Pablo Fdez. Burgueño

El ordenamiento jurídico español ha consolidado en 2026 un sistema de «tolerancia cero» frente al spam telefónico. La convergencia normativa del RGPD, la LOPDGDD, el TRLGDCU, la Ley de Competencia Desleal y la reciente Ley 10/2025 configura un escenario donde la licitud de la comunicación comercial depende de una validación técnica y jurídica multinivel, que penaliza el acoso y la falta de transparencia proactiva.

---

1. Fundamentos de licitud: el bloque normativo RGPD y LOPDGDD

Bajo el principio de Responsabilidad Proactiva (accountability), la licitud de una llamada comercial debe ser demostrable por el responsable en todo momento.

• Legitimación y analogía con la LSSI: la Circular 1/2023 de la AEPD parte de la premisa de que el derecho general es «no recibir llamadas». Para invocar el interés legítimo (Art. 6.1.f RGPD), la Agencia realiza una asimilación técnica con el artículo 21.2 de la LSSI. Esto restringe su uso exclusivamente a clientes con relación contractual previa, para promocionar productos de la propia empresa que sean similares a los contratados. Sin la concurrencia de estos requisitos, el consentimiento expreso e inequívoco es la única base válida.
• Sistemas de exclusión: el artículo 23 de la LOPDGDD dota de eficacia jurídica a los ficheros de exclusión. Para cumplir con el principio de exactitud y el deber de diligencia, la entidad debe consultar tanto la Lista Robinson como la Lista Stop Publicidad con una antelación máxima de 24 horas antes de la ejecución de la campaña. La consulta a estos sistemas es preceptiva para garantizar que el tratamiento de datos para fines de prospección comercial es lícito y respeta el derecho de oposición del afectado. Los resultados de esta consulta no afectan a los consentimientos expresos otorgados, que prevalecen, pero sí a los números a los que se fuera a llamar con base en el interés legítimo.
• Transparencia e información instantánea: al inicio de la llamada, es obligatorio identificar al responsable y la finalidad comercial (Art. 96.2 TRLGDCU), informando en ese mismo instante sobre el derecho del usuario a revocar el consentimiento u oponerse al tratamiento.
• Carga de la prueba: recae sobre la entidad la obligación de acreditar que cuenta con la base de legitimación adecuada y que ha cumplido con los protocolos de depuración de listas de exclusión (Art. 5.2 y 7.1 RGPD).

2. La «autorización caduca» a los dos años: ciclo de Re-opt-in y mecanismos de validación

La validez de un consentimiento ya no se presume indefinida. El art. 62.1 del TRLGDCU (según la reforma de 2025) introduce una barrera temporal que obliga a las empresas a implementar ciclos de renovación activa o re-opt-in, pasando de un modelo de almacenamiento estático a uno de flujo dinámico de autorizaciones:

• Vigencia bienal: se entiende que no existe consentimiento para la llamada comercial si este no ha sido obtenido o renovado de forma expresa en los dos años anteriores a la comunicación. El silencio o el mero paso del tiempo actúan como un revocador automático de la licitud.
• Nulidad del contrato si no había (o había caducado el) consentimiento: el incumplimiento de este plazo conlleva la presunción de inexistencia de voluntad de contratar. Cualquier contrato derivado de una llamada basada en un consentimiento caducado es nulo de pleno derecho.
• Sanción en activos financieros: en la comercialización de préstamos o créditos, el uso de consentimientos no renovados penaliza a la entidad con la sustitución del interés pactado por el interés legal del dinero, afectando directamente al margen de rentabilidad de la operación.

Para garantizar que la renovación de la voluntad sea válida y evitar la nulidad radical de la contratación, la captación debe ejecutarse mediante mecanismos que aseguren la trazabilidad y el no repudio:

• Confirmación verbal grabada: es el método más directo en canales inbound. No obstante, su eficacia depende de la conservación del registro sonoro; ante la negativa del usuario a la grabación, la empresa carece de la prueba de cargo necesaria para oponerse a la presunción de nulidad contractual.
• Trazabilidad documental mediante enlace (Click-to-Accept): ante la imposibilidad —si la empresa no puede o el usuario no quiere— de grabar la conversación, el envío instantáneo de un mensaje (SMS o email) con un enlace de confirmación permite transaccionar la voluntad a un soporte duradero con registro de IP y marca de tiempo.
• Gestión de preferencias en entornos privados: las áreas de cliente y aplicaciones móviles facilitan el re-opt-in mediante casillas de verificación específicas e independientes para la renovación bienal, garantizando la transparencia y el control del usuario.
• Validación técnica de titularidad (OTP): el sistema de One-Time Password vía SMS se establece como la medida de diligencia debida superior en la captación de nuevos leads, al acreditar que quien otorga el consentimiento es el titular real de la línea telefónica.

