10.000 € de multa a una empresa del sector del Marketing Digital por el envío de correos publicitarios
¿Qué ocurre si una empresa envía correos publicitarios sin acreditación del receptor?
La Agencia Española de Protección de Datos ha impuesto una sanción de 10.000 euros a una empresa del sector del marketing digital por el envío de correos electrónicos publicitarios sin haber acreditado de forma fehaciente el consentimiento de los destinatarios.
El caso se inició tras la reclamación de un usuario que aseguraba recibir diariamente comunicaciones comerciales sin haber facilitado sus datos y que, al intentar darse de baja a través del enlace incluido en los mensajes, era redirigido a una página en la que se le solicitaban más datos personales.
La defensa de la empresa se basó en un certificado interno con un correo electrónico y una IP. La AEPD lo dejó claro: eso no es suficiente. El responsable de las comunicaciones debe poder demostrar con pruebas sólidas cuándo, cómo y para qué se dio el consentimiento, qué información se presentó al usuario y qué flujo de trabajo siguió el proceso. En otras palabras, hacen falta logs y registros verificables, no simples declaraciones.
Autorización y consentimiento
La Agencia recordó que el responsable de las comunicaciones comerciales debe rendir cuentas respecto a la obtención de la autorización y a los mecanismos utilizados para conseguirla. En un entorno digital, no es suficiente mostrar un formulario o una configuración estática en una web, sino que resulta esencial conservar información sobre la sesión en la que se otorgó el consentimiento, la documentación del flujo de trabajo seguido y una copia de la información que se presentó al usuario en ese momento.
La normativa da flexibilidad sobre la forma de documentar este consentimiento de esos correos publicitarios, pero la exigencia es clara: debe poder acreditarse quién, cuándo, cómo y para qué se prestó el consentimiento, así como la información facilitada al interesado en el momento de la recogida. Esta obligación se mantiene mientras el tratamiento continúe y debe poder verificarse en caso de auditoría o inspección. Si no existen evidencias técnicas, el riesgo es evidente: multas económicas, pérdida de confianza y daños reputacionales.
