ENFRES Herramienta gratis
Hatch › Regulación › RGPD para marketers
Regulación

RGPD para marketers: lo que necesitas saber en 2026

De las bases legales y los mecanismos de consentimiento al Consent Mode v2 y el marketing sin cookies — una guía práctica de cumplimiento del RGPD que no frena tus programas de marketing.

Actualizado junio 2026~9 min de lectura
No es asesoramiento jurídico: Este artículo está escrito para profesionales del marketing y ofrece una visión práctica de los conceptos del RGPD. No constituye asesoramiento jurídico. Para orientación específica a las circunstancias de tu organización, consulta a un abogado especializado en protección de datos o a tu Delegado de Protección de Datos (DPD).

El Reglamento General de Protección de Datos — Reglamento (UE) 2016/679, en vigor desde mayo de 2018 — sigue siendo la legislación más determinante para los programas de marketing en Europa. Sin embargo, muchos equipos de marketing siguen tratando el RGPD como un problema del departamento jurídico en lugar de un problema de operaciones de marketing. Esa división genera riesgo y deja rendimiento sobre la mesa. Entender los principios fundamentales del reglamento permite construir programas que son tanto conformes como eficaces — y cada vez más, en un entorno de medición sin cookies, ambos objetivos están más alineados de lo que parecen.

Bases legales: el fundamento de todo

Cada tratamiento de datos personales en tu stack de marketing necesita una base legal según el artículo 6 del RGPD. Existen seis, pero para la mayoría de las actividades de marketing, tres son relevantes:

Base legalCuándo aplica en marketingRestricción clave
Consentimiento (art. 6(1)(a))Email marketing, cookies de seguimiento, publicidad comportamental, perfiladoDebe ser libre, específico, informado e inequívoco. Revocable en cualquier momento.
Interés legítimo (art. 6(1)(f))Prospección B2B (con matices), analítica, prevención del fraude, cierto correo directoRequiere una Evaluación de Intereses Legítimos (LIA). Los derechos del individuo pueden prevalecer.
Contrato (art. 6(1)(b))Tratamiento necesario para ejecutar una compra, enviar un recibo, gestionar una suscripciónSolo cubre el tratamiento estrictamente necesario para el contrato. No puede extenderse al marketing.

Un error habitual es utilizar el interés legítimo como base comodín para evitar la fricción de obtener el consentimiento. La Agencia Española de Protección de Datos (AEPD), como el resto de autoridades de control europeas, es clara: el interés legítimo no puede sustituir al consentimiento cuando este es la base apropiada, especialmente para el marketing directo a consumidores.

Elegir la base legal correcta desde el principio determina tus obligaciones posteriores: qué informas a las personas, cuánto tiempo conservas los datos, qué derechos tienen y cómo respondes cuando los ejercen. También condiciona cómo estructuras tu stack de martech.

Mecanismos de consentimiento: opt-in, doble opt-in y qué cuenta

Bajo el RGPD, el consentimiento para marketing debe cumplir un estándar elevado. Los elementos clave establecidos en el artículo 7 y el considerando 32 son:

  • Libre: Sin vincular el consentimiento a los términos de servicio. Sin penalización por rechazar. Sin casillas premarcadas.
  • Específico: Consentimiento separado para cada finalidad distinta (newsletter, publicidad comportamental, compartición de datos con terceros). Una única casilla de verificación no cubre múltiples finalidades.
  • Informado: El individuo debe saber quién recoge los datos, para qué finalidad y durante cuánto tiempo — antes de dar su consentimiento.
  • Inequívoco: Se requiere una acción afirmativa activa — marcar una casilla, hacer clic en un botón. El silencio o la inacción no constituyen consentimiento.

El doble opt-in (un email de confirmación que requiere un segundo clic para activar una suscripción) no es legalmente obligatorio según el RGPD, pero es considerado una buena práctica por el Comité Europeo de Protección de Datos (CEPD) y por la AEPD. Refuerza la evidencia del consentimiento y mejora la calidad de la lista — los argumentos de cumplimiento y entregabilidad apuntan en la misma dirección.

Los registros de consentimiento deben conservarse: quién consintió, cuándo, a qué, a través de qué mecanismo y utilizando qué versión del aviso. Este es un requisito operativo que debe gestionar tu CRM o plataforma de gestión del consentimiento (CMP).

