En el entorno empresarial hay una idea que sigue circulando con demasiada alegría: “si el cliente me lo ha dado, ya puedo usarlo”. Suena práctico, incluso lógico… pero en protección de datos esa frase es como decir “si me dieron la llave del coche, ya puedo conducirlo por donde quiera”. Tener el dato no significa tener permiso para cualquier uso. Y ahí es donde el consentimiento, bien entendido, se convierte en una pieza estratégica de cumplimiento y de reputación corporativa.
En una empresa, los datos personales entran por todas partes: formularios web, tarjetas de visita, correos, llamadas comerciales, presupuestos, CRM, WhatsApp Business, ferias, LinkedIn, área de clientes, incidencias, facturación. El flujo es constante. Y precisamente por esa naturalidad es fácil caer en el mayor riesgo: empezar tratando los datos sin tener claro qué base jurídica legitima cada finalidad, y sin poder acreditarlo si alguien lo cuestiona. Porque el RGPD no exige solo “hacer las cosas bien”; exige poder demostrarlo. La palabra clave es trazabilidad: lo que no se puede evidenciar, en la práctica, no cuenta.
Conviene aclarar algo desde el inicio: en la empresa, el consentimiento no es siempre la base jurídica adecuada, y de hecho a veces se usa mal por costumbre. Para gestionar una relación con un cliente, emitir facturas, atender un servicio, tramitar una incidencia, responder a una solicitud o ejecutar un contrato, la base suele ser la ejecución de la relación o una obligación legal. Ahí el tratamiento es necesario y no depende de una casilla marcada. El error aparece cuando, sin darte cuenta, te sales de ese marco. Cuando pasas de “necesario para el servicio” a “conveniente para el negocio”, y pretendes que la entrega del dato lo justifique todo.
Ese salto se ve a diario. El cliente te deja su email para recibir un presupuesto y acaba dentro de una newsletter comercial. Te manda su DNI para una formalización y termina almacenado indefinidamente “por si acaso”. Te escribe por WhatsApp y su número pasa a un grupo o a una lista que no esperaba. Te facilita datos para una consulta y luego los usas para campañas o para segmentación. No se trata de demonizar la actividad comercial; se trata de hacerla con base legal, transparencia y control.
En un enfoque profesional, el consentimiento entra en escena cuando hablamos de finalidades que no son estrictamente necesarias para el servicio o que afectan de manera relevante a la privacidad del interesado. El ejemplo más claro es el marketing: comunicaciones comerciales recurrentes, campañas, promociones, remarketing, comunicaciones por canales como WhatsApp, o perfiles comerciales. También aparece cuando hay cesiones a terceros no imprescindibles (partners, patrocinadores, eventos, colaboradores), o cuando se pretende usar una imagen o un vídeo con fines de difusión. Y si hablamos de datos sensibles —salud, discapacidad, biometría— el listón sube todavía más: ahí no vale la informalidad, porque el riesgo jurídico y reputacional es mucho mayor.
Otro punto crítico en empresas hoy es el canal. WhatsApp Business, por ejemplo, es tremendamente útil, pero exige gobierno del dato. Que un cliente te escriba por WhatsApp no significa que haya consentido comunicaciones comerciales por ese canal, ni que su número pueda ser compartido con terceros, ni que debas conservar el chat eternamente. En el mejor de los casos, ese canal sirve para comunicaciones operativas, y si se va a usar con finalidades promocionales o masivas, tiene que existir legitimación y un mecanismo de baja claro. Lo mismo ocurre con la tarjeta de visita de una feria: te la entregan para que contactes… pero eso no convierte al titular en “suscriptor de por vida” de tu base de datos comercial. El interés comercial existe, sí, pero debe gestionarse con límites, con transparencia y con posibilidad real de oposición o baja.
La importancia del consentimiento no se limita a “tenerlo”. El consentimiento tiene condiciones: debe ser libre, específico, informado e inequívoco. En términos de negocio: no puede ser una casilla trampa, no puede ir mezclado con otras finalidades, no puede ser un “acepto todo” sin granularidad, y no puede ser obligatorio si no es necesario para prestar el servicio. Además, debe poder retirarse con facilidad. Si retirar el consentimiento es un viacrucis, el consentimiento deja de ser “libre” y se convierte en un problema.
