El pasado 26 de diciembre de 2025 se publicó la Ley 10/2025, por la que se regulan los servicios de atención a la clientela, introduciendo cambios significativos en la normativa española de protección de datos. Entre estos cambios, cabe destacar la modificación del artículo 23.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y el consecuente impacto en el tratamiento de datos personales en el contexto de comunicaciones comerciales y sistemas sectoriales de gestión de preferencias.
Esta reforma responde a la necesidad de reforzar los derechos de los consumidores y garantizar un marco más transparente y seguro para la gestión de la publicidad y la atención al cliente. Esta nueva normativa, marca un antes y un después en la manera en que las empresas prestan sus servicios de atención a la clientela. Pero, antes de valorar y detenernos en las modificaciones que sufrirá nuestra LOPDGDD, es preciso contextualizar esta Ley 10/2025.
En un contexto marcado por el incremento de reclamaciones en atención al cliente y publicidad no deseada por prácticas abusivas, junto con los avances tecnológicos que permiten cada vez una mayor segmentación y personalización de las conductas de los usuarios, ha sido clara la necesidad de reforzar los derechos digitales y las garantías de los afectados, en este entorno, de los usuarios, clientes y/o consumidores.
Con la presente Ley 10/2025 el legislador ha puesto el foco en lo siguiente:
- Proteger la voluntad del consumidor frente a comunicaciones comerciales no deseadas.
- Facilitar mecanismos sectoriales para gestionar oposiciones y preferencias.
- Regular la atención al cliente para garantizar transparencia, accesibilidad y tiempos de respuesta adecuados.
Por ende, este nuevo marco normativo introduce una regulación integral en todas las fases de la relación con la clientela: fase precontractual, etapa de la gestión de consultas y reclamaciones y fase de la evaluación y auditoría posterior del servicio. Así, todas las empresas incluidas en el ámbito de aplicación de la Ley 10/2025, tienen hasta el próximo el 28 de diciembre de 2026 para adaptar sus sistemas y procesos a estos nuevos requisitos.
Y, en esta la línea, los principales cambios introducidos por la Ley 10/2025 en la LOPDGDD son los siguientes:
1.- Licitud del tratamiento para evitar comunicaciones comerciales no deseadas.
La Disposición final cuarta de la Ley 10/2025modifica el artículo 23.1 LOPDGDD estableciendo que “Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.
A tal efecto, podrán crearse sistemas de información, generales o sectoriales, por parte de las asociaciones y organismos a los que se refiere art. 40.2 RGPD que cuenten con una alta representatividad en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas. Para la creación y mantenimiento de estos sistemas se observarán las medidas que se establezcan mediante desarrollo reglamentario.”
Es decir, mientras que el anterior artículo 23.1 permitía el tratamiento de datos personales que implicaba la creación de sistemas de exclusión publicitaria para evitar el envío de publicidad, sin especificar quién podía crearlos y gestionarlos ni con qué garantías, actualmente, este nuevo artículo 23.1 LOPDGDD establece la licitud del tratamiento de datos personales para evitar el envío de comunicaciones comerciales a quienes hayan manifestado su negativa u oposición. Y, expresamente, especifica que estos sistemas solo pueden ser creados por asociaciones u organismos representativos de categorías de responsables o encargados (art. 40.2 RGPD), garantizando una mayor confianza para los usuarios y organizaciones.
De esta manera, se refuerza el principio de responsabilidad proactiva (art. 5.2 RGPD) exigiendo a las entidades tener un mayor control de las solicitudes de oposición, así como reforzar la accesibilidad a manifestar dicha oposición. Lo que acompaña que las empresas deben implementar mecanismos eficaces para registrar y respetar estas solicitudes.
Por ello, las empresas deberán revisar sus procesos internos, especialmente las áreas de Atención al Cliente en la revisión de cláusulas, autorizaciones, consentimientos y condiciones generales garantizar consentimientos informados válidos, así como el área de Marketing con la actualización de sus políticas para la gestión de solicitudes de oposición y preferencias.
Junto a esta modificación de articulado, en materia del cumplimiento del RGPD cabe destacar lo siguiente.
