La AEPD ha sancionado a una empresa dedicada a la captación comercial tras contactar telefónicamente con un usuario haciéndose pasar por su compañía eléctrica habitual. Durante la llamada, la empresa disponía de numerosos datos personales del afectado —incluyendo DNI, CUPS y cuenta bancaria— y llegó incluso a tramitar un cambio de comercializadora sin un consentimiento válido.
El afectado recibió una llamada comercial en la que el operador se identificó como parte de su compañía energética habitual y le ofreció supuestos descuentos en su tarifa. Posteriormente, recibió mensajes de WhatsApp con todos sus datos personales y documentación vinculada al suministro.
El cambio de comercializadora llegó a ejecutarse y el afectado comenzó a recibir reclamaciones de deuda relacionadas con ese contrato.
Durante la investigación, la empresa reconoció haber tratado los datos del usuario y haber realizado llamadas y envíos comerciales utilizando información facilitada por un “canal asociado”.
La AEPD considera especialmente grave que se realizaran comunicaciones comerciales sin acreditar una base legítima válida y utilizando técnicas que podían inducir a error al usuario sobre quién le estaba contactando realmente.
Además, la empresa intentó justificar la situación señalando que los datos procedían de colaboradores externos o canales asociados. Sin embargo, la Agencia recuerda algo muy importante: delegar la captación comercial, no elimina la responsabilidad sobre cómo se obtienen y utilizan los datos personales.
También queda claro otro aspecto relevante: disponer de datos personales de un potencial cliente no significa automáticamente poder utilizarlos para llamadas comerciales.
La Agencia concluyó que la empresa realizó llamadas comerciales sin consentimiento válido ni otra base jurídica que legitimara el tratamiento, vulnerando la normativa de telecomunicaciones sobre comunicaciones comerciales no deseadas.
Como consecuencia, impuso una sanción de 5.000 euros por una infracción grave.
Este tipo de prácticas siguen siendo relativamente habituales en procesos de captación comercial externalizada, especialmente cuando intervienen colaboradores, leads comprados o cadenas de subcontratación.
Por ello, es fundamental controlar el origen de los datos, exigir garantías reales a colaboradores y documentar adecuadamente el consentimiento o la base legitimadora utilizada. Además, conviene supervisar cómo se presentan los operadores en las llamadas y evitar mensajes ambiguos o estrategias que puedan confundirse con suplantaciones comerciales.
Porque cuando las campañas se gestionan “de aquella manera”, la responsabilidad termina llegando igualmente a la empresa.
Tienes más información de la resolución en el siguiente enlace.
Redactado por Julia, a fecha 14 de mayo de 2026.