Claves del artículo
- Un dato B2B con una persona detrás ([email protected], el móvil de un empleado) es dato personal y cae bajo el RGPD; el CIF de una sociedad, no.
- La prospección B2B en frío suele apoyarse en el interés legítimo, pero exige un test de ponderación documentado y respetar siempre el derecho de oposición.
- La EU AI Act (Reglamento UE 2024/1689) se aplica por fases: prohibiciones desde feb-2025, modelos de propósito general desde ago-2025 y alto riesgo desde ago-2026 (con un posible aplazamiento en debate).
- Un lead scoring que perfila personas puede acercarse a la categoría de alto riesgo: documenta, explica y mantén supervisión humana.
- Comprar datos sin exigir trazabilidad del origen y un contrato de encargo (DPA) traslada el riesgo legal a tu empresa, no al proveedor.
Durante años, «cumplir el RGPD» fue, para muchos equipos comerciales, una casilla que marcaba el departamento legal y de la que nadie volvía a hablar. Esa época se ha terminado. En 2026 conviven dos regulaciones que tocan de lleno el día a día de marketing y ventas: el Reglamento General de Protección de Datos, ya con seis años de jurisprudencia a la espalda, y la EU AI Act, el primer marco integral del mundo sobre inteligencia artificial, que justo este año entra en su tramo más exigente. Si tu empresa compra bases de datos, enriquece contactos, puntúa leads con un modelo o automatiza la prospección, esto te afecta. Y conviene entenderlo sin alarmismo pero sin ingenuidad.
Una advertencia antes de empezar: este artículo es divulgativo, no asesoramiento jurídico. La regulación de datos vive de los matices, y el tuyo, tu sector, tus fuentes, tu finalidad, puede cambiar la respuesta. Úsalo para hacer mejores preguntas a tu delegado de protección de datos (DPO) o a tu abogado, no para sustituirlos. Dicho esto, vamos a lo importante: qué puedes hacer, qué no, y dónde están las zonas grises que casi nadie te explica.
01Por qué 2026 es el año en que esto dejó de ser teórico
El RGPD lleva en vigor desde 2018, pero su aplicación ha ido endureciéndose con cada resolución de las autoridades de control. En España, la Agencia Española de Protección de Datos (AEPD) es una de las más activas de Europa en número de procedimientos sancionadores. La novedad de 2026 no es el RGPD: es que ahora se le suma la EU AI Act, y que ambos marcos se solapan precisamente en las actividades que más han crecido en marketing: la elaboración de perfiles, el scoring predictivo y la automatización de decisiones.
La EU AI Act, formalmente el Reglamento (UE) 2024/1689, entró en vigor el 1 de agosto de 2024, pero, como el RGPD en su día, despliega sus obligaciones de forma escalonada a lo largo de tres años. No es una ley que «entra» de golpe: es un calendario. Y 2026 es el año bisagra, porque en agosto se activa el grueso de las obligaciones, incluidas las que afectan a los sistemas de alto riesgo. Entender ese calendario es el primer paso para no vivir con un miedo difuso ni con una falsa sensación de seguridad.
02¿Los datos B2B están realmente sujetos al RGPD?
Es la pregunta que más confusión genera, y la respuesta es: depende de qué dato. El RGPD protege los datos de personas físicas identificadas o identificables. La clave está ahí. Veámoslo con ejemplos concretos, que es como se entiende de verdad.
El CIF de una sociedad, su dirección fiscal, el teléfono general de centralita o un buzón genérico tipo [email protected] no identifican a una persona: son datos de la empresa como entidad, y quedan en gran medida fuera del RGPD. En cambio, en cuanto aparece una persona detrás, la regla cambia. Un correo nominativo como [email protected], el número de móvil de un empleado, el nombre del director financiero asociado a su cargo, o el perfil profesional de un decisor son datos personales, aunque se usen en un contexto puramente laboral. El considerando 14 del RGPD es explícito: el reglamento no ampara a las personas jurídicas, pero sí a las personas físicas, incluso cuando actúan en el ejercicio de su actividad profesional.
