Bases de datos empresariales bajo la lupa: lecciones de las últimas resoluciones de la AEPD
Skip to main content
Seleccionar ubicación Spain (ES)
  • Actualidad
  • Bases de datos empresariales bajo la lupa: lecciones de las últimas resoluciones de la AEPD
Insight

Bases de datos empresariales bajo la lupa: lecciones de las últimas resoluciones de la AEPD

Sonia Gracia
10/11/2025
A person wearing a suit and tie is holding a magnifying glass in their right hand and examining a sheet of paper in their left hand. The background is blurred and has a dark, textured appearance.

Albert BetorzJunior Tech & Data de Fieldfisher - albert.betorz@fieldfisher.es

En las últimas décadas, la evolución del derecho a la protección de datos ha ido definiendo con mayor precisión los límites entre la información personal y la vinculada a la actividad profesional o empresarial. En este proceso, los datos de empresarios y profesionales autónomos han ocupado un espacio especialmente sensible, por situarse en la frontera entre ambas esferas.

Durante la vigencia de la LOPD 15/1999 y su Reglamento de desarrollo, esta cuestión se abordó de forma explícita. El artículo 2.2 del Real Decreto 1720/2007 excluía del ámbito de aplicación del reglamento los ficheros que únicamente incorporasen los datos básicos de contacto de personas físicas en el entorno de una persona jurídica, como el nombre, cargo, dirección profesional o correo electrónico. Pero fue el artículo 2.3 el que introdujo una excepción más relevante: los datos relativos a empresarios individuales quedaban igualmente fuera del régimen de protección cuando se refirieran a ellos “en su calidad de comerciantes, industriales o navieros”. Esta exclusión formal consolidó durante años la idea de que la información de carácter profesional o económico no debía recibir el mismo nivel de protección que la personal.

Bajo esa óptica, se gestionaron bases de datos procedentes de fuentes tributarias, censales o registrales con fines diversos, como la elaboración de censos empresariales o la promoción de la actividad económica. Sin embargo, en la práctica, esos datos también se emplearon para finalidades más amplias, entre ellas la prospección comercial o la segmentación de potenciales clientes, extendiendo el uso de información personal más allá del contexto para el que había sido recabada.

Con la entrada en vigor del Reglamento General de Protección de Datos y la posterior aprobación de la Ley Orgánica 3/2018, la cuestión quedó definitivamente clarificada. El artículo 19 de la LOPDGDD reconoció expresamente el tratamiento de datos de contacto y de empresarios individuales con fines profesionales, pero dentro del marco general de protección de datos personales.

Esta regulación ha sido recientemente reforzada por la Agencia Española de Protección de Datos, que en su criterio jurídico “Tratamiento de datos personales de empresarios autónomos: legitimación e información” (2025) ha reiterado que la mera condición de profesional o empresario no excluye la aplicación plena del RGPD y la LOPDGDD. El documento insiste en que la utilización de datos procedentes de censos o registros con fines comerciales distintos de los previstos legalmente requiere una base jurídica específica y el cumplimiento de los principios de licitud, transparencia y limitación de la finalidad.

De este modo, se consolida la idea de que todo tratamiento de datos que permita identificar a una persona física —incluso en el ámbito profesional— constituye, sin excepción, un tratamiento de datos personales sometido a las garantías del derecho fundamental a la protección de datos.

 

¿Cómo afecta el criterio jurídico de la AEPD al marketing B2B?

En los últimos años, numerosas empresas que realizaban campañas de marketing B2B – especialmente dirigidas a autónomos y empresarios individuales – se han amparado en el artículo 19 de la LOPDGDD para justificar el tratamiento de datos personales sin consentimiento o incluso en la regulación actualmente derogada.

El razonamiento habitual era que, al tratarse de datos de contacto y localización profesional, el tratamiento quedaba legitimado siempre que tuviera una finalidad relacionada con la actividad profesional del destinatario. Bajo esa interpretación, se entendía que enviar comunicaciones sobre productos o servicios empresariales constituía una “relación profesional legítima”.

Sin embargo, este planteamiento no es jurídicamente correcto. El artículo 19 LOPDGDD no autoriza el envío de comunicaciones comerciales ni ampara tratamientos con fines de marketing. Por lo tanto, la utilización de este precepto para justificar campañas B2B excede su ámbito material. La AEPD, en las diversas resoluciones e informes que enlaza en el criterio jurídico referenciado, ha confirmado que el envío de comunicaciones comerciales se rige por el artículo 21 de la LSSI-CE, norma especial que prevalece sobre la LOPDGDD en materia de comunicaciones comerciales. Dicho artículo, establece que “queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios”.

Es decir, la base jurídica válida para el envío de comunicaciones comerciales electrónicas es, salvo excepciones muy concretas, el consentimiento expreso del destinatario, tanto si es persona física como jurídica.

Solo en el supuesto del artículo 21.2 LSSI – cuando exista una relación contractual previa y las comunicaciones se refieran a productos o servicios similares a los ya contratados – puede prescindirse de dichos consentimientos. En el resto de los casos, no cabe sustituirlo por el interés legítimo del Responsable del Tratamiento.

La AEPD ha consolidado este criterio en sus resoluciones más recientes, en las que afirma que:

  • El tratamiento de datos de empresarios individuales para comunicaciones comerciales o cesiones a terceros con fines de marketing solo pueden ampararse en el consentimiento del interesado;
  • El artículo 19 LOPDGDD no legitima dichos tratamientos, ya que su finalidad – localización y relación profesional – es distinta de la prospección comercial;
  • La procedencia de los datos de una fuente pública (por ejemplo, un censo empresarial o información registral) no elimina la necesidad de una base de licitud válida. La nueva LOPDGDD suprimió la categoría de “fuentes de acceso público” que existía en la anterior LOPD, por lo que incluso los datos obtenidos de organismos públicos requieren de legitimación.

Estas resoluciones establecen un criterio inequívoco, el uso de datos de autónomos y empresarios individuales con fines de marketing no puede ampararse en el interés legítimo, salvo que concurran las condiciones muy restrictivas del artículo 21.2 LSSI.

En consecuencia, el consentimiento informado y expreso pasa a ser la regla general, incluso en entornos B2B.

 

Recomendaciones

A la vista de lo anterior, las organizaciones deberían abordar la gestión de sus bases de datos empresariales y estrategias de marketing B2B desde una perspectiva de eficiencia y cumplimiento. La clave no está solo en evitar riesgos, sino en integrar la normativa de protección de datos como un elemento de calidad y confianza en las relaciones comerciales.

Garantizar que las fuentes de información disponen de una base jurídica sólida y que los tratamientos respetan los principios de transparencia y finalidad no debe entenderse como una limitación, sino como una oportunidad para fortalecer la trazabilidad, la reputación y la seguridad jurídica de las operaciones. En este contexto, las empresas que apuestan por la claridad informativa, la coherencia contractual con sus proveedores y la verificación del origen de los datos se sitúan en una posición más competitiva y sostenible frente a los cambios regulatorios y tecnológicos.

Áreas de especialización

Tech & Data