2.- Datos necesarios para la entrega del justificante de la consulta, reclamación o incidencia:
Con la nueva normativa se refuerza la necesidad de facilitar las solicitudes de oposición o queja, de tal manera que, quien inicie la comunicación deberá facilitar los datos necesarios para la entrega del justificante. Y, en todo momento, la empresa deberá asegurarse de recabar dichos datos por quien inicie la comunicación para poder gestionar las quejas o reclamaciones (art. 12.3 LSAC).
3.- Consentimiento expreso para las grabaciones de llamadas o videollamadas para dejar constancia de una reclamación:
En caso de que la cliente de su consentimiento expreso en una consulta, queja o reclamación, a través de una llamada telefónica, videollamada o mensajería instantánea, la empresa deberá grabar la llamada únicamente con esta finalidad e informará del medio para acceder a ella en el justificante que se remita.
Solo en estos supuestos, la empresa será responsable de conservar copia de grabación, o en su defecto, de la transcripción como mínimo hasta que la clientela sea notificada de la resolución de dicha consulta, queja, reclamación o incidencia de la que trae causa (art. 12.1.LSAC).
Además,acorde al art. 13.5 LSAC, el medio utilizado para comunicar la resolución de consultas, quejas o incidencias a la clientela debe ser el mismo por el que se presente la consulta, queja o incidencia. De tal manera que, si una reclamación se cierra a través de una llamada telefónica, videollamada o mensajería instantánea y si el cliente da su consentimiento expreso, la empresa deberá grabar la llamada únicamente con esta finalidad e informará del medio para acceder a ella en el justificante que se remita tomando las debidas precauciones respecto a los datos de carácter personal que contienen dichas grabaciones. Es decir, se refuerzan las medidas respecto a los datos personales que contengan grabaciones.
4. Creación de sistemas sectoriales compartidos:
Con la entrada en vigor de la Ley 10/2025 las asociaciones y organismos representativos pueden crear sistemas de información generales o sectoriales para gestionar las quejas, reclamaciones o incidencias. Pero, estos sistemas únicamente podrán incluir datos imprescindibles para identificar al afectado, en consonancia con el principio de minimización, artículo 5 RGPD y, podrán incorporar servicios de preferencia, permitiendo que los usuarios limiten la recepción de publicidad a determinadas empresas.
Junto a estas modificaciones y/o impacto sobre el cumplimiento del RGPD, la Ley 10/2025, entre otras, también modifica al Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios, introduciendo una serie de obligaciones que refuerzan los derechos digitales y experiencia del cliente. Así, para la contratación telefónica se exige una mayor transparencia y trazabilidad en la obtención del consentimiento y se pautan tiempos máximos de respuesta, canales accesibles y protección frente a prácticas abusivas en los servicios de atención al cliente.
En definitiva, la Ley 10/2025 supone un avance en la protección de los derechos de los consumidores y en la transparencia del tratamiento de datos personales. Y, aunque para las empresas representa un reto que exige adaptación tecnológica, organizativa y jurídica, es la oportunidad de mejorar la experiencia del cliente y reforzar la confianza en sus servicios.
Cierto es que el problema no es en sí la norma, sino su posterior cumplimiento sistemático al persistir prácticas como las cadenas de subcontratación opacas y carentes de supervisión, en las que participan encargados y subencargados del tratamiento en ocasiones difíciles de identificar y llamadas desde terceros países, suponiendo en numerosos casos estar ante transferencias internacionales de datos. Y, si sumamos las cada vez más habituales llamadas automatizadas por bots la situación se complica incrementalmente. Por ende, el cumplimiento de estas obligaciones requiere de una supervisión activa, inspecciones y sanciones efectivas. Así, aquellas organizaciones y entidades que garanticen el cumplimiento de esta nueva normativa y, en efecto, del marco normativo en protección de datos, se posicionaran como actores responsables en un entorno cada vez más regulado y orientado a la protección de datos.
De nuevo, no estamos únicamente ante el mero cumplimiento legal, sino de avanzar hacia un estándar homogéneo y exigente de calidad, evaluable y auditable y, con el foco en el respeto a los derechos fundamentales de las personas, garantizando la protección de sus datos personales.
