El RGPD es un reglamento complejo en cuanto a su cumplimiento normativo: abarca muchos sectores, afecta a un ingente número de empresas y está presente en todo el ciclo de vida de un cliente o usuario. Pero, además, para garantizar que el tratamiento de datos se realiza según determina la normativa se han de tener en cuenta otras características como, por ejemplo el tipo de modelo empresarial en el que se puede clasificar cada compañía: B2B, B2C o B2B2C (más complejo).
En esta entrada de nuestra serie de contenidos sobre el RGPD repasamos el cumplimiento normativo del Reglamento General de Protección de Datos aplicado a estos modelos.
Modelo B2B
Cuando hablamos de negocios B2B hacemos referencia a aquellos modelos empresariales en los que “las transacciones de bienes o prestación de servicios se producen entre dos empresas”.
En este caso, las organizaciones establecen vínculos con otras compañías y, como consecuencia se generan, comparten y almacenan grandes cantidades de datos, en ocasiones de carácter personal. Algunos ejemplos son los nombres de las empresas, de sus directores o empleados, el capital, otros datos económicos e información confidencial como números de cuenta, nombres y apellidos, correos electrónicos, direcciones IP, etc. Un caso típico en el que se comparten algunos de estos datos es el intercambio de información contractual entre cualquier empresa y cualquier sector, como proveedores de bienes y/o servicios entre empresas (créditos, productos de inversión, medios de pago…).
¡Descúbrelo! NIS 2 está a punto de su aplicación real. ¿Está tu empresa preparada?
Modelo B2C
Las empresas del modelo B2C son aquellas que venden o sirven sus productos y servicios directamente a los clientes finales, sin presencia de intermediarios. Estas organizaciones manufacturan sus productos por sí mismas y los comercializan sin pasar por sistemas de distribución externos.
En este caso, al igual que el anterior, también se tratan datos personales de forma masiva, tanto de carácter identificativo (nombre, dirección postal, documento de identidad, número de teléfono, etc) como datos de carácter económico (número de tarjeta bancaria o de cuenta entre otros). En algunas ocasiones incluso se pueden enviar comunicaciones de tipo comercial, que, dependiendo del producto que se trate, pueden o no precisar del consentimiento por parte de la persona receptora.
Un ejemplo claro de este caso son las empresas de suministros de energía o de seguros, cuando solicitas el consentimiento al cliente antes de enviarle la oferta de un producto distinto al que tuvieran contratado.

Modelo B2B2C
En este tipo de modelo de negocio las empresas llegan a un consumidor final a través de otras compañías. Pero al mismo tiempo tienen la capacidad de interactuar con el cliente final a través de su propia marca. Es decir, tenemos a una empresa con modelo de negocio B2B (Business-to-Business) que se asocia con otra B2C (Business-to-Consumer). Esta sinergia implica una combinación de esfuerzos en la que el proveedor (B2B) establece una alianza comercial con sus distribuidores, mayoristas o minoristas (B2C), con el objetivo de llegar a más clientes finales.
Un ejemplo de ello son las empresas de servicios financieros que ofrecen sus productos a través de bancos o corredores de seguros.
| Modelo | Definición | Datos personales tratados | Ejemplo típico |
|---|---|---|---|
| B2B | Transacciones entre empresas | Nombres de directivos/empleados, correos, IP, datos económicos y de cuenta | Intercambio de información contractual entre proveedor y cliente empresa |
| B2C | Venta directa al cliente final, sin intermediarios | Datos identificativos (nombre, dirección, DNI) y económicos (tarjeta, cuenta) | Empresas de energía o seguros que ofrecen productos adicionales con consentimiento |
| B2B2C | Empresa B2B que llega al cliente final a través de otra B2C, manteniendo marca propia | Datos combinados de ambas relaciones; mayor complejidad de trazabilidad del consentimiento | Servicios financieros distribuidos a través de bancos o corredores de seguros |
Relación entre el RGPD y estos modelos de negocio
En cualquiera de los modelos de negocio anteriores, las empresas tienen que tratar datos de carácter personal y por tanto deben de cumplir con lo dispuesto en la normativa vigente del Reglamento General de Protección de datos, en los países y casos aplicables.
¿Quiere decir esto que una empresa no puede enviar correos electrónicos e intercambiar comunicaciones con el personal de otra compañía?
En este caso, con carácter previo, la empresa remitente tiene que verificar que puede comunicarse con esa persona conforme lo dispuesto en el RGPD. Existen seis bases legales para tratar los datos personales: consentimiento, contrato, obligación legal, intereses vitales, tarea pública e interés legítimo.
| Base legal | Qué implica | ¿Revocable por el usuario? |
|---|---|---|
| Consentimiento | El usuario autoriza expresamente el tratamiento; debe ser verifiable y custodiado | Sí, en cualquier momento |
| Contrato | El tratamiento es necesario para ejecutar un contrato con el interesado | No aplica mientras el contrato esté vigente |
| Obligación legal | El tratamiento es exigido por una norma aplicable a la empresa | No |
| Intereses vitales | El tratamiento protege la vida o integridad de una persona | No |
| Tarea pública | El tratamiento se realiza en ejercicio de funciones de interés público | No |
| Interés legítimo | La empresa tiene un interés razonable que no perjudica los derechos del interesado | El usuario puede oponerse en cualquier momento |
Bajo el interés legítimo, los datos se deben utilizar de la manera que la gente razonablemente espera, pero también tiene un impacto mínimo en la privacidad (en caso de que se infrinjan los derechos de una persona, sus derechos prevalecerán sobre el interés legítimo). Así, la compañía tendrá que asegurarse de que envían correos electrónicos a las personas adecuadas con un mensaje que les puede interesar.
En cambio, si la empresa que quiere enviar la comunicación ha obtenido un consentimiento verificable a través de un formulario de registro, por ejemplo, puede proceder sin problemas. Como responsable de tratamiento de los datos, es importante recoger el consentimiento de forma válida, y además es preciso custodiarlo. Por lo tanto, la obtención del consentimiento se tiene que realizar a través de cualquier canal que permita tener constancia de su recepción, email, llamada, y/o WhatsApp, entre otros.
Sin embargo, decidir qué base jurídica aplicar puede ser complicado y, por lo tanto, nuestra recomendación a cualquier responsable tratamiento es que consulte al delegado de Protección de Datos de su organización.
Por último, si la dirección de correo electrónico a la que se remite la información no está vinculada a ninguna persona (por ejemplo, info@company.com), puede quedar incluso fuera del alcance de los “datos personales”.
¿Qué más tenemos que considerar? En el caso de que se acuda al interés legítimo como base para el envío de comunicaciones comerciales, se tiene que facilitar que el usuario y/o cliente pueda oponerse con facilidad.
Si la base es el consentimiento, entonces la persona que recibe la comunicación tiene derecho a retirarlo en cualquier momento. Y la empresa está obligada a detener el tratamiento en cuanto esto ocurra.
Descubre nuestro post: De la atención a la acreditación: la Ley SAC (Ley 10/2025).

¿Cómo pueden cumplir las organizaciones anteriores con el RGPD?
Existen algunas claves para garantizar el cumplimiento del RGPD y, por tanto, evitar sanciones (en el caso de España, por parte de la Agencia Española de Protección de Datos, de las más activas de Europa). Estas recomendaciones son:
- Hay que aplicar el principio de minimización de datos: cuantos más tipos de datos se traten, mayor será el riesgo de incumplimiento.
- Es crucial identificar y analizar la base jurídica para el tratamiento de datos personales. Lo mejor es hacerlo junto con un profesional legal.
- Las políticas de privacidad deben ser fáciles de leer y comprender y ofrecer un acceso sencillo. Además, han de contener información correcta y permanentemente actualizada.
- Los sistemas tienen que ser revisados de forma habitual para comprobar que funcionan acordes con el RGPD.
- Se debe mantener un registro válido de consentimientos.
Nuestra solución para la gestión de consentimientos RGPD
Desde 2018, el Reglamento General de Protección de Datos (RGPD) regula el tratamiento de los datos personales de personas físicas, lo que conlleva una compleja gestión que en el MailComms Group, a través de nuestra consultoría RGPD y tecnología propia, te podemos facilitar. Nuestra solución para la gestión de consentimientos RGPD te permitirá manejar de forma integral los consentimientos durante todo el ciclo de vida del cliente.
Preguntas frecuentes
¿Qué diferencia hay entre el cumplimiento RGPD en modelos B2B y B2C?
En B2B, los datos personales tratados suelen pertenecer a directivos o empleados de otra empresa (correos, cargos, datos de contacto) dentro de una relación contractual. En B2C, la empresa trata datos personales del consumidor final de forma masiva, tanto identificativos como económicos, y con frecuencia necesita una base legal específica —consentimiento o interés legítimo— para enviar comunicaciones comerciales.
¿Cuáles son las seis bases legales del RGPD para tratar datos personales?
Las seis bases legales del RGPD son: consentimiento, contrato, obligación legal, intereses vitales, tarea pública e interés legítimo. Cada una determina qué debe demostrar la empresa y qué derechos tiene la persona cuyos datos se tratan; por ejemplo, solo el consentimiento y el interés legítimo son revocables u objetables directamente por el usuario.
¿Puedo enviar comunicaciones comerciales a un cliente sin su consentimiento?
Sí, si la empresa puede ampararse en el interés legítimo: el tratamiento debe ser algo que la persona esperaría razonablemente y con impacto mínimo en su privacidad, y siempre facilitando que pueda oponerse con facilidad. Si no existe esa base, es necesario obtener un consentimiento verificable y custodiado antes de enviar cualquier comunicación comercial.
¿Qué obligaciones tiene una empresa que opera bajo el modelo B2B2C respecto al RGPD?
En el modelo B2B2C, la empresa proveedora (B2B) y su distribuidor o socio (B2C) tratan datos del mismo cliente final desde relaciones distintas. Ambas partes deben identificar su base legal de tratamiento de forma independiente, mantener registros de consentimiento diferenciados y garantizar que la trazabilidad del consentimiento se mantiene aunque el dato pase de una empresa a otra.
¿Cómo debe gestionar una empresa el registro y la revocación de consentimientos RGPD?
El consentimiento debe recogerse a través de un canal que permita constancia de su recepción —formulario, email, llamada grabada o WhatsApp certificado— y debe poder revocarse en cualquier momento por la persona interesada. En cuanto se produce la revocación, la empresa está obligada a detener el tratamiento de esos datos de forma inmediata.