Esto tiene una consecuencia incómoda para quien compra leads: prácticamente cualquier base de datos comercial que merezca la pena, porque tiene nombres, cargos y formas de contacto directas, está sujeta al RGPD. No existe el atajo de «como es B2B, no aplica». Aplica. La pregunta correcta no es «¿me afecta?», sino «¿bajo qué base de legitimación puedo tratar estos datos?».
03Las seis bases de legitimación (y la única que casi siempre usarás)
El RGPD no prohíbe tratar datos personales: exige tener una base de legitimación, una de las seis razones legales del artículo 6 que justifican el tratamiento. Para la prospección comercial B2B, en la práctica solo tres tienen sentido, y una destaca sobre las demás:
- Consentimiento. El interesado dice «sí» de forma libre, específica, informada e inequívoca. Es la base más sólida, pero también la más frágil de obtener en frío: nadie te da consentimiento antes de conocerte. Es imprescindible, eso sí, para ciertas comunicaciones electrónicas (volveremos a ello).
- Ejecución de un contrato. Sirve cuando ya existe una relación: tratas los datos de tu cliente para prestarle el servicio. No habilita la captación de quien todavía no es cliente.
- Interés legítimo. La base sobre la que se sostiene la mayor parte de la prospección B2B en Europa. Permite tratar datos sin consentimiento previo cuando tu interés (vender) no prevalece sobre los derechos y libertades del interesado. No es un cheque en blanco: tiene condiciones estrictas.
Las otras tres bases, obligación legal, interés vital y misión de interés público, rara vez encajan en un contexto comercial. Así que el debate real, el que de verdad importa para una empresa que vende, gira en torno al interés legítimo. Y ahí es donde conviene afinar, porque es también donde más se equivocan las empresas.
04Interés legítimo en B2B: el test de tres pasos que casi nadie documenta
Apoyarse en el interés legítimo no consiste en escribirlo en la política de privacidad y olvidarse. Exige realizar y documentar un análisis de ponderación, el llamado LIA, por sus siglas en inglés, Legitimate Interest Assessment, . Las autoridades europeas, y el propio Comité Europeo de Protección de Datos, lo estructuran en tres pasos:
- Test de finalidad. ¿Persigues un interés legítimo y real? Vender productos o servicios a otras empresas lo es; el RGPD lo reconoce expresamente, mencionando el marketing directo como un posible interés legítimo en su considerando 47.
- Test de necesidad. ¿Es el tratamiento necesario y proporcionado para esa finalidad, o podrías lograrlo de una forma menos invasiva? Aquí entra el principio de minimización: si te basta con el cargo y el email corporativo, no acumules el móvil personal «por si acaso».
- Test de ponderación o equilibrio. ¿Prevalecen los derechos y expectativas razonables del interesado sobre tu interés? Un directivo espera razonablemente recibir propuestas comerciales relevantes para su trabajo; no espera que su perfil se cruce con datos de su vida privada. El contexto profesional juega a favor del interés legítimo; cuanto más te alejas de él, más se inclina la balanza hacia el interesado.
Si superas los tres pasos y lo dejas por escrito, tienes una base defendible. Pero el interés legítimo viene con una contrapartida innegociable: el derecho de oposición. Cualquier persona puede oponerse al tratamiento de sus datos con fines de marketing directo en cualquier momento, y cuando lo hace, debes parar. Sin excusas, sin fricción, sin «rellene este formulario en horario de oficina». Un proceso de baja que no funciona convierte una base legal sólida en una infracción.
El interés legítimo no es la excusa para hacer lo que quieras; es el compromiso de poder justificar, por escrito y en cualquier momento, por qué lo que haces es razonable.
