{"id":63316,"date":"2026-01-28T11:14:16","date_gmt":"2026-01-28T10:14:16","guid":{"rendered":"https:\/\/tecnolawyer.com\/email-marketing-%e2%89%a0-publicidad-en-redes-sociales-la-sancion-de-35-me-que-todo-equipo-de-marketing-deberia-conocer\/"},"modified":"2026-01-28T11:15:11","modified_gmt":"2026-01-28T10:15:11","slug":"email-marketing-%e2%89%a0-publicidad-en-redes-sociales-la-sancion-de-35-me-que-todo-equipo-de-marketing-deberia-conocer","status":"publish","type":"post","link":"https:\/\/tecnolawyer.com\/es\/email-marketing-%e2%89%a0-publicidad-en-redes-sociales-la-sancion-de-35-me-que-todo-equipo-de-marketing-deberia-conocer\/","title":{"rendered":"Email marketing \u2260 publicidad en redes sociales: la sanci\u00f3n de 3\u20195 M\u20ac que todo equipo de marketing deber\u00eda conocer"},"content":{"rendered":"\n<p>La <strong>autoridad francesa de protecci\u00f3n de datos (CNIL)<\/strong> ha impuesto una <strong>sanci\u00f3n administrativa de 3\u20195 millones de euros<\/strong> a una empresa por m\u00faltiples incumplimientos del Reglamento General de Protecci\u00f3n de Datos (RGPD). El caso es especialmente relevante porque gira en torno a una infracci\u00f3n tan habitual como peligrosa: <strong>utilizar datos personales para una finalidad distinta de aquella para la que fueron recogidos<\/strong>.<\/p><br><p>La decisi\u00f3n, adoptada el 30 de diciembre de 2025 en cooperaci\u00f3n con 16 autoridades europeas, afecta a <strong>m\u00e1s de<\/strong> <strong>10\u20195 millones de personas<\/strong> y ha sido publicada con fines ejemplarizantes, dada la extensi\u00f3n de estas pr\u00e1cticas en el mercado.<\/p><br><h2><span style=\"color: #009abe;\">\u00bfQu\u00e9 ocurri\u00f3?<\/span><\/h2><br><p>Desde febrero de 2018, la empresa transmit\u00eda <strong>direcciones de correo electr\u00f3nico y n\u00fameros de tel\u00e9fono<\/strong> de los miembros de su programa de fidelizaci\u00f3n a una <strong>red social<\/strong>, con el objetivo de mostrarles <strong>publicidad personalizada<\/strong> mediante t\u00e9cnicas de <em>custom audiences<\/em> o <em>CRM matching<\/em>.<\/p><br><p>La empresa aleg\u00f3 contar con el <strong>consentimiento<\/strong> de los usuarios. Sin embargo, dicho consentimiento se hab\u00eda recabado <strong>\u00fanicamente para el env\u00edo de comunicaciones comerciales por <em>SMS<\/em> y correo electr\u00f3nico<\/strong>, no para la <strong>comunicaci\u00f3n de datos a un tercero<\/strong> ni para la <strong>segmentaci\u00f3n publicitaria en redes sociales<\/strong>.<\/p><br><h2><span style=\"color: #009abe;\">El problema clave: el consentimiento no era v\u00e1lido<\/span><\/h2><br><p>El tratamiento carec\u00eda de base legal v\u00e1lida (<a href=\"https:\/\/eur-lex.europa.eu\/ES\/legal-content\/summary\/general-data-protection-regulation-gdpr.html\" target=\"_blank\" rel=\"noopener\">art. 6 RGPD<\/a>) porque:<\/p><br><ul>\r\n\t<li>En el formulario de adhesi\u00f3n al programa de fidelizaci\u00f3n <strong>no se informaba<\/strong> de la cesi\u00f3n de datos a una red social.<\/li>\r\n\t<li>La pol\u00edtica de privacidad era <strong>confusa, incompleta o directamente err\u00f3nea<\/strong>, y no permit\u00eda comprender la finalidad real del tratamiento.<\/li>\r\n\t<li>No exist\u00eda un consentimiento <strong>espec\u00edfico, informado e inequ\u00edvoco<\/strong>, como habr\u00eda sido, por ejemplo, una casilla separada que mencionara expresamente la publicidad personalizada en redes sociales.<\/li>\r\n<\/ul><br><h2><span style=\"color: #009abe;\">Otros incumplimientos sancionados<\/span><\/h2><br><p>Adem\u00e1s del problema de base legal, la CNIL identific\u00f3 m\u00faltiples infracciones adicionales:<\/p><br><ul>\r\n\t<li><strong>Falta de transparencia<\/strong> (<a href=\"https:\/\/eur-lex.europa.eu\/ES\/legal-content\/summary\/general-data-protection-regulation-gdpr.html\" target=\"_blank\" rel=\"noopener\"> 12 y 13 RGPD<\/a>): Las finalidades no se vinculaban claramente con sus bases jur\u00eddicas, faltaba informaci\u00f3n sobre plazos de conservaci\u00f3n y se segu\u00eda mencionando el <strong><em>Privacy Shield<\/em><\/strong>, ya invalidado.<\/li>\r\n\t<li><strong>Deficiencias en la seguridad<\/strong> (<a href=\"https:\/\/eur-lex.europa.eu\/ES\/legal-content\/summary\/general-data-protection-regulation-gdpr.html\" target=\"_blank\" rel=\"noopener\"> 32 RGPD<\/a>): Las pol\u00edticas de contrase\u00f1as no eran suficientemente robustas y se utilizaba <strong>SHA-256<\/strong> para el almacenamiento de contrase\u00f1as, un m\u00e9todo que <strong>no se considera adecuado<\/strong> frente a ataques de fuerza bruta.