libre, específica e informada. Esto choca de frente con la práctica de muchas campañas, que cargan píxeles de Meta o de Google en el momento en que se abre la página, antes de mostrar el banner de cookies. Ese disparo previo al consentimiento es exactamente lo que la Agencia Española de Protección de Datos considera una infracción, y afecta tanto al anunciante como a la agencia que diseñó la implementación técnica. Auditar el orden en que se cargan los scripts es tan importante como redactar bien el texto del consentimiento.
5. Lista Robinson, oposición y enforcement
Antes de una campaña de publicidad dirigida por vías tradicionales, hay que consultar la Lista Robinson (el servicio de exclusión publicitaria gestionado por Adigital): dirigir publicidad a quien figura inscrito vulnera su derecho de oposición y constituye una infracción autónoma. La AEPD sanciona con dureza las prácticas de marketing agresivo; el caso más contundente es la multa de 8,15 millones de euros a Vodafone España (una de las mayores del país), que sirvió de advertencia a todo el ecosistema. Analizamos estos casos en el seguimiento de sanciones AEPD en marketing y publicidad.
Para una agencia, mantener los contratos de encargado, los registros de consentimiento y las evidencias de baja al día en decenas de campañas y clientes es un reto operativo. Plataformas como Legiscope ayudan a ordenar esa documentación, aunque la disciplina de separar el rol de encargado del de responsable en cada proyecto es responsabilidad de la propia agencia.
Véase también, para sectores con obligaciones de protección de datos similares: RGPD para startups y SaaS, RGPD para empresas de construcción y RGPD para transporte y logística.
FAQ
¿La agencia es responsable o encargada de los datos?
Depende del tratamiento. En las campañas que ejecuta con la base de datos de un cliente es encargada y debe firmar el contrato del art. 28 RGPD. En su propia base de datos o en la captación de leads propios es responsable y responde de todo.
¿Puedo comprar una base de datos para email marketing?
Casi nunca de forma lícita. Necesitarías que los titulares hubieran consentido específicamente la cesión a terceros para publicidad, algo excepcional. Sin ese consentimiento, el envío vulnera el RGPD y la LSSI.
¿Puedo mandar emails comerciales sin consentimiento?
Solo a clientes propios sobre productos o servicios similares a los que ya contrataron, y siempre con opción de baja. Para el resto de destinatarios se necesita consentimiento previo conforme al art. 21 LSSI.
¿Qué es la Lista Robinson y por qué me afecta?
Es el servicio de exclusión publicitaria de Adigital. Debes consultarla antes de campañas de publicidad dirigida: enviar publicidad a quien está inscrito vulnera su derecho de oposición y puede acarrear sanción.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial