Dar una tarjeta de visita en un entorno profesional, como un evento de networking, no implica en ningún caso que se esté otorgando consentimiento para cualquier uso de los datos personales contenidos en ella.
La finalidad de ese intercambio es clara y limitada: facilitar el contacto profesional, abrir la puerta a futuras conversaciones o incluso a una posible relación comercial. Esto permite, por ejemplo, realizar una llamada o proponer una reunión, ya que entra dentro de la expectativa razonable del interesado y podría ampararse en una base de licitud como el interés legítimo, conforme al Reglamento (UE) 2016/679.
Sin embargo, ir más allá de esa finalidad, como incluir automáticamente ese contacto en una newsletter o enviarle comunicaciones comerciales recurrentes, supone un cambio en la finalidad del tratamiento que no está legitimado y, por tanto, sería ilícito si no se cuenta con el consentimiento expreso del interesado.
En este sentido, la Ley 34/2002 es muy clara al prohibir el envío de comunicaciones comerciales no solicitadas, lo que comúnmente se conoce como spam. La reiteración en el envío de correos electrónicos con fines comerciales sin respuesta o sin autorización puede incluso agravar la situación y derivar en posibles sanciones.
Además, existe otro error habitual: pensar que los datos obtenidos de fuentes públicas, como páginas web, directorios o publicaciones, pueden utilizarse libremente para fines comerciales. El hecho de que un dato sea accesible públicamente no legitima su uso indiscriminado para acciones de marketing, ya que sigue siendo necesario contar con una base jurídica válida.
Por otro lado, es importante entender cuándo un correo electrónico constituye un dato personal. Será considerado como tal cuando permita identificar a una persona física, como ocurre con direcciones del tipo nombre.apellido@empresa.com, ya que vinculan directamente a un individuo con una organización. En cambio, direcciones genéricas como info@empresa.com o comercial@empresa.com no permiten identificar a una persona concreta y, por tanto, no tienen la misma consideración. Esta distinción es clave, ya que los datos personales están protegidos por la normativa y su tratamiento debe ajustarse a los principios establecidos en el RGPD, especialmente el de licitud y limitación de la finalidad.
En el ámbito interno de las empresas, también se detectan numerosos incumplimientos relacionados con el uso del correo corporativo. Es habitual que empleados utilicen sus cuentas profesionales para suscribirse a servicios o plataformas ajenas a la actividad empresarial, lo que puede generar riesgos tanto de seguridad como de cumplimiento normativo.
Por ello, es fundamental que las organizaciones establezcan políticas claras de uso del correo electrónico como parte de su responsabilidad proactiva. Asimismo, el acceso por parte del empresario al correo electrónico de un trabajador no puede realizarse de forma arbitraria, sino que debe estar justificado, ser proporcional y respetar las garantías de privacidad, tal y como recoge la Ley Orgánica 3/2018.
En definitiva, dar una tarjeta no equivale a dar consentimiento, la finalidad del tratamiento debe respetarse en todo momento, y cualquier acción comercial posterior requiere una base legal adecuada. La protección de datos no es solo una cuestión formal, sino una herramienta clave para garantizar el respeto a la privacidad y evitar riesgos legales en la actividad empresarial.
No te pierdas la entrevista completa con Javier Nogueroles, que podrás escuchar cada semana en el programa TIC TAC DATOS de ONDA NARANJA COPE.