En España, la AEPD ha impuesto una multa de 60.000 € a una empresa por enviar comunicaciones comerciales sin verificar previamente el consentimiento mediante doble opt-in.
Y no es un caso aislado: Alemania, Austria y ahora España consolidan una tendencia jurídica que marca un antes y un después en el marketing digital.
⚖️ ¿QUÉ ES EL DOBLE OPT-IN?
El doble opt-in consiste en un proceso de verificación en dos pasos:
1️⃣ El usuario introduce su correo y acepta recibir comunicaciones.
2️⃣ Recibe un email de confirmación con un enlace para validar su suscripción.
Solo al hacer clic en ese enlace se considera consentimiento válido y verificable según el art. 7 RGPD.
📜 FUNDAMENTOS
El RGPD y la Ley de Servicios de la Sociedad de la Información (LSSI) exigen que el consentimiento sea:
- Libre, informado, específico e inequívoco (art. 4.11 RGPD).
- Acreditable por el responsable del tratamiento (art. 7.1 RGPD).
El problema surge cuando una empresa alega “el usuario se suscribió voluntariamente”, pero no puede demostrarlo con pruebas técnicas.
La AEPD entiende que sin doble opt-in, no hay garantía suficiente de autenticidad del consentimiento.
💣 CONSECUENCIAS
La sanción de 60.000 € no solo castiga el envío masivo de emails no verificados, sino también la falta de medidas técnicas adecuadas para evitar abusos o errores humanos.
Además, abre la puerta a que cualquier envío de newsletter sin verificación doble sea considerado tratamiento ilícito de datos personales.
🧩 CLAVES
✅ Implementa doble opt-in en tus formularios de suscripción.
✅ Conserva los registros de IP, fecha y hora de la confirmación.
✅ Usa textos claros y separados para cada finalidad (marketing, cesión a terceros, etc.).
✅ Evita casillas premarcadas o consentimientos globales.
🚀 El doble opt-in ya no es una buena práctica: es una exigencia real.
En materia de protección de datos, la carga de la prueba recae sobre el responsable, y la falta de trazabilidad puede salir cara.
La pregunta ya no es “¿debo implementarlo?”, sino:
👉 ¿puedo permitirme no hacerlo?