Multa de 60.000 euros por enviar publicidad sin verificar antes con doble opt-in. Y no es la única. El doble opt-in ya se exige en España, Alemania, Austria…
1. ¿Qué es el doble opt-in y para qué sirve?
El doble opt-in es un sencillo sistema que permite a la empresa verificar la intención de quien se suscribe a una newsletter o a recibir comunicaciones publicitarias o promocionales, sea por email, por móvil (SMS, llamada) o por servicios de mensajería (WhatsApp, Telegram): “Pulsa aquí para verificar tu dirección”.
El doble opt-in no es un sistema para obtener dos veces el consentimiento, sino para verificar la vinculación entre una dirección y su titular.
2. ¿Cuándo debe aplicarse el doble opt-in?
Este sistema solo debe emplearse cuando la empresa no puede certificar que quien entrega el dato es su titular. Es decir, debe usarse en formularios online bajo rótulos como “suscríbete”, “inscríbete” o “danos tu dirección y te enviaremos publicidad o promociones”. No será necesario cuando la empresa ya haya generado ese vínculo, como puede ser el caso del móvil, email o usuario de WhatsApp a través del cual un cliente ya haya disfrutado de un servicio.
3. Fundamento legal del consentimiento en comunicaciones comerciales
La suscripción a una newsletter (art. 6.1.b RGPD) requiere que la persona haya consentido expresamente la formalización de esta relación (art. 21.1 LSSI), pudiendo requerirse consentimiento específico por sectores (art. 45 RLOPD) y no siendo de aplicación la Lista Robinson.
¿Y si registro la IP y la fecha de introducción del dato? Si es la primera vez que la empresa accede a esa dirección, puede no ser suficiente y será necesario el doble opt-in (ver sentencias y resoluciones un poco más abajo).
4. Casos sancionados en España por falta de verificación
- ✳️ STS 188/2022: Multa de 40.000 € por no verificar el email mediante confirmación activa (doble opt-in).
- ✳️ PS/00351/2024: Multa de 2.000 € por no acreditar un consentimiento válido en la captación de datos vía formularios web y cesión a terceros (casillas de aceptación sin verificación efectiva).
- ✳️ PS/00208/2018: Multa de 3.000 € por enviar correos publicitarios sin verificar el email ni garantizar baja efectiva.
- ✳️ PS/00397/2014: Multa de 60.000 € por enviar correos publicitarios sin verificar el email mediante doble opt-in ni garantizar la baja.
- ✳️ E/04696/2016: Sin multa gracias a que se comprometió a implementar doble opt-in y eliminar los correos del denunciante de forma voluntaria.
5. Posicionamiento internacional sobre el doble opt-in
En este mismo sentido, otros países ya se han pronunciado:
- 📝 Alemania – Sentencia BGH I ZR 164/09: el Tribunal Supremo alemán declaró que el sistema de doble opt-in verifica que alguien tiene acceso a una dirección de correo electrónico, pero no garantiza que la persona que confirma el email sea también titular del número de teléfono proporcionado en el formulario. Por tanto, no sirve como prueba de consentimiento para llamadas.
- 📝 Austria – Datenschutzbehörde (DSB): considera infracción no usar doble opt-in en registros digitales.
- 📝 Francia – CNIL (Commission Nationale de l’Informatique et des Libertés): exige consentimiento previo verificable para publicidad electrónica, lo que implica doble opt-in.
- 📝 Países Bajos – Autoriteit Persoonsgegevens (AP): exige consentimiento claro y demostrable, recomendando doble opt-in como práctica segura.
La recomendación es sencilla: si tu empresa quiere impactar a un sujeto —y especialmente cuando la dirección (email, móvil, usuario de WhatsApp, etc.) ha llegado a través de un formulario— debe implementar lo antes posible el sistema de doble opt-in.
Pablo Fdez. Burgueño 