Email marketing legal: lo que exige el RGPD y la LSSI
← Blog
Protección de datos

Email marketing legal: lo que exige el RGPD y la LSSI

La regla de oro del email comercial, en dos frases

En España no se puede enviar publicidad por correo electrónico sin el consentimiento previo y expreso del destinatario, con una única excepción: que sea ya cliente tuyo y le escribas sobre productos o servicios similares a los que contrató (artículo 21 de la LSSI). Además, cada envío debe identificarte como remitente y ofrecer una forma sencilla y gratuita de darse de baja.

El email marketing legal no depende de una sola norma sino de dos que actúan a la vez: el RGPD, porque una dirección de correo de una persona física es un dato personal, y la LSSI (Ley 34/2002), que regula específicamente el envío de comunicaciones comerciales por vía electrónica. Cumplir una e ignorar la otra es el error más común. Vamos por partes.

Consentimiento frente a interés legítimo: qué base necesitas

Bajo el RGPD, todo tratamiento necesita una base jurídica del artículo 6. Para el marketing, las candidatas son dos:

  • Consentimiento (artículo 6.1.a): la persona acepta, mediante una acción afirmativa clara, recibir tus comunicaciones. Es la base estándar para una newsletter.
  • Interés legítimo (artículo 6.1.f): el propio RGPD reconoce en su considerando 47 que el marketing directo puede constituir un interés legítimo. Pero cuidado con la lectura optimista: esa puerta la cierra en gran parte la LSSI para el canal email.

Y es que la LSSI es más estricta que el RGPD en este punto. Su artículo 21.1 prohíbe el envío de comunicaciones publicitarias o promocionales por correo electrónico o medios equivalentes (SMS, mensajería) que no hayan sido solicitadas o expresamente autorizadas por el destinatario. Da igual que tu interés legítimo estuviera bien ponderado a efectos del RGPD: si no hay consentimiento ni excepción de cliente, el envío infringe la LSSI.

¿Dónde queda entonces el interés legítimo en email? Esencialmente dentro de la excepción del 21.2 (la relación contractual previa hace de soporte) y en el marketing postal o telefónico, que tienen reglas distintas. Para email a personas, la regla operativa es simple: consentimiento o cliente previo. No hay tercera vía.

Un matiz B2B que genera dudas: la LOPDGDD (artículo 19) presume amparado en interés legítimo el tratamiento de los datos de contacto de profesionales y empleados de empresas para relacionarse con la empresa en la que prestan servicios. Eso facilita la prospección comercial B2B a efectos del RGPD, pero el envío del email publicitario sigue pasando por el filtro del artículo 21 de la LSSI, así que la prudencia jurídica sigue siendo la norma.

La excepción del cliente previo (artículo 21.2 LSSI)

Puedes enviar emails comerciales sin consentimiento expreso cuando se cumplan todas estas condiciones a la vez:

  1. Existe una relación contractual previa: la persona te compró o contrató algo.
  2. Obtuviste sus datos de contacto lícitamente, en el marco de esa relación.
  3. Le escribes sobre productos o servicios de tu propia empresa similares a los que contrató. Vendiste una cafetera: puedes hablarle de café y descalcificador, no de un curso de inglés de un tercero.
  4. Le diste la posibilidad de oponerse al uso comercial de su email en el momento de la recogida de los datos y se la ofreces de nuevo en cada comunicación, mediante un procedimiento sencillo y gratuito.

Si falla cualquiera de las cuatro patas, vuelves a la regla general: consentimiento previo y expreso.

Qué debe tener cada email que envías

Independientemente de la base que uses, todo envío comercial debe cumplir unos mínimos de contenido (artículos 20 y 21 de la LSSI más el deber de información del RGPD):

  • Identificación clara del remitente: la comunicación debe ser claramente identificable como comercial y la persona física o jurídica en cuyo nombre se realiza, perfectamente identificable. Nada de remitentes opacos ni asuntos que disfrazan publicidad de mensaje personal.
  • Naturaleza publicitaria reconocible: que el destinatario sepa que es publicidad nada más verlo.
  • Mecanismo de baja sencillo y gratuito: un enlace de "darse de baja" funcional en cada email, y una dirección electrónica válida donde revocar el consentimiento. La baja debe atenderse de forma efectiva: seguir enviando tras una baja es de los motivos de denuncia más frecuentes.
  • Información de protección de datos: quién trata los datos, con qué finalidad y cómo ejercer los derechos, al menos por referencia a tu política de privacidad. El derecho de oposición al marketing directo es incondicional: si alguien se opone, se acabó (artículo 21.2 y 21.3 del RGPD).

Listas compradas: por qué son ilegales en la práctica

Comprar o alquilar bases de datos de emails "segmentados y legales" es la trampa clásica. El problema es estructural: el consentimiento del RGPD debe ser específico e informado, prestado para que (o categorías de empresas claramente identificadas en el momento de consentir) envíes comunicaciones. Un consentimiento genérico dado a un desconocido hace años no te cubre, y además te toca a ti demostrar que existe (artículo 7.1 del RGPD): cosa que con una lista comprada no puedes hacer.

