Para vendedores3 min de lectura

Lo que tiene DERECHO a vender (RGPD y monetización)

¿Personal o no? ¿Anónimo o seudonimizado? ¿Cuál es la base legal para ceder? La lista de verificación de 5 preguntas para monetizar sus datos sin riesgo RGPD.

3 min de lectura

Lo que tiene derecho a vender

RGPD y monetización de datos

10 diapositivas · desliza o usa las flechas
d-nvest.com1/10

Advertencia

Esto no es asesoramiento legal

Esta guía simplifica las reglas establecidas. Para su caso, consulte a su DPO, la CNIL o un abogado.

d-nvest.com2/10

El punto de partida

¿Personal, o no?

Todo parte de aquí. Un dato que identifica a una persona (directa o indirectamente) es «personal» → RGPD aplicable.

RGPD, art. 4(1)

d-nvest.com3/10

La distinción clave

Anónimo ≠ seudónimo

Anónimo (irreversible) = fuera del RGPD (considerando 26). Seudónimo (reversible) = sigue siendo personal. La CNIL exige 3 pruebas: individualización, correlación, inferencia.

RGPD, considerando 26 + art. 4(5) · CNIL

d-nvest.com4/10

La condición

Una base legal para ceder

Consentimiento, o interés legítimo (con prueba de ponderación). «Vender bajo interés legítimo» NO es una regla general.

RGPD, art. 6(1)

d-nvest.com5/10

La trampa

Revender = finalidad nueva

Una reventa es una finalidad diferente a la recopilación → en la práctica, nuevo consentimiento. Unos CGU aceptados «en bloque» no son suficientes.

RGPD, art. 5(1)(b) + 6(4) · CNIL

d-nvest.com6/10

El caso B2B

B2B no está fuera del RGPD

«contacto@empresa» = fuera del RGPD. Pero «nombre.apellido@» o el nombre de un empleado = dato personal. Auto-emprendedor: a menudo personal.

RGPD, considerando 14 · TJUE C-710/23

d-nvest.com7/10

La lista de verificación

¿Puedo vender? 5 preguntas

  • 1. ¿El dato es personal?
  • 2. ¿Tengo una base legal para cederlo?
  • 3. ¿Es compatible con la finalidad inicial?
  • 4. ¿Las personas están informadas + pueden oponerse?
  • 5. ¿Los opositores están excluidos (con prueba)?
d-nvest.com8/10

La prueba (sanción)

No es teórico

El 15 de mayo de 2025, la CNIL sancionó a Solocal Marketing Services (900 000 €) y Caloga (80 000 €) por uso/reventa de datos de prospección sin base legal válida.

CNIL, deliberaciones del 15/05/2025

d-nvest.com9/10

A recordar

La conformidad es valor

Un dato conforme se vende; un dato no conforme se sanciona.

  • Sin base legal, el dato no vale nada (y expone)
  • Prefiera el agregado / anonimizado
  • Documente el consentimiento y la oposición
d-nvest.com10/10

¿Preguntas sobre monetizar o comprar datos?

Habla con un experto — sin compromiso.

Reservar una llamada gratuita de 30 min

La guía completa

Antes de monetizar datos, una pregunta prima sobre todas las demás: ¿tiene derecho a venderlos? (Esta guía simplifica las reglas establecidas y no constituye asesoramiento legal: para su caso específico, consulte a su DPO, la CNIL o un abogado).

Todo comienza con una distinción: ¿el dato es personal? Un dato que permite identificar a una persona, directa o indirectamente, es personal y se rige por el RGPD (art. 4(1)). Luego viene un matiz decisivo: un dato anónimo —es decir, que se ha vuelto irreversiblemente no identificable— queda fuera del RGPD (considerando 26), mientras que un dato solo seudonimizado sigue siendo personal (art. 4(5)). La CNIL impone tres pruebas para hablar de anonimización: imposibilidad de individualizar, de correlacionar y de inferir.

Para ceder un dato personal, se necesita una base legal (art. 6(1)): el consentimiento, o el interés legítimo acompañado de una prueba de ponderación. Atención, «vender bajo interés legítimo» no es una regla general —es caso por caso. Otra trampa: revender un dato constituye una finalidad nueva en comparación con la recopilación (art. 5(1)(b) y 6(4)); en la práctica, esto requiere un nuevo consentimiento, y unos CGU aceptados «en bloque» no valen como consentimiento (CNIL). En cuanto a la prospección, el canal electrónico exige un consentimiento previo, mientras que la vía postal o telefónica puede basarse en el interés legítimo con derecho de oposición.

El B2B no escapa al RGPD: una dirección genérica «contacto@empresa» está fuera de su alcance (considerando 14), pero un correo electrónico nominativo «nombre.apellido@» o el nombre de un empleado siguen siendo datos personales (TJUE, C-710/23); para un auto-emprendedor, los «datos de la empresa» a menudo identifican a la persona. De ahí una lista de verificación en cinco preguntas: ¿el dato es personal? ¿Tengo una base legal para cederlo? ¿Es compatible con la finalidad inicial? ¿Las personas están informadas y pueden oponerse? ¿Los opositores están excluidos, con prueba?

Esto no es teórico: el 15 de mayo de 2025, la CNIL sancionó a Solocal Marketing Services (900 000 €) y Caloga (80 000 €) por uso y reventa de datos de prospección sin base legal válida. La lección: un dato conforme se vende, un dato no conforme se sanciona. Prefiera el agregado y el anonimizado, y haga calificar sus datos antes de ponerlos en el mercado.

Fuentes

Contenido educativo — no es asesoramiento jurídico ni financiero. Cada cifra lleva su fuente y su año.

Lo que tiene DERECHO a vender (RGPD y monetización) — d-nvest | d-nvest