Lo que tiene DERECHO a vender (RGPD y monetización)
¿Personal o no? ¿Anónimo o seudonimizado? ¿Cuál es la base legal para ceder? La lista de verificación de 5 preguntas para monetizar sus datos sin riesgo RGPD.
Lo que tiene derecho a vender
RGPD y monetización de datos
10 diapositivas · desliza o usa las flechasAdvertencia
Esto no es asesoramiento legal
Esta guía simplifica las reglas establecidas. Para su caso, consulte a su DPO, la CNIL o un abogado.
El punto de partida
¿Personal, o no?
Todo parte de aquí. Un dato que identifica a una persona (directa o indirectamente) es «personal» → RGPD aplicable.
┌ RGPD, art. 4(1)
La distinción clave
Anónimo ≠ seudónimo
Anónimo (irreversible) = fuera del RGPD (considerando 26). Seudónimo (reversible) = sigue siendo personal. La CNIL exige 3 pruebas: individualización, correlación, inferencia.
┌ RGPD, considerando 26 + art. 4(5) · CNIL
La condición
Una base legal para ceder
Consentimiento, o interés legítimo (con prueba de ponderación). «Vender bajo interés legítimo» NO es una regla general.
┌ RGPD, art. 6(1)
La trampa
Revender = finalidad nueva
Una reventa es una finalidad diferente a la recopilación → en la práctica, nuevo consentimiento. Unos CGU aceptados «en bloque» no son suficientes.
┌ RGPD, art. 5(1)(b) + 6(4) · CNIL
El caso B2B
B2B no está fuera del RGPD
«contacto@empresa» = fuera del RGPD. Pero «nombre.apellido@» o el nombre de un empleado = dato personal. Auto-emprendedor: a menudo personal.
┌ RGPD, considerando 14 · TJUE C-710/23
La lista de verificación
¿Puedo vender? 5 preguntas
- 1. ¿El dato es personal?
- 2. ¿Tengo una base legal para cederlo?
- 3. ¿Es compatible con la finalidad inicial?
- 4. ¿Las personas están informadas + pueden oponerse?
- 5. ¿Los opositores están excluidos (con prueba)?
La prueba (sanción)
No es teórico
El 15 de mayo de 2025, la CNIL sancionó a Solocal Marketing Services (900 000 €) y Caloga (80 000 €) por uso/reventa de datos de prospección sin base legal válida.
┌ CNIL, deliberaciones del 15/05/2025
A recordar
La conformidad es valor
Un dato conforme se vende; un dato no conforme se sanciona.
- Sin base legal, el dato no vale nada (y expone)
- Prefiera el agregado / anonimizado
- Documente el consentimiento y la oposición
¿Preguntas sobre monetizar o comprar datos?
Habla con un experto — sin compromiso.
La guía completa
Antes de monetizar datos, una pregunta prima sobre todas las demás: ¿tiene derecho a venderlos? (Esta guía simplifica las reglas establecidas y no constituye asesoramiento legal: para su caso específico, consulte a su DPO, la CNIL o un abogado).
Todo comienza con una distinción: ¿el dato es personal? Un dato que permite identificar a una persona, directa o indirectamente, es personal y se rige por el RGPD (art. 4(1)). Luego viene un matiz decisivo: un dato anónimo —es decir, que se ha vuelto irreversiblemente no identificable— queda fuera del RGPD (considerando 26), mientras que un dato solo seudonimizado sigue siendo personal (art. 4(5)). La CNIL impone tres pruebas para hablar de anonimización: imposibilidad de individualizar, de correlacionar y de inferir.
Para ceder un dato personal, se necesita una base legal (art. 6(1)): el consentimiento, o el interés legítimo acompañado de una prueba de ponderación. Atención, «vender bajo interés legítimo» no es una regla general —es caso por caso. Otra trampa: revender un dato constituye una finalidad nueva en comparación con la recopilación (art. 5(1)(b) y 6(4)); en la práctica, esto requiere un nuevo consentimiento, y unos CGU aceptados «en bloque» no valen como consentimiento (CNIL). En cuanto a la prospección, el canal electrónico exige un consentimiento previo, mientras que la vía postal o telefónica puede basarse en el interés legítimo con derecho de oposición.
El B2B no escapa al RGPD: una dirección genérica «contacto@empresa» está fuera de su alcance (considerando 14), pero un correo electrónico nominativo «nombre.apellido@» o el nombre de un empleado siguen siendo datos personales (TJUE, C-710/23); para un auto-emprendedor, los «datos de la empresa» a menudo identifican a la persona. De ahí una lista de verificación en cinco preguntas: ¿el dato es personal? ¿Tengo una base legal para cederlo? ¿Es compatible con la finalidad inicial? ¿Las personas están informadas y pueden oponerse? ¿Los opositores están excluidos, con prueba?
Esto no es teórico: el 15 de mayo de 2025, la CNIL sancionó a Solocal Marketing Services (900 000 €) y Caloga (80 000 €) por uso y reventa de datos de prospección sin base legal válida. La lección: un dato conforme se vende, un dato no conforme se sanciona. Prefiera el agregado y el anonimizado, y haga calificar sus datos antes de ponerlos en el mercado.
Fuentes
- RGPD — Règlement (UE) 2016/679 (EUR-Lex)
- CNIL — Anonymisation, bases légales, vente de fichiers
- CNIL — Sanctions Solocal / Caloga (15/05/2025)
- CJUE — affaire C-710/23
Contenido educativo — no es asesoramiento jurídico ni financiero. Cada cifra lleva su fuente y su año.