Retirada del consentimiento: Retirar el consentimiento debe ser tan fácil como darlo. Si alguien puede suscribirse con un clic, debe poder darse de baja con un clic. Requerir llamar a un número o enviar una carta para darse de baja no cumple este requisito.

Cookies, ePrivacy y el banner de consentimiento

Las cookies y tecnologías de seguimiento similares están reguladas por la Directiva ePrivacy (2002/58/CE, modificada en 2009) junto al RGPD. Bajo las normas de ePrivacy, las cookies no esenciales requieren consentimiento previo — lo que significa que la cookie no puede establecerse antes de que el usuario acepte. Las cookies estrictamente necesarias (cookies de sesión, carrito de compra, seguridad) están exentas.

En la práctica, esto significa:

  • Las cookies analíticas (Google Analytics, Matomo) requieren consentimiento salvo que estén configuradas en modo de privacidad
  • Las cookies publicitarias y de retargeting (Meta Pixel, Google Ads, LinkedIn Insight Tag) siempre requieren consentimiento
  • Las herramientas de test A/B que usan cookies requieren consentimiento
  • Las herramientas de mapas de calor y grabación de sesiones (Hotjar, Microsoft Clarity) requieren consentimiento

Las CMP como Didomi, OneTrust o Axeptio implementan el Transparency and Consent Framework (TCF) de IAB Europe para estandarizar cómo se recogen y transmiten las señales de consentimiento a los proveedores de ad tech. Si realizas publicidad programática, tu CMP debe estar certificada TCF para que tus señales de consentimiento sean reconocidas por los DSP y SSP.

Los dark patterns en las interfaces de consentimiento — botón de «Aceptar todo» grande y llamativo mientras «Rechazar todo» está oculto tras varios clics — han sido objeto de actuaciones de la AEPD y otras autoridades de control europeas. Las directrices del CEPD sobre dark patterns (publicadas en 2022) dejan claro que el consentimiento obtenido mediante diseño manipulador no es consentimiento válido.

Google Consent Mode v2, obligatorio para todos los anunciantes que usan Google Ads y Google Analytics 4 en el Espacio Económico Europeo desde marzo de 2024, cambia el funcionamiento de la medición cuando los usuarios no consienten el seguimiento.

Cuando un usuario rechaza el consentimiento, Consent Mode v2 no activa las etiquetas de medición estándar. En su lugar, envía pings sin cookie a Google que no contienen identificadores personales. Google utiliza entonces conversiones modeladas — inferencia estadística basada en datos agregados y consentidos de tráfico similar — para estimar las conversiones ocurridas en la población no consentida.

La implicación práctica para los marketers: las cifras de conversiones reportadas en Google Ads incluirán tanto conversiones observadas (usuarios que consintieron) como conversiones modeladas (usuarios que no consintieron). Los totales reportados serán superiores a lo que verías de los usuarios consentidos únicamente, pero la metodología es transparente y se aplica de forma consistente. Los anunciantes que implementan correctamente Consent Mode v2 suelen observar una mejor optimización de campañas que los que no envían ninguna señal para los usuarios no consentidos.

Consent Mode v2 requiere una CMP que soporte la API de Google Consent Mode y transmita las señales de consentimiento correctas (ad_storage, analytics_storage, ad_user_data, ad_personalization) a tus etiquetas de Google a través del data layer o una integración de gestor de etiquetas.

Minimización de datos y plazos de conservación

El artículo 5(1)(c) del RGPD establece el principio de minimización de datos: recoger únicamente lo que es adecuado, pertinente y limitado a lo necesario para la finalidad. Para los marketers, esto tiene implicaciones directas en el diseño de formularios, la higiene del CRM y la configuración de analítica.

En la práctica: un formulario de suscripción a una newsletter que pide cargo, tamaño de empresa, sector, teléfono y fecha de nacimiento cuando solo necesitas una dirección de email para enviar la newsletter no supera el test de minimización. Cada campo que recoges debe tener una finalidad documentada.

El artículo 5(1)(e) añade el principio de limitación del plazo de conservación: los datos no deben conservarse más tiempo del necesario. Esto implica plazos de conservación definidos en tu CRM — y un proceso para aplicarlos. Los enfoques habituales incluyen listas de supresión para contactos que se han dado de baja (conservadas para evitar volver a contactarles), calendarios de eliminación automática para contactos inactivos tras un período definido, y auditorías de datos anuales.