Resultado: envías sin consentimiento válido (infracción LSSI) y tratas datos sin base jurídica (infracción RGPD), con la prueba del delito en tu propia herramienta de mailing. A esto se suma la obligación del artículo 23 de la LOPDGDD de consultar los sistemas de exclusión publicitaria (como la Lista Robinson) antes de hacer marketing directo: las listas compradas rara vez vienen filtradas contra ellos.

La alternativa legal y aburrida de siempre: construir tu propia lista con formularios correctos. Casilla no premarcada, texto que diga claramente qué recibirá la persona, y registro de fecha, origen y texto del consentimiento. El doble opt-in (email de confirmación con enlace) no es obligatorio, pero es la mejor prueba de consentimiento que existe y filtra direcciones falsas.

Sanciones: qué te juegas

Las infracciones del email comercial se sancionan principalmente por la LSSI:

ConductaCalificaciónMulta
Envío puntual de comunicaciones comerciales no consentidasLeveHasta 30.000 euros
Envío masivo, o más de tres envíos a un mismo destinatario en un añoGraveDe 30.001 a 150.000 euros
No ofrecer o no atender la baja, ocultar la identidad del remitenteLeve o grave según el casoMismos rangos

Y en paralelo, si tratas los datos sin base jurídica válida o ignoras una oposición, la conducta puede sancionarse por el RGPD, cuyo segundo nivel llega a 20 millones de euros o el 4% de la facturación global (con importes proporcionados para pymes, como explicamos en sanciones de la AEPD). La AEPD sanciona con regularidad el spam y las bajas ignoradas; sus resoluciones son públicas en aepd.es.

  1. Formulario de alta con casilla no premarcada y descripción clara de qué se recibirá.
  2. Enlace a la política de privacidad junto al formulario, con la información del RGPD.
  3. Registro probatorio del consentimiento: quién, cuándo, desde dónde y qué texto aceptó (el doble opt-in lo resuelve de fábrica).
  4. Para clientes sin consentimiento expreso: verifica que cumples las cuatro condiciones de la excepción del artículo 21.2 (relación contractual, datos lícitos, productos similares, oposición ofrecida desde el inicio).
  5. Remitente identificado y carácter comercial reconocible en cada envío.
  6. Enlace de baja funcional, sencillo y gratuito en cada email, y proceso interno que ejecute las bajas de inmediato.
  7. Contrato de encargado de tratamiento (artículo 28 RGPD) con tu plataforma de mailing y, si está fuera de la UE, transferencias internacionales cubiertas.
  8. Consulta de listas de exclusión publicitaria antes de campañas de prospección.
  9. Procedimiento para atender oposiciones y solicitudes de supresión en el plazo de un mes (así se hace).
  10. Nada de listas compradas. En serio.

Si captas suscriptores desde tu web, recuerda que el formulario convive con otra pieza regulada: el banner de cookies. Repasa qué exige la ley de cookies en 2026, porque la AEPD revisa ambas cosas en la misma visita.

Preguntas frecuentes

¿Puedo enviar emails comerciales a mis clientes sin pedirles permiso?

Sí, bajo la excepción del artículo 21.2 de la LSSI: si existe relación contractual previa, los datos se obtuvieron lícitamente, hablas de productos o servicios similares de tu empresa y ofreces la baja tanto al recoger los datos como en cada envío. Fuera de ese supuesto, necesitas consentimiento previo y expreso.

¿El interés legítimo me sirve para enviar newsletters?

Para el canal email, en la práctica no, salvo el caso de cliente previo. Aunque el RGPD reconoce el marketing directo como posible interés legítimo, la LSSI exige consentimiento o relación contractual previa para los envíos electrónicos, y es la norma específica del canal.

¿Qué pasa si compro una base de datos de emails?

Que no podrás acreditar un consentimiento válido para tus envíos: infringes la LSSI con cada email y el RGPD por tratar datos sin base jurídica. Las multas LSSI van de hasta 30.000 euros (envío puntual) a entre 30.001 y 150.000 euros (envío masivo), y la denuncia es gratuita para cualquier destinatario molesto.

¿Es obligatorio el doble opt-in?

No, ninguna norma lo exige expresamente. Pero el RGPD te obliga a poder demostrar el consentimiento (artículo 7.1), y el doble opt-in es la forma más sólida y automatizable de hacerlo. Por eso lo recomendamos como estándar en cualquier newsletter.

Formularios, textos de consentimiento, contratos con tu plataforma de mailing y protocolo de bajas: todo eso forma parte de una adecuación bien hecha. Nuestro servicio de cumplimiento legal cubre RGPD, LOPDGDD y LSSI desde 249 euros al año, incluyendo la revisión de tus comunicaciones comerciales. Cuéntanos cómo captas y envías y te decimos qué corregir.

← Volver al blogCuéntanos tu caso →