LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

Navidad en la empresa: buenas prácticas para cumplir el RGPD

Navidad en la empresa: buenas prácticas para cumplir el RGPD

General ·

La Navidad es una oportunidad para reforzar vínculos con clientes y colaboradores. Sin embargo, los envíos navideños pueden generar riesgos si la empresa no ajusta las comunicaciones al RGPD y a la LSSI. Por eso, resulta clave conocer cómo gestionar las felicitaciones navideñas y cumplir el RGPD de forma correcta:

  • Enviar felicitaciones navideñas exige el cumplimiento del RGPD y la LSSI.
  • A los clientes actuales se les puede aplicar el interés legítimo si el mensaje no es comercial.
  • Si existe contenido promocional, se necesita consentimiento previo y válido, de acuerdo con la LSSI y el RGPD.
  • Errores comunes: utilizar CC en lugar de CCO, enviar WhatsApp sin permiso o usar fotos sin autorización.
  • Se recomienda tomar unas medidas sencillas para gestionar las felicitaciones navideñas de forma segura.

Tabla de contenidos

Última fecha de modificación: 11/12/2025

Autora

Laura Castilla Jiménez, abogada

¿Cuál es la base jurídica de las felicitaciones navideñas a clientes?

Las felicitaciones navideñas dirigidas a clientes con una relación vigente suelen ampararse en el interés legítimo, conforme al artículo 6.1.f) del RGPD. Asimismo, solo en casos excepcionales podría sostenerse la relación contractual del artículo 6.1.b) del RGPD, siempre que la felicitación esté estrictamente vinculada a la ejecución del servicio contratado.

No obstante, lo expuesto en el párrafo anterior resulta válido siempre que la comunicación no tenga carácter comercial. Por tanto, para que el tratamiento sea lícito, conviene cumplir con estos criterios:

  • El mensaje debe ser institucional y no promocional.
  • Debe existir una relación previa actualizada.
  • El cliente debe poder ejercitar su derecho de oposición de forma sencilla y claramente accesible, conforme al artículo 21 del RGPD.
  • La finalidad debe ser coherente con la relación comercial.

¿Qué buenas prácticas se recomiendan para cumplir la normativa vigente?

Algunas buenas prácticas recomendables para que la empresa esté adecuadamente protegida son, entre otras, las siguientes:

  • En primer lugar, revisar que la base de datos esté al día.
  • Segundo, evitar incluir promociones o descuentos.
  • Tercero, conservar evidencias del derecho de oposición.
  • En cuarto lugar, limitar la comunicación a contactos con relación activa.

¿En qué casos es necesario recabar el consentimiento?

Si la comunicación incorpora contenido promocional, la empresa debe contar con consentimiento previo conforme al artículo 21 de la LSSI y al RGPD. Dicho consentimiento debe ser libre, específico, informado e inequívoco, conforme a la definición del artículo 4.11 del RGPD. Algunos ejemplos típicos de situaciones que exigen consentimiento son los siguientes:

  • Envíos masivos con ofertas navideñas u otros contenidos de naturaleza comercial.
  • Newsletters que mezclan felicitación y marketing.
  • Comunicaciones dirigidas a contactos sin relación reciente.

Felicitaciones navideñas y RGPD: errores comunes y riesgos jurídicos asociados

El último mes del año suele ser muy exigente para las empresas, lo que da lugar a las prisas. Estas pueden provocar errores que suponen un riesgo para el cumplimiento del RGPD.

Errores comunes de la campaña navideña

Algunos de los errores de las campañas navideñas en relación con la privacidad se repiten cada año. Con el fin de evitarlos, cabe señalar que los más comunes son:

  • Al enviar un e-mail, utilizar CC en lugar de CCO (copia oculta).
  • Crear grupos en WhatsApp en los que se incorporen números de teléfono sin una base jurídica válida —en la mayoría de los casos, el consentimiento—, puede constituir una comunicación no autorizada de datos.
  • Enviar imágenes internas sin una base de legitimación válida, como el consentimiento o, en casos muy concretos, un interés legítimo previamente ponderado.
  • Incluir fotografías de menores sin la autorización de sus representantes legales en envíos corporativos, de acuerdo con los artículos 8 del RGPD y 7 de la LOPDGDD. Por ejemplo, podría ser el caso de una ludoteca, de una escuela de música o de una asociación, entre otros.

Riesgos jurídicos asociados

Aunque los errores de las campañas navideñas pueden parecer menores e inofensivos, lo cierto es que existen riesgos jurídicos asociados que pueden tener consecuencias. Dichos riesgos son, entre otros, los siguientes:

  • En primer lugar, divulgación no autorizada de datos personales.
  • Segundo, tratamiento ilícito por falta de base jurídica.
  • Tercero, vulneración de derechos de empleados y colaboradores.
  • En cuarto lugar, la posibilidad de generar brechas de confidencialidad o incidentes de seguridad.