05El matiz español: el RGPD no es lo único que regula el email en frío
Aquí está una de las zonas grises que más disgustos da, y que muchas guías genéricas pasan por alto. Aunque el RGPD te habilite a tratar un dato bajo interés legítimo, el canal que uses para contactar tiene su propia regulación. En España, las comunicaciones comerciales electrónicas, email y SMS, principalmente, se rigen también por la Ley de Servicios de la Sociedad de la Información (LSSI-CE) y, a escala europea, por la Directiva e-Privacy.
La regla general de la LSSI es que las comunicaciones comerciales por vía electrónica requieren consentimiento previo. Existe una excepción relevante, la relación contractual previa, que permite enviar comunicaciones sobre productos o servicios similares a clientes existentes, pero, como su nombre indica, exige que ya haya habido una relación. Para el contacto en frío puro, el terreno es resbaladizo, y la interpretación estricta choca con la práctica habitual del cold email B2B. Por eso muchas empresas combinan canales: el contacto telefónico y, sobre todo, los mensajes a través de redes profesionales se mueven en un marco distinto al del email masivo.
06Los derechos del interesado, y por qué tu CRM tiene que estar preparado
El RGPD otorga a toda persona una batería de derechos sobre sus datos: acceso, rectificación, supresión (el «derecho al olvido»), oposición, limitación del tratamiento y portabilidad. En el contexto comercial, los que más se ejercen son el de oposición y el de supresión. Y aquí hay una verdad operativa que se subestima: no basta con tener un buzón de privacidad; tu arquitectura de datos tiene que permitir cumplir estos derechos de forma rápida y completa.
Imagina que alguien ejerce su derecho de supresión. Si ese contacto vive solo en tu CRM, es sencillo. Pero si lo has exportado a una herramienta de email, sincronizado con una plataforma de anuncios, incluido en un segmento de audiencia y compartido con una agencia, tienes un problema de propagación: la baja debe llegar a todos esos sitios. Las empresas que tratan los datos como islas inconexas descubren, el día de la primera reclamación, que no pueden cumplir lo que la ley exige. Una buena gestión de identidad, saber que esos cinco registros son la misma persona, no es solo una cuestión de calidad de datos; es una condición para cumplir el RGPD.
07Qué añade la EU AI Act: una regulación por niveles de riesgo
La EU AI Act no sustituye al RGPD; se suma a él. Mientras el RGPD regula el dato, la AI Act regula el sistema que lo procesa cuando ese sistema es inteligencia artificial. Su lógica es elegante: en lugar de regular tecnologías concretas, clasifica los sistemas por el riesgo que suponen para la salud, la seguridad y los derechos fundamentales, y exige obligaciones crecientes según ese riesgo.
- Riesgo inaceptable: prácticas prohibidas (puntuación social al estilo estatal, manipulación subliminal, ciertos usos de reconocimiento de emociones). Prohibidas desde el 2 de febrero de 2025.
- Alto riesgo: sistemas que afectan a decisiones sensibles, empleo, crédito, educación, infraestructuras críticas, . Sujetos a gestión de riesgos, gobernanza de datos, documentación técnica, registro, supervisión humana y evaluación de conformidad.
- Riesgo limitado: sujeto a obligaciones de transparencia (avisar de que interactúas con una IA, etiquetar deepfakes).
- Riesgo mínimo: la inmensa mayoría de sistemas, filtros de spam, recomendadores básicos, sin obligaciones nuevas.
El calendario, que conviene tener claro porque circula mucha información confusa: las prohibiciones y las obligaciones de alfabetización en IA aplican desde febrero de 2025; las obligaciones para los modelos de propósito general (los grandes modelos tipo GPT, Claude o Gemini) desde agosto de 2025; y el grueso de las normas, incluidas las de los sistemas de alto riesgo del Anexo III, desde el 2 de agosto de 2026. Los sistemas de alto riesgo embebidos en productos ya regulados disponen de plazos extendidos hasta 2027 y 2028.