3. Limitaciones procedimentales y el «derecho al descanso» (TRLGDCU)

EL TRLGDCU (art. 96) impone requisitos operativos que blindan al consumidor:

• Veda horaria: prohibición de llamadas comerciales antes de las 9:00h, después de las 21:00h, fines de semana y festivos (art. 96.2 TRLGDCU).
• Protocolo de oposición: ante una oposición, el empresario debe asignar y comunicar un número de referencia de esta al usuario y conservar este registro durante al menos un año (art. 96.5 TRLGDCU).
• Justificante documental: la empresa está obligada a remitir por escrito un justificante de la manifestación de oposición en un plazo máximo de un mes (art. 21.3 TRLGDCU y art. 12.3 RGPD).

Para más información, ver «Plazos legales de conservación, bloqueo y destrucción de datos personales – listado práctico«.

4. Competencia desleal y la identidad técnica

El acoso telefónico trasciende la privacidad para constituir una práctica comercial agresiva. Según el art. 29.2 de la Ley 3/1991 (LCD) y los estándares de integridad de numeración (Orden TDF/149/2025):

• Identificación obligatoria: las propuestas comerciales deben realizarse desde un número de teléfono identificable. Se prohíbe el uso de número oculto, garantizando que el usuario pueda conocer el origen de la llamada y, en su caso, devolverla para identificar al prestador (art. 29.2 LCD).
• Acoso por reiteración: se reputan desleales las propuestas no deseadas y repetidas tras una negativa. Esta calificación como práctica agresiva habilita acciones judiciales de cesación y resarcimiento, con independencia de las sanciones administrativas que pueda imponer la AEPD (art. 29.2 LCD).
• Sistemas de constancia de oposición: el empresario está obligado a utilizar sistemas que permitan al consumidor dejar constancia de su oposición de forma técnica y fehaciente. Este registro debe garantizar que el ejercicio del derecho sea efectivo desde el primer contacto, impidiendo futuras comunicaciones no autorizadas (art. 29.2 LCD).

5. La calidad del consentimiento: del terminal (BGH) a la especificidad de canal (TJUE)

Un punto crítico en la arquitectura de cumplimiento de 2026 es entender que el consentimiento no es un «cheque en blanco» vinculado a un dato, sino una autorización limitada a un canal específico. La jurisprudencia y la doctrina más reciente han fijado límites claros:

• Identidad Técnica y el precedente alemán (BGH I ZR 164/09): la validación de un email mediante double opt-in no es prueba suficiente para realizar llamadas comerciales. El Tribunal Supremo alemán exige una vinculación técnica fehaciente (como un sistema OTP) que acredite que quien consiente es, efectivamente, el titular de la línea telefónica.
• La falacia «Nº móvil = Usuario de WhatsApp»: poseer el número de móvil no habilita el contacto por cualquier vía vinculada al terminal. Legalmente son canales estancos. El número de móvil es un dato para llamadas o SMS, mientras que WhatsApp es una plataforma privada que requiere su propio consentimiento específico y granular. Como recuerda la doctrina administrativa (ej. PS/00192/2024), el uso de esta plataforma sin permiso puede derivar en sanciones de hasta 70.000 €. Salvo excepciones, está prohibido contactar por WhatsApp al personal y a los clientes que no lo hayan consentido expresamente.
• Granularidad y Limitación de la Finalidad (TJUE C-604/22): en línea con la sentencia del TJUE sobre el Asunto IAB Europe, la transparencia exige que el usuario sepa exactamente qué canal se va a utilizar. Utilizar el número de móvil para localizar a un usuario en servicios de mensajería o redes sociales sin haberlo declarado expresamente, constituye un tratamiento no autorizado que vulnera el principio de minimización.
• ¿Seguridad vs. Privacidad? El caso del RCS: el protocolo RCS se presenta como una alternativa más segura al SMS al ofrecer cifrado y validación del emisor (Verified Sender). Si bien podría argumentarse una legitimación basada en la mejora de la ciberseguridad y la prevención del fraude (reducción del smishing), no debe olvidarse que permite una trazabilidad mayor (confirmaciones de lectura e interacción). Su uso bajo la premisa de la seguridad debe superar un estricto juicio de proporcionalidad, garantizando que el incremento en la recolección de metadatos esté justificado por la protección efectiva del usuario.
• Extensión a otras tecnologías enriquecidas: MMS o iMessage también requieren consentimiento específico. Al generar confirmaciones de lectura o registrar la dirección IP para la descarga de contenido multimedia, amplían el alcance del tratamiento más allá del texto plano del SMS, exigiendo cumplir con los principios de licitud y transparencia de forma granular.