La minimización también aplica a la configuración de tus herramientas analíticas. GA4 ofrece ajustes de retención de datos; fijar la retención al mínimo coherente con tus necesidades de informes reduce tu exposición al cumplimiento. La anonimización de IP debe estar activa por defecto.

Marketing sin cookies y datos first-party

La trayectoria a largo plazo del marketing digital apunta hacia la medición sin cookies de terceros y la primacía de los datos first-party. Las cookies de terceros — ya bloqueadas por Safari y Firefox — están siendo eliminadas progresivamente en todo el ecosistema de navegadores. La presión regulatoria y el cambio técnico apuntan en la misma dirección.

El cumplimiento del RGPD y la estrategia sin cookies se refuerzan mutuamente. Construir un activo de datos first-party — listas de email con consentimiento, datos de CRM, comportamiento de usuarios autenticados — es tanto el enfoque conforme como el estratégicamente duradero. Las tácticas que funcionan en un entorno sin cookies y centrado en el consentimiento incluyen:

  • El tracking server-side, que traslada el procesamiento de datos al servidor y reduce la dependencia de cookies en el navegador
  • Las integraciones de Conversion API (Meta CAPI, Google Enhanced Conversions) que envían señales first-party hasheadas directamente a las plataformas publicitarias, mejorando la calidad de la señal sin seguimiento adicional a nivel de usuario
  • Los clean rooms (Google Ads Data Hub, Amazon Marketing Cloud) para una medición que preserva la privacidad en datasets consentidos
  • El Marketing Mix Modeling (MMM) para atribución agregada y respetuosa con la privacidad que no depende del seguimiento a nivel individual — consulta nuestra guía sobre MMM para una explicación completa
Construye planes de marketing conformes

Un plan de marketing bien estructurado integra desde el principio la gobernanza de datos, la estrategia de consentimiento y la arquitectura de medición. Usa la herramienta de planificación gratuita de Hatch para construir programas que funcionen dentro de tus restricciones de cumplimiento.

Herramienta gratis
¿Necesitas ayuda experta con el consentimiento y el cumplimiento?

NEWP trabaja con equipos de marketing B2B en la implementación de CMP, la configuración de Consent Mode v2 y la arquitectura de medición conforme. Habla con una agencia experta antes de tu próximo lanzamiento de campaña.

Hablar con un experto en NEWP

Preguntas frecuentes

¿Puedo usar el interés legítimo para el email marketing a consumidores?

En general no. Para el marketing directo a consumidores por email, el consentimiento es la base legal requerida por la Directiva ePrivacy y las orientaciones de la mayoría de autoridades de control de la UE, incluida la AEPD. El interés legítimo puede aplicarse en escenarios B2B limitados — por ejemplo, contactar por email a un interlocutor de negocio concreto sobre un producto directamente relevante — pero requiere una Evaluación de Intereses Legítimos documentada.

¿El RGPD se aplica a mi marketing si no estoy establecido en la UE?

El RGPD se aplica si diriges tu actividad o monitorizas a individuos en la UE, independientemente de dónde esté establecida tu empresa. El artículo 3 establece explícitamente este alcance extraterritorial. Si realizas campañas dirigidas a audiencias de la UE, el RGPD se aplica a tus tratamientos de datos para esas campañas.

¿Cuál es la diferencia entre una CMP y un banner de cookies?

El banner de cookies es el elemento de interfaz visible. Una Consent Management Platform (CMP) es el sistema subyacente que recoge, almacena y transmite las señales de consentimiento a tus herramientas de marketing. Un banner sin una CMP adecuada detrás puede parecer conforme, pero no transmitirá correctamente las señales de consentimiento a las plataformas publicitarias y herramientas analíticas — que es donde realmente reside el riesgo de incumplimiento.

¿Necesito implementar Google Consent Mode v2?

Si usas Google Ads o Google Analytics 4 y diriges tu actividad a usuarios en el Espacio Económico Europeo, sí. Sin Consent Mode v2, los sistemas de Google no pueden modelar conversiones para usuarios que no han dado su consentimiento, lo que degrada la optimización de campañas. Google lo ha convertido en un requisito para el tráfico del EEE, y el incumplimiento afecta a tu capacidad de usar eficazmente las funciones de audiencia y el seguimiento de conversiones.

Seguir leyendo

Guía de Marketing Mix Modeling Cómo construir un stack de martech Mejores herramientas de analítica para marketers