Aquí aparece uno de los fallos más frecuentes en empresas: el consentimiento “de plantilla”, genérico y eterno. Ese texto típico de “autorizo el tratamiento para todo lo relacionado con la empresa” no aporta seguridad. Al contrario: debilita la posición de la empresa porque no delimita finalidades ni acredita información real. Un enfoque serio es separar finalidades: una cosa es gestionar el servicio, otra enviar comunicaciones comerciales, otra publicar imágenes, otra ceder datos a terceros. Si el consentimiento es necesario, se pide por capas, con lenguaje claro, y con prueba de aceptación.
¿Y qué pasa si no lo tienes firmado cuando lo necesitas? Pasa lo que suele pasar en compliance: que el riesgo no es teórico, es operativo. El primer inconveniente es probatorio: en una reclamación, inspección o conflicto, la empresa tiene que demostrar que obtuvo el consentimiento válido. “Lo hablamos por teléfono” o “siempre lo hemos hecho así” no son pruebas. El segundo inconveniente es comercial: cuando no hay base clara, cualquier campaña puede convertirse en un foco de quejas, bajas masivas o reclamaciones por spam. El tercero es reputacional: la confianza se rompe rápido cuando un cliente siente que su dato “se ha estirado” más allá de lo razonable. Y el cuarto es organizativo: sin consentimientos y finalidades claras, el equipo vive en la improvisación, y la improvisación en datos personales siempre termina facturando en forma de crisis.
En el caso de imágenes y eventos —más típico en asociaciones y clubes, pero también presente en empresas (eventos corporativos, fotos de equipo, networking, ferias, acciones de marca)— conviene no confiar en la “normalidad social”. Que la gente sonría en una foto no significa que autorice su publicación en redes, web o campañas. En eventos con menores, la prudencia debe ser máxima: autorización del responsable legal y criterios claros sobre alcance y uso. Esto no es burocracia: es prevención.
La forma correcta de materializar el consentimiento en una empresa moderna no es acumular papeles, sino asegurar evidencia y gobernanza. Lo ideal es que el consentimiento quede registrado con fecha, canal, versión del texto legal y finalidad. Si es papel, se firma y se archiva con control de acceso. Si es digital, se registra en el CRM con trazabilidad y se conserva el texto aceptado. Esa trazabilidad es el “escudo” real. En auditoría o reclamación, no gana quien mejor explica: gana quien mejor demuestra.
Y hay un elemento adicional que muchas empresas descuidan: los terceros. Casi todas usan herramientas que tratan datos: emailing, CRM, almacenamiento en nube, analítica, formularios, gestión de tickets, firma electrónica, hosting. Es imprescindible tener bien atada la relación con esos proveedores como encargados de tratamiento, con garantías y acuerdos adecuados, y con una gestión coherente de accesos internos. El dato personal, sin control de permisos, es una fuga esperando su momento.
En definitiva, el consentimiento en la empresa no debe verse como “un trámite” sino como una palanca de compliance y de reputación. Bien gestionado, permite hacer marketing con seguridad, operar con orden, reducir reclamaciones y elevar la percepción de profesionalidad. Mal gestionado, se convierte en un punto débil: difícil de defender, costoso de corregir y potencialmente dañino para la marca.
Como consultor certificado, mi recomendación siempre es la misma: no se trata de pedir consentimiento para todo, sino de tener un modelo claro de finalidades, bases legales, evidencias y procesos. Lo tradicional —hacer las cosas con orden y por escrito— sigue siendo lo más sensato. La diferencia es que hoy ese orden se materializa mejor con tecnología: formularios trazables, CRM con registro de consentimientos, automatizaciones de baja y políticas de conservación. Menos “a ojo” y más “gobernanza del dato”.
Un cordial saludo,
José María Quintanar Isasi
Consultor en Privacidad y CEO y socio fundador de APLAGES
