La adquisición de bases de datos externas para fines comerciales, como prospección o campañas de marketing, puede parecer una herramienta útil para crecer, pero supone riesgos legales, económicos y reputacionales importantes si no se cumplen estrictamente las obligaciones normativas.

Según el Artículo 6 del RGPD, el tratamiento de datos personales solo es lícito cuando existe una base legal válida, como el consentimiento explícito, el cumplimiento de una obligación legal o intereses legítimos debidamente evaluados. La compra de bases de datos no garantiza que los titulares hayan dado consentimiento específico para que sus datos sean aprovechados por terceros para fines comerciales como prospectar o enviar publicidad. Más aún, el Artículo 7 establece que el consentimiento debe ser libre, específico, informado e inequívoco, y la empresa debe poder demostrar que existe ese consentimiento en cada contacto incluido en su base de datos. Además, el Artículo 5 impone los principios de licitud, transparencia, minimización y exactitud de los datos, principios que se vulneran cuando no se tiene control sobre el origen y la legalidad de los datos adquiridos.

En el ámbito español, la LOPDGDD refuerza las obligaciones de transparencia y garantiza derechos como acceso, rectificación, supresión, oposición, limitación y portabilidad (Arts. 12‑18 LOPDGDD), derechos que deben poder ser ejercidos con facilidad por los interesados.

 

Casos reales y sanciones por tratamiento indebido de datos

La Autoridad Española de Protección de Datos (AEPD) y otras autoridades europeas han impuesto multas significativas por prácticas de marketing y tratamiento de bases de datos sin bases legales adecuadas:

• Una entidad fue sancionada con 1,8 millones de euros por procesar y comercializar datos de más de 1,6 millones de titulares sin una base legal válida ni transparencia suficiente sobre el origen de los datos, obligándose además a eliminar la información afectada.
• A nivel europeo, empresas como una sucursal italiana de telefonía han sido multadas por utilizar listas de contactos adquiridas de terceros sin consentimiento válido para campañas comerciales, vulnerando múltiples artículos del RGPD que exigen base jurídica, cumplimiento de los principios de protección de datos y respeto a los derechos de los interesados.

Además, en España, el número y el importe de sanciones por infracciones del RGPD aumentaron de forma significativa en 2025, con cientos de procedimientos sancionadores e importes globales que suman decenas de millones de euros, lo que refleja la especial atención de la AEPD hacia el cumplimiento normativo en toda clase de sectores.

 

¿Cuáles son los principales riesgos de adquirir bases de datos?

1. Tratamiento ilícito: Si no existe base legal, el tratamiento es ilegal. El Art. 6 RGPD exige una base jurídica válida para cada finalidad del tratamiento.
2. Consentimiento no demostrable: El Art. 7 RGPD obliga a demostrar que cada titular ha consentido específicamente en ser contactado para los fines que perseguimos.
3. Dificultad para gestionar derechos: Derechos de acceso, rectificación o supresión son difíciles de atender si no conocemos cómo y cuándo se obtuvo cada dato.
4. Sanciones económicas: El Art. 83 RGPD prevé multas de hasta el 4 % de la facturación global anual o 20 millones de euros (el que sea mayor) por infracciones graves, como la falta de base legal o transparencia en el tratamiento.
5. Daño reputacional: Más allá de la multa, incumplir las normas de protección de datos puede erosionar la confianza de clientes, socios y stakeholders, con impacto negativo en la imagen corporativa.

 

Recomendaciones prácticas para asegurar el cumplimiento

Para minimizar riesgos y alinearnos con la normativa de protección de datos, recomendamos:

• No adquirir bases de datos prefabricadas sin documentación probatoria verificable de que cada titular ha dado consentimiento específico para nuestros fines.
• Captar datos propios mediante formularios transparentes en los que los interesados otorguen consentimiento explícito para recibir comunicaciones de nuestra empresa.
• Registrar y documentar cada consentimiento y conservar evidencias claras (timbres de tiempo, formularios, registros).
• Evaluar bases legales alternativas, como interés legítimo, pero siempre tras una evaluación de impacto y con documentación que lo respalde.
• Facilitar el ejercicio de derechos de forma simple y rápida para los titulares, según exige el c12‑23 RGPD y la LOPDGDD.

La compra de bases de datos para fines comerciales constituye una práctica arriesgada desde el punto de vista del RGPD y la LOPDGDD. La normativa actual exige bases legales claras, consentimiento demostrable y respeto riguroso de los derechos de los interesados. Además de evitar sanciones económicas severas, cumplir con estas obligaciones fortalece la confianza en nuestra marca y contribuye a una cultura empresarial responsable y sostenible.

Si tienes dudas sobre casos concretos o necesitas apoyo para revisar prácticas de marketing o gestión de datos, desde Grupo Data te asesoraremos para garantizar que tu actividad siempre esté dentro del marco legal.

 

Publicado el 27 de Febrero de 2026
Por Alfredo Barroso
Responsable de LSSICE y Comercio Electrónico