Un matiz de actualidad que cambia el cuadro: en noviembre de 2025 la Comisión Europea propuso, dentro del llamado «Digital Omnibus», aplazar la aplicación de las obligaciones de alto riesgo, vinculándola a la disponibilidad de estándares armonizados, con fechas que se han discutido hasta diciembre de 2027. A mediados de 2026 ese aplazamiento seguía en negociación y no estaba cerrado, por lo que la recomendación generalizada de los despachos es seguir preparándose para el calendario original de agosto de 2026. En regulación, esperar a que «quizás se retrase» es una estrategia cara.
08¿Tu lead scoring es un sistema de «alto riesgo»?
Esta es la pregunta del millón para marketing y ventas, y la respuesta sincera es «probablemente no, pero presta atención». El Anexo III de la AI Act lista los usos de alto riesgo: entre ellos, los sistemas de IA usados en la contratación de personal, en la evaluación de la solvencia crediticia o en el acceso a servicios esenciales. Un scoring que prioriza leads comerciales B2B no encaja, en principio, en esas categorías: no decide sobre el empleo de nadie ni le niega un crédito.
Pero hay una señal de alarma que conviene conocer: la AI Act presta especial atención a la elaboración de perfiles de personas físicas. Cuando un sistema perfila a individuos para tomar o influir en decisiones que les afectan significativamente, el escrutinio sube. Un scoring B2C agresivo que segmenta a consumidores por solvencia presunta, o un sistema que cruza datos personales para decidir a quién se le ofrece un producto financiero, se acerca mucho más a la zona caliente que un scoring de cuentas empresariales. La regla de oro: cuanto más se parezca tu modelo a «decidir sobre la vida de una persona» y menos a «ordenar una lista de empresas a las que llamar», más en serio debes tomarte la AI Act.
Aunque tu caso no sea de alto riesgo, dos obligaciones transversales te alcanzan igualmente. La primera es la alfabetización en IA (artículo 4): tu equipo debe tener un nivel suficiente de comprensión de los sistemas que usa. La segunda es la transparencia (artículo 50): si automatizas interacciones, un chatbot, contenido generado por IA, debes dejar claro que hay una máquina detrás. Son obligaciones de sentido común, pero ahora con fuerza de ley.
09Cuando RGPD y AI Act se aplican a la vez: DPIA y FRIA
Los dos marcos no solo coexisten: se entrelazan. Si tratas datos personales con un sistema de IA que perfila o evalúa a personas, es probable que necesites dos evaluaciones de impacto distintas y complementarias. La primera, que ya conoces del RGPD, es la Evaluación de Impacto relativa a la Protección de Datos (DPIA), obligatoria cuando un tratamiento entraña un alto riesgo para los derechos de las personas, y la elaboración de perfiles a gran escala suele entrar en ese supuesto, . La segunda, novedad de la AI Act para ciertos sistemas de alto riesgo, es la Evaluación de Impacto sobre Derechos Fundamentales (FRIA).
No son el mismo documento ni cubren lo mismo: la DPIA se centra en la protección de datos; la FRIA, en el impacto más amplio sobre derechos fundamentales (no discriminación, dignidad, libertades). Para muchos casos de uso de alto riesgo que procesan datos personales, ambas aplican y conviene diseñarlas de forma coordinada en lugar de como trámites separados. La buena noticia: si haces bien la DPIA, gran parte del trabajo de análisis te sirve para la FRIA.
10Comprar datos a terceros: la due diligence que te ahorra el disgusto
Llegamos al punto que más interesa a quien lee esto pensando en captación: ¿qué exigir a un proveedor de datos para no heredar su riesgo? Porque ese es el quid: cuando compras una base de datos o leads, te conviertes en responsable (o corresponsable) de su tratamiento. Si el proveedor obtuvo los datos de forma irregular, el problema acaba siendo tuyo en el momento en que los usas.