<\/li>\r\n\t<li><strong>Ausencia de an\u00e1lisis de impacto (DPIA \/ AIPD)<\/strong> (<a href=\"https:\/\/eur-lex.europa.eu\/ES\/legal-content\/summary\/general-data-protection-regulation-gdpr.html\" target=\"_blank\" rel=\"noopener\"> 35 RGPD<\/a>). El tratamiento implicaba:\r\n\r\n<ul>\r\n\t<li>grandes vol\u00famenes de datos,<\/li>\r\n\t<li>cruce de informaci\u00f3n,<\/li>\r\n\t<li>publicidad personalizada en plataformas de terceros.<\/li>\r\n<\/ul><br><\/li><br><\/ul><br><p>Todo ello exig\u00eda una <strong>evaluaci\u00f3n de impacto previa<\/strong>, que nunca se realiz\u00f3.<\/p><br><ul>\r\n\t<li><strong>Uso il\u00edcito de cookies y rastreadores<\/strong> (<a href=\"https:\/\/www.legifrance.gouv.fr\/loda\/article_lc\/LEGIARTI000037813978\" target=\"_blank\" rel=\"noopener\"> 82 de la <em>Loi n\u00b0 78-17 du 6 janvier 1978 relative \u00e0 l'informatique, aux fichiers et aux libert\u00e9s<\/em><\/a>): Se instalaban <em>cookies<\/em> no esenciales antes de que el usuario pudiera decidir y, lo que es m\u00e1s grave, <strong>segu\u00edan activas incluso tras su rechazo<\/strong>.<\/li>\r\n<\/ul><br><h2><span style=\"color: #009abe;\">Lecciones clave para las empresas<\/span><\/h2><br><p>Este caso deja varios mensajes claros:<\/p><br><ul>\r\n\t<li><strong>El consentimiento<\/strong> <strong>no es reutilizable<\/strong>: cada finalidad exige su propia base legal.<\/li>\r\n\t<li>El <em>CRM matching<\/em> y la publicidad en redes sociales <strong>no son extensiones naturales<\/strong> del email o SMS marketing.<\/li>\r\n\t<li>La transparencia no es un tr\u00e1mite formal, sino un requisito material.<\/li>\r\n\t<li>Si hay segmentaci\u00f3n, cruce de datos y gran escala, <strong>la DPIA no es opcional<\/strong>.<\/li>\r\n\t<li>La seguridad t\u00e9cnica (contrase\u00f1as, <em>hashing<\/em>) sigue siendo un pilar esencial del cumplimiento.<\/li>\r\n<\/ul><br><h2><span style=\"color: #009abe;\">Conclusi\u00f3n<\/span><\/h2><br><p>La sanci\u00f3n de la CNIL refuerza un principio b\u00e1sico del RGPD: <strong>los datos pueden utilizarse \u00fanicamente<\/strong> <strong>para las finalidades espec\u00edficas, expl\u00edcitas y leg\u00edtimas para las que fueron recogidos<\/strong>.<\/p><br><p>En un contexto de <em>marketing<\/em> cada vez m\u00e1s sofisticado y dependiente de plataformas externas, este tipo de decisiones recuerdan que el <strong>cumplimiento en protecci\u00f3n de datos empieza en el dise\u00f1o del tratamiento<\/strong>, no cuando llega una inspecci\u00f3n.<\/p><br><p>Como siempre, cuidad los datos y \u00a1cuidaos!<\/p><br><p>Para leer la resoluci\u00f3n, haga clic <a href=\"https:\/\/www.cnil.fr\/fr\/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction\" target=\"_blank\" rel=\"noopener\">aqu\u00ed<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>La autoridad francesa de protecci\u00f3n de datos (CNIL) ha impuesto una sanci\u00f3n administrativa de 3\u20195 millones de euros a una ... <a title=\"Email marketing \u2260 publicidad en redes sociales: la sanci\u00f3n de 3\u20195 M\u20ac que todo equipo de marketing deber\u00eda conocer\" class=\"read-more\" href=\"https:\/\/tecnolawyer.com\/es\/email-marketing-%e2%89%a0-publicidad-en-redes-sociales-la-sancion-de-35-me-que-todo-equipo-de-marketing-deberia-conocer\/\" aria-label=\"Leer m\u00e1s sobre Email marketing \u2260 publicidad en redes sociales: la sanci\u00f3n de 3\u20195 M\u20ac que todo equipo de marketing deber\u00eda conocer\">Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":2,"featured_media":63315,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"generate_page_header":"","footnotes":""},"categories":[252,258],"tags":[],"class_list":["post-63316","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacidad-proteccion_datos-es","category-publicidad","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-50"],"_links":{"self":[{"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/posts\/63316","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/comments?post=63316"}],"version-history":[{"count":3,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/posts\/63316\/revisions"}],"predecessor-version":[{"id":63319,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/posts\/63316\/revisions\/63319"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/media\/63315"}],"wp:attachment":[{"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/media?parent=63316"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/categories?post=63316"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecnolawyer.com\/es\/wp-json\/wp\/v2\/tags?post=63316"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}