Legal8 min de lectura

RGPD y email marketing en España: lo que exige la ley

El email marketing en España está bajo un marco legal complejo y cada vez más estricto. RGPD, LOPDGDD, LSSI-CE y Lista Robinson son obligaciones concretas que pueden costar caro si se incumplen.

Si envías campañas de email marketing desde España o diriges a audiencias españolas, no puedes ignorar la regulación de protección de datos. A diferencia de otros canales, el email está particularmente regulado: cada correo comercial debe contar con consentimiento previo del destinatario (salvo excepciones muy concretas), identificar claramente quién lo envía y facilitar un derecho de baja efectivo. El incumplimiento no es una multa abstracta — puede alcanzar miles de euros por dirección afectada.

RGPD: el marco europeo que todo remitente debe cumplir

El Reglamento General de Protección de Datos (RGPD) es la ley madre de privacidad en la UE. Para email marketing, su impacto es directo: cualquier dirección de correo es un dato personal, y el envío de un email comercial es un tratamiento de datos. Según el RGPD, ese tratamiento requiere una base legal — en la mayoría de casos, el consentimiento previo, afirmativo e informado.

El consentimiento no puede ser tácito. No basta una casilla de correo que alguien llene al comprar ni un silencio por falta de desmarcación. Debe ser explícito: típicamente un check desmarcado que dice «acepto recibir comunicaciones comerciales». Además, el usuario debe entender claramente:

  • Quién es el remitente (nombre, identidad legal, email).
  • Qué datos se tratarán (dirección de correo, preferencias, etc.).
  • Cuál es la finalidad (envío de boletines, ofertas, etc.).
  • Cuánto tiempo se conservarán esos datos.
  • Cómo puede revocar el consentimiento en cualquier momento.

El RGPD reconoce un derecho a no ser sujeto de decisiones automatizadas y a acceder, corregir o suprimir datos personales. Para email marketing, el derecho más inmediato es el de cancelación (opt-out): debe funcionar instantáneamente en cada correo.

LOPDGDD: la ley española que añade exigencias propias

España ha transpuesto el RGPD en la Ley Orgánica 3/2018 (LOPDGDD). Aunque los principios son similares, la LOPDGDD añade matices importantes. Por ejemplo, refuerza que el consentimiento para email marketing debe ser explícito y previo — no puede ser presunto ni tácito, incluso si hay una relación comercial anterior.

Un detalle clave es que la LOPDGDD permite cierta flexibilidad en el contexto empresarial: si ya eres cliente de una empresa (comprador de un producto, suscriptor de un servicio) y esa empresa quiere enviarte correos sobre productos o servicios similares, puede hacerlo sin consentimiento nuevo, pero solo bajo condiciones muy restrictivas:

  • Debe tratarse de cliente existente, no prospecto.
  • El producto/servicio debe ser «similar» al que ya compró — la empresa no puede enviar ofertas de categorías completamente distintas.
  • En el correo debe constar claramente un derecho de baja sin coste adicional, y debe funcionar al instante.
  • Aun así, el destinatario puede pedir en cualquier momento que NO reciba más correos de esa temática.

Esta excepción es muy limitada y muchas empresas la usan mal. Si tienes dudas sobre si tu caso cae dentro, lo seguro es pedir consentimiento explícito.

LSSI-CE art.21: identificación clara y derecho de baja

La Ley de Servicios de la Sociedad de la Información (LSSI-CE), específicamente su artículo 21, impone requisitos muy concretos en los correos comerciales:

  • Identificación del remitente: el correo debe mostrar claramente quién lo envía. No vale un alias vago; debe constar el nombre, la empresa, la dirección física y el correo de contacto.
  • Derecho de baja: cada correo debe incluir un mecanismo para darse de baja (opt-out) que funcione sin fricciones. Un botón desuscribirse, un enlace o un correo de respuesta son válidos.
  • No pueden disfrazarse como transaccionales: no puedes enviar un correo de marketing etiquetado como «confirmación de pedido» o similar para eludir regulación. Eso es fraude regulatorio.

El incumplimiento del art.21 es una infracción administrativa en España con multa de 30.000 € a 300.000 € (y potencialmente superior si suma reclamaciones individuales).

Documenta todo consentimiento
Guarda registros detallados: cuándo, cómo y dónde cada persona dio consentimiento. Si reclama algún usuario, la prueba de consentimiento es tu única defensa legal. Un correo de validación de email (double opt-in) es la práctica más sólida.

Lista Robinson: obligación de saneamiento previo

La Lista Robinson es un registro mantenido por ADigital (Asociación Española de Economía Digital) que recopila direcciones de correo de personas que han solicitado NO recibir comunicaciones comerciales no solicitadas. Incluirse en Lista Robinson es un derecho del usuario, y para los remitentes, consultar la lista antes de campañas masivas es obligatorio en España.

Antes de enviar cualquier campaña de email marketing, debes:

  1. Obtener consentimiento válido del destinatario (con excepciones limitadas de clientes existentes).
  2. Verificar que su dirección NO esté en Lista Robinson.
  3. Cruzar tu base de datos contra la lista (ADigital ofrece servicios de validación).
  4. Documentar el resultado: qué direcciones excluyeron, cuándo y por qué.

Ignorar Lista Robinson puede resultar en denuncias y sanciones. Es una obligación preventiva — no esperes que te avisen para cumplirla.

Base de datos inicial100%Con consentimiento explícito65%Validada contra Lista Robinson58%Direcciones activas (sin bounces)45%
Niveles de cumplimiento en email marketing regulado: consentimiento inicial, validación continuada y verificaciones de saneamiento reducen gradualmente el volumen de envíos permitido pero maximizan la legalidad.