- Origen y base de legitimación documentados. Exige saber de dónde sale cada dato y bajo qué base legal se recopiló. Un proveedor serio puede responder; uno opaco cambiará de tema.
- Contrato de encargo del tratamiento (DPA). Si el proveedor trata datos por cuenta tuya, el artículo 28 del RGPD exige un contrato que regule el encargo. Sin DPA, no hay relación conforme.
- Trazabilidad por registro. Idealmente, cada dato debe poder acreditar su origen y su fecha de obtención o validación. Es la diferencia entre «confía en nosotros» y «aquí está la prueba».
- Mecanismo de bajas y derechos. ¿Cómo propaga el proveedor las oposiciones y supresiones? ¿Te avisa si un contacto se da de baja en origen?
- Garantías sobre la IA. Si el proveedor enriquece o puntúa con modelos, ¿están documentados y son explicables? Heredas también su gobernanza de IA.
11Checklist operativo para 2026
Resumamos en algo que puedas pegar en la pared del equipo. Si respondes «sí» a todo, vas bien encaminado; cada «no» es una conversación pendiente con tu DPO:
- ¿Tienes documentada la base de legitimación de cada tratamiento de prospección (y un LIA por escrito si usas interés legítimo)?
- ¿Tu proceso de baja y oposición funciona con rapidez y propaga la baja a todos tus sistemas?
- ¿Exiges a tus proveedores de datos origen documentado, DPA y trazabilidad?
- ¿Has inventariado qué sistemas de IA usas y los has clasificado por riesgo según la AI Act?
- ¿Tus modelos de scoring son explicables y tienen supervisión humana en las decisiones que importan?
- ¿Has valorado si necesitas una DPIA (y, en su caso, una FRIA)?
- ¿Tu equipo tiene formación básica en IA y protección de datos (alfabetización)?
12El coste de hacerlo mal
Por si la motivación ética o reputacional no bastara, están las cifras. El RGPD permite sanciones de hasta 20 millones de euros o el 4% de la facturación global anual, la que sea mayor. La EU AI Act sube la apuesta: las infracciones más graves pueden alcanzar los 35 millones de euros o el 7% de la facturación global. Son los topes máximos, las sanciones reales se gradúan, pero marcan la seriedad con la que la UE se toma esto. Y hay un coste que no aparece en ninguna multa: el reputacional. En un mundo donde la confianza es un activo comercial, ser «la empresa que usa mal los datos» es un lastre difícil de soltar.
La conclusión no es vivir con miedo, sino al revés: el cumplimiento bien hecho es una ventaja competitiva. La empresa que puede demostrar de dónde salen sus datos, que respeta las bajas y que usa IA explicable no solo evita sanciones: vende con más confianza, retiene mejor a sus clientes y duerme más tranquila. En Funneld lo abordamos como un principio de diseño, no como un parche final: trazabilidad del origen por registro, minimización, proveedores sujetos a acuerdos de tratamiento y modelos de IA documentados y explicables, alineados con el marco de la EU AI Act. No porque quede bien decirlo, sino porque es la única forma sostenible de operar datos a escala.
13Fuentes y lecturas
- Comisión Europea, AI Act | Shaping Europe’s digital future (calendario oficial y fases)
- EU Artificial Intelligence Act, Implementation Timeline
- Reglamento (UE) 2024/1689, texto del AI Act (EUR-Lex)
- DLA Piper, The Digital AI Omnibus: aplazamiento propuesto de las obligaciones de alto riesgo
- AEPD, Agencia Española de Protección de Datos
- EDPB, Comité Europeo de Protección de Datos (directrices sobre interés legítimo)
14Preguntas frecuentes
¿Quieres aplicar esto a tus datos?
Funneld opera plataforma propia, infraestructura de procesamiento y una red de +40 proveedores de datos. Reserva una demo y te mostramos cómo aplicarlo a tu caso.