Es preciso advertir que este régimen restrictivo de llamadas no resulta aplicable a las comunicaciones realizadas a través de servicios de mensajería instantánea o soluciones de chat (como WhatsApp, Teams, Telegram o similares), que permiten hacer llamadas, las cuales se rigen por su propia normativa sectorial y el marco general de la LSSI y el RGPD. Son servicios que funcionan sobre la capa de datos (OTT). No utilizan la conmutación de circuitos tradicional ni el plan nacional de numeración para establecer la llamada en sí, sino que son aplicaciones de la sociedad de la información. La comunicación no se basa en «llamar a un número», sino en contactar con un perfil de usuario. Estas plataformas de chat y redes sociales operan en un «ecosistema jurídico paralelo» donde lo que manda es el consentimiento específico para el canal y las políticas de la plataforma, quedando fuera del corsé horario y procedimental de las llamadas de voz tradicionales.

6. Doctrina administrativa y resoluciones (AEPD)

El rigor de la Agencia se manifiesta en sanciones ejemplares ante la desatención del derecho de oposición:

• ⚠️ PS/00084/2024 — 10.000 € por realizar llamadas automáticas de prospección comercial a un usuario inscrito en la Lista Robinson.
• ⚠️ PS/00258/2020 — 10.000 € por ignorar la inscripción del afectado en la Lista Robinson y no atender su derecho de oposición manifestado verbalmente durante las llamadas.
• ⚠️ PS/00479/2017 — 30.000 € (con reducción por pago voluntario a 18.000 €) por la realización continuada de llamadas comerciales a una línea dada de alta en sistemas de exclusión publicitaria.
• ⚠️ PS/00135/2017 — 5.000 € por efectuar una llamada de telemarketing a un número de teléfono móvil que figuraba en la Lista Robinson desde hacía más de tres años.
• ⚠️ PS/00202/2016 — 40.000 € por vulnerar de forma reiterada el derecho de oposición de un cliente que solicitó expresamente dejar de recibir publicidad en todos sus números de contacto.

Esta recopilación evidencia que el incumplimiento de los sistemas de exclusión publicitaria (como la Lista Robinson) y la desatención del derecho de oposición directo son las principales causas de sanción por parte de la AEPD. Es imperativo que, con la llegada de la Lista Stop Publicidad, las empresas refuercen sus protocolos de depuración de bases de datos para mitigar estos riesgos legales.

---

Conclusiones de cumplimiento

En 2026, el marketing telefónico requiere una arquitectura de Privacidad por Diseño. No basta con tener un número de teléfono; es preciso contar con una trazabilidad horaria, una depuración de listas de exclusión en tiempo real y una validación del consentimiento que supere los estándares del mero formulario digital.

---

Fuentes y Referencias:

• Reglamento (UE) 2016/679 (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
• Ley Orgánica 3/2018 (LOPDGDD), de Protección de Datos Personales y garantía de los derechos digitales (Art. 23).
• Ley 11/2022, de 28 de junio, General de Telecomunicaciones (LGTel), especialmente el Art. 66 relativo al derecho a la protección de datos personales y la privacidad.
• Ley 34/2002 (LSSI), de servicios de la sociedad de la información y de comercio electrónico (Art. 21.2).
• Real Decreto Legislativo 1/2007 (TRLGDCU), por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios (Arts. 21.3 y 96).
• Ley 3/1991, de 10 de enero, de Competencia Desleal (LCD), Art. 29 relativo a prácticas agresivas por acoso.
• Ley 10/2025, de servicios de atención a la clientela, en lo referente a la garantía de atención humana y derechos de los consumidores.
• Circular 1/2023, de 26 de junio, de la AEPD, sobre la aplicación del artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.
• Orden TDF/149/2025, por la que se establecen requisitos técnicos y operativos para la integridad de la numeración y la prevención del fraude.
• Sentencia BGH I ZR 164/09 (Bundesgerichtshof), del Tribunal Supremo Federal Alemán, sobre la validez del consentimiento en telemarketing.
• Sentencia del Tribunal de Justicia de la Unión Europea (Sala Cuarta) de 7 de marzo de 2024, Asunto C-604/22 (IAB Europe), sobre la granularidad del consentimiento, el concepto de dato personal en identificadores técnicos y la corresponsabilidad en el diseño de marcos de privacidad.
• Resoluciones de la AEPD: PS/00084/2024, PS/00258/2020, PS/00479/2017, PS/00135/2017, PS/00202/2016 y otras (ver «Está prohibido (salvo excepciones) contactar por WhatsApp al personal y a los clientes que no lo hayan consentido expresamente«).