Excepciones limitadas: email a clientes existentes

La única excepción notable al requisito de consentimiento previo es el envío de correos comerciales a clientes existentes, bajo condiciones estrictas. Si alguien compró un producto tuyo hace 6 meses, podrías enviarle información sobre productos similares sin un consentimiento nuevo — pero:

  • Cliente real: no prospecto de un evento, contacto de Red Social o compra de lista. Debe haber una transacción o una relación contractual previa.
  • Producto similar: si vendiste software, no puedes promocionar repente seguros de coches. La «similitud» la define la autoridad en caso de litigio — sé conservador.
  • Derecho de baja instantáneo: incluso siendo cliente, en cada correo debe haber un mecanismo de opt-out que funcione al momento.
  • Respetar preferencias: si el cliente se dio de baja de una categoría (ej., «no quiero correos sobre actualizaciones de seguridad»), no vuelvas a enviar.

Muchos especialistas de marketing evitan esta excepción y piden consentimiento explícito de todas formas — es más seguro legalmente y evita fricciones de cumplimiento.

Mejores prácticas: cómo estructurar email marketing legal

Para estar seguros ante RGPD, LOPDGDD, LSSI-CE y Lista Robinson, sigue este flujo:

  1. Obtén consentimiento explícito: usa un formulario o un email de confirmación (double opt-in). Guarda registro de fecha, hora, IP e método de consentimiento.
  2. Saneamiento inicial: antes de importar una lista, valida direcciones contra Lista Robinson (ya sea mediante ADigital o proveedor local).
  3. Identificación clara: cada correo debe mostrar nombre legal de la empresa, dirección física, teléfono y email de contacto. No uses alias ni dominios falsos.
  4. Derecho de baja en cada correo: un botón «desuscribirse» o un enlace en el pie visible, NO en letras microscópicas. Debe cumplirse en <10 segundos.
  5. Segmentación y relevancia: no envíes el mismo mensaje a toda la base; secciona por interés y cumple las preferencias de cada usuario.
  6. Auditoría periódica: revisa tu base contra Lista Robinson cada trimestre; elimina bounces duros (direcciones no válidas) de inmediato.
  7. Documentación: guarda: formularios de consentimiento, logs de opt-out, reports de saneamiento, resultados de DKIM/SPF (prueba de infraestructura legítima).

Además, valida que tu infraestructura SMTP sea legítima: configura SPF (Sender Policy Framework) y DKIM (Domain Keys Identified Mail) en tu dominio. Un correo que falla autenticación no solo tiene más riesgo de spam, sino que muchos filtros españoles lo rechazan por defecto.

Si usas una plataforma ESP (Brevo, Mailrelay, Acumbamail, Doppler), asegúrate de que gestionan autenticación por ti y que cumplen RGPD. La mayoría lo hacen, pero verifica que tu contrato incluye un Data Processing Agreement (DPA).

Para validar que tus correos están siendo entregados correctamente y cumplen requisitos técnicos, puedes usar check.live-direct-marketing.online — una herramienta gratuita que prueba tu email en 20+ buzones reales (Gmail, Outlook, Yandex, Movistar, etc.) y te muestra si cae en Inbox o Spam, además de validar SPF, DKIM y DMARC. Sin registro, sin limitaciones.

Resumen: cumple o paga

El email marketing en España no es una zona gris — es un espacio regulado con exigencias claras y multas reales. RGPD + LOPDGDD + LSSI-CE + Lista Robinson forman un marco que no se puede ignorar, especialmente si creces a escala.

La buena noticia: cumplir no es complicado si lo haces desde el inicio. Pide consentimiento explícito, documéntalo, identifícate bien en cada correo, facilita derecho de baja y saneа tu base regularmente. Si haces eso, reduces riesgo regulatorio casi a cero y además mejoras la relación con tus suscriptores — nadie quiere recibir spam.

¿Puedo enviar email marketing sin consentimiento previo?

No, en general no. RGPD + LOPDGDD exigen consentimiento explícito. La única excepción es si el destinatario es cliente existente y el correo trata sobre un producto similar al que ya compró. Incluso así, debe constar derecho de baja efectivo en cada correo y debes respetar sus preferencias de cancelación. Si tienes dudas, lo seguro es pedir consentimiento.

¿Qué es Lista Robinson y es obligatoria?

Lista Robinson es un registro español (mantenido por ADigital) de direcciones de correo de personas que piden no recibir comunicaciones comerciales. Consultar y respetar Lista Robinson antes de campañas masivas es una obligación legal en España. Debes validar tu base contra ella y documentar los resultados. Ignorarla puede resultar en sanciones.

¿Hay excepciones al consentimiento para emails transaccionales?

Sí, parcialmente. Correos de confirmación de pedido, restablecimiento de contraseña, facturas, etc., son transaccionales y no requieren consentimiento de marketing — pero deben ser realmente transaccionales, no disfrazados (ej., no puedes enviar una «confirmación» que sea en realidad una oferta). Además, si incluyes contenido comercial en un transaccional, debes pedir consentimiento de marketing.
Lecturas relacionadas
Found this useful? Share it
AB
Sobre el autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Comprueba tu entregabilidad en más de 20 proveedores

Gmail, Outlook, Yahoo, GMX, ProtonMail y más. Capturas reales de la bandeja de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Gratis, sin registro.

Hacer test gratis →

Tests ilimitados · Más de 20 buzones · Resultados en vivo · Sin cuenta