Ejemplo práctico de riesgos jurídicos

Un ejemplo en relación con los riesgos jurídicos podría darse si se envía una foto sin una base de legitimación adecuada. Así pues, pongamos el caso de que ocurre en el marco de una entidad sin ánimo de lucro. En este supuesto, dependiendo del objeto de la entidad, podría revelar indirectamente información relativa a ideología, salud o creencias religiosas, lo que constituiría un tratamiento de categorías especiales de datos conforme al artículo 9 del RGPD.

Todo ello sin olvidar que la imagen constituye, por sí sola, un dato personal si la persona física es identificable. También, podría ocurrir que en la foto aparecieran menores, lo cual constituiría un tratamiento ilícito conforme al RGPD si no se cuenta con una base de legitimación válida. Para proteger a una empresa de forma adecuada y evitar riesgos legales, se recomienda acudir a expertos en privacidad. ¡Contacta con nosotros!

¿Cómo enviar felicitaciones navideñas y cumplir el RGPD de forma segura?

Si se aplican medidas sencillas, la empresa puede enviar felicitaciones de manera responsable. Por eso, un checklist práctico de cumplimiento que puede ser de gran utilidad es el siguiente:

  • Primero, utilizar herramientas profesionales de envío.
  • Segundo, verificar cuál es la base de legitimación adecuada para cada envío. Habitualmente será el interés legítimo para comunicaciones institucionales a clientes activos y el consentimiento para comunicaciones con contenido comercial o destinatarios sin relación previa.
  • En tercer lugar, incluir un mecanismo claro de oposición.
  • Cuarto, revisar si hay menores en las imágenes.
  • En quinto lugar, emplear el CCO para múltiples destinatarios.
  • Por último, evitar contenido comercial si no existe consentimiento.

De este modo, siguiendo estas medidas de privacidad la empresa podrá gestionar las felicitaciones navideñas conforme al RGPD y a la LSSI, reduciendo riesgos legales y garantizando comunicaciones adecuadas.

Conclusiones

Gestionar felicitaciones navideñas y cumplir el RGPD y la LSSI requiere rigor jurídico. Una clave esencial es determinar correctamente la base legitimadora antes de realizar cualquier tratamiento de datos. Así pues, diferenciar entre interés legítimo, relación contractual y consentimiento evita incumplimientos. Además, refuerza la confianza y profesionalidad de la empresa y evita riesgos reputacionales.

No obstante, este contenido está redactado de manera informativa. Si deseas revisar tus comunicaciones navideñas o necesitas apoyo para adaptar tus procesos al RGPD y la LSSI, podemos ayudarte. Contacta con Legal Veritas para una auditoría completa y personalizada.

¡Contacta con nosotros!

Preguntas Frecuentes (FAQs)

¿Puedo enviar felicitaciones navideñas a clientes sin pedir consentimiento?

Sí, siempre que exista una relación previa y vigente con el cliente y la comunicación tenga un carácter meramente institucional y no promocional. En estos casos, el tratamiento puede ampararse en el interés legítimo del artículo 6.1.f del RGPD, siempre que la finalidad sea coherente con la relación existente y se garantice el derecho de oposición conforme al artículo 21 del RGPD. Si el mensaje incorpora contenido comercial, esta base jurídica deja de ser válida.

¿Necesito autorización para usar fotos de empleados?

Sí, el uso de imágenes de empleados con fines corporativos o comunicativos requiere una base de legitimación válida, que en la práctica suele ser el consentimiento expreso del interesado, conforme a los artículos 6.1.a y 7 del RGPD. Dicho consentimiento debe ser libre, informado y documentado, y no puede presumirse por la mera existencia de la relación laboral. Si en las imágenes aparecen menores, la autorización debe otorgarla su representante legal, conforme al artículo 8 del RGPD y al artículo 7 de la LOPDGDD.

¿Puedo felicitar por WhatsApp a mis clientes?

Con carácter general, solo es lícito utilizar WhatsApp u otros canales de mensajería instantánea cuando el destinatario haya autorizado expresamente ese medio o lo haya utilizado previamente como canal habitual de comunicación con la empresa. En caso contrario, el envío puede carecer de base jurídica válida y calificarse como comunicación no solicitada, especialmente si tiene contenido comercial, lo que podría infringir el RGPD y la LSSI.

¿Qué ocurre si utilizo CC en lugar de CCO?

El uso de CC en envíos con múltiples destinatarios puede suponer una divulgación no autorizada de datos personales, al revelar direcciones de correo electrónico a terceros. Esta práctica puede vulnerar el principio de integridad y confidencialidad del artículo 5.1.f del RGPD y dar lugar a responsabilidades si no se adoptan medidas adecuadas para evitarla. Por ello, el uso de CCO o de herramientas profesionales de envío resulta imprescindible.

Fuentes y recursos

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *