Legal | Negocio

¿Es legal el Cold Email en España? RGPD, LSSI y sanciones AEPD

PorJorge de los Reyes 11/10/202417/04/2026

📌 Artículo actualizado en marzo de 2026 con las últimas resoluciones de la AEPD y doctrina sobre la prevalencia del artículo 21 LSSI en contextos B2B.

Introducción

El 8 de octubre de 2024, el Comité Europeo de Protección de Datos (EDPB) publicó nuevas reglas sobre cómo usar el “interés legítimo” para tratar datos personales.

Esto es muy relevante para las personas que envían correos electrónicos de marketing en España, ya que les ayuda a entender cómo equilibrar sus necesidades comerciales con los derechos de los destinatarios.

En este artículo, explicaremos qué es el interés legítimo como base legal para enviar correos sin consentimiento expreso, los requisitos para su uso y cómo se aplica al envío de correos electrónicos a profesionales.

También veremos ejemplos de sanciones (multas) que ha impuesto la Agencia Española de Protección de Datos (AEPD) por violar estas normas y cómo se conecta con el artículo 19 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) sobre el uso de datos profesionales.

¿Qué es el Cold Email?

El “cold email” es una técnica de marketing en la que una empresa o profesional envía correos electrónicos a personas con las que no ha tenido contacto antes.

A diferencia de los correos enviados a clientes actuales o suscriptores, los cold emails buscan establecer una relación inicial o atraer a nuevos clientes.

Aunque son similares a las llamadas “en frío” (cold calling), los cold emails son más eficientes porque se envían por correo electrónico.

Sin embargo, deben cumplir con normativas como el Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Servicios de la Sociedad de la Información (LSSI) en España. Además, con el uso de herramientas tecnológicas como la inteligencia artificial o el web scraping, es importante conocer los límites legales de esta estrategia para evitar sanciones.

¿Es Legal el Cold Email en España bajo el GDPR y la LSSI?

Hacer cold email puede ser legal en España, pero hay que cumplir ciertas reglas.

Sin ánimo de realizar un análisis legal completo, es fundamental distinguir entre enviar correos a consumidores (personas) o a empresas/profesionales, ya que las normativas varían.

El GDPR permite el uso de diferentes bases legales para enviar cold emails, pero la LSSI (Ley de Servicios de la Sociedad de la Información) añade restricciones al envío de correos no solicitados.

Así por ejemplo, el artículo 21 de la LSSI prohíbe enviar correos comerciales no solicitados, a menos que se cumplan excepciones específicas relacionadas con la existencia de otra base legal acreditable. Y cita, la existencia de una relación contractual previa, siempre que los datos hayan sido captados legítimamente y se ofrezca al destinatario una forma clara y gratuita para que pueda optar por no recibir más correos en el futuro.

En resumen, cada sistema de envío de campañas de cold email debe analizarse caso por caso, dependiendo del destinatario y del contexto.

Este análisis casuístico de la base de datos, del tipo de leads y en general del tipo de campaña es fundamental para evitar responsabilidades.

Tres Requisitos Clave para Usar el Interés Legítimo

Entre las bases legales distintas al consentimiento y recogidas en el GDPR, nos encontramos con el denominado como “interés legítimo“.

Para utilizarlo como justificación legal en el envío de cold emails en España, se deben cumplir simultáneamente los siguientes requisitos:

Interés legítimo claro: El interés debe ser válido, como promocionar productos a clientes actuales. Si no hay una relación previa y se trata de consumidores, se necesitará su consentimiento.
Necesidad del procesamiento: El uso de los datos debe ser necesario. Por ejemplo, si enviar un correo es la única forma de contactar a un cliente, podría considerarse necesario, siempre que se respeten los límites de la LSSI.
Equilibrio de derechos: Hay que asegurarse de que los derechos del destinatario no se vean perjudicados por el interés comercial. Incluso si se aplica el interés legítimo, la LSSI exige que se incluya una forma fácil para que los destinatarios puedan darse de baja.

Youtube video

Cold Emailing y el Interés Legítimo en España

Aunque el interés legítimo puede ser una base válida para justificar el envío de cold emails, para un profesional no jurídico puede resultar útil e importante la clave de distinguir entre consumidores y profesionales.

En general, en España, y si quieres evitar problemas con tus campañas de cold email, será necesario obtener el consentimiento previo del destinatario si no existe una relación previa.

Muchas empresas que hacen marketing digital inspiradas en estrategias importadas de otros países como Estados Unidos o Brasil no son conscientes de estas normas, lo que puede generar problemas legales cuando los destinatarios de las mismas son europeos.

Si buscas un enfoque más seguro, lo ideal es tener una base legal clara, como una relación contractual previa, y siempre incluir una opción para que el destinatario se oponga al tratamiento de sus datos.

Jurisprudencia Reciente sobre el Interés Legítimo

Algunas autoridades de protección de datos, como la ICO (del Reino Unido), han sido más flexibles en cuanto a permitir el uso del interés legítimo para el envío de campañas con fines comerciales, siempre que se cumplan ciertas condiciones.

Sin embargo, en España, la Agencia Española de Protección de Datos (AEPD) y el Tribunal Supremo han adoptado una postura más estricta.

La AEPD ha dejado claro que, aunque el beneficio económico puede ser un interés legítimo, nunca debe ser más importante que el derecho de las personas a proteger sus datos.

El Tribunal Supremo ha respaldado esta visión, afirmando que los intereses comerciales de una empresa no pueden prevalecer sobre los derechos de los titulares de los datos.

Además, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado recientemente que los intereses comerciales, como vender datos sin el consentimiento de la persona, no siempre pueden justificarse bajo el interés legítimo.

Cold Email y Contactos Profesionales: ¿es legal?

Lo anterior, no obstante, no significa que el cold email sin consentimiento expreso sea imposible en España.

De hecho, el artículo 19 de la LOPDGDD permite el tratamiento de datos de contacto de empresarios individuales y profesionales liberales amparándose en el interés legítimo. Esto podría facilitar el envío de “cold emails” bajo ciertas condiciones a contactos profesionales sin necesidad de consentimiento, siempre que se cumplan ciertos requisitos como que:

Los datos utilizados sean necesarios para localizar al destinatario en su entorno profesional.
Los correos tengan un objetivo relacionado con la actividad profesional del destinatario.
El envío de correos se dirija a profesionales y empresarios y los datos de contacto están vinculados a su trabajo.

En definitiva, como es ya acostumbrado, resulta esencial que estos correos se estructuren dentro de un marco legal riguroso, respetando siempre los derechos de los destinatarios y sus expectativas razonables de recepción de correo electrónico.

Importante: el artículo 19 LOPDGDD no anula el artículo 21 LSSI

Un error frecuente es pensar que, como el artículo 19 de la LOPDGDD permite tratar datos profesionales sin consentimiento, también se pueden enviar correos comerciales libremente a esos contactos. No es así.

El artículo 19 legitima el tratamiento de datos (recopilarlos, almacenarlos, consultarlos), pero el envío de comunicaciones comerciales electrónicas se rige por el artículo 21 de la LSSI, que no distingue entre B2B y B2C.

La AEPD viene entendiendo que, incluso en contextos B2B, el envío masivo no solicitado por email es sancionable si tiene finalidad promocional. Por tanto, tener datos profesionales legítimamente tratados no equivale a tener permiso para enviarles correos comerciales.

¿Puedo enviar un email “solo para pedir permiso”?

La AEPD ha sido clara en múltiples procedimientos sancionadores: un correo cuyo único objeto es solicitar autorización para enviar publicidad futura ya es, en sí mismo, una comunicación comercial.

¿Por qué? Porque tiene finalidad promocional indirecta, persigue abrir un canal comercial y forma parte de una estrategia de captación. Por tanto, no se puede utilizar un email para solicitar el consentimiento si previamente no existe base jurídica para contactar.

La recomendación práctica es recoger el consentimiento por otras vías: formularios web, descarga de recursos, eventos, contacto presencial o telefónico en determinados supuestos B2B.

Ejemplos de Sanciones por Cold Emailing

La Agencia Española de Protección de Datos ha impuesto varias sanciones a empresas por utilizar datos personales de forma incorrecta en campañas de cold email. Las sanciones por infracción del artículo 21 de la LSSI se clasifican como leves (hasta 30.000€) o graves (hasta 150.000€). Si además se vulnera el RGPD, las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación global. En la práctica, los casos más habituales de cold email se resuelven con sanciones de entre 1.000 y 5.000 euros, aunque la reincidencia puede multiplicarlas significativamente (se han visto sanciones de 12.000€ por reincidencia en un mismo expediente).

Veamos algunos ejemplos habituales, de cuantía reducida, y que suelen ser los casos más comunes.

Multa de 2.000€ por Enviar Correos sin Consentimiento a Consumidor en la Lista Robinson

Se multó con 2.000 euros a la empresa Gestión de Patrimonios Anfipolis SL por enviar un correo publicitario a una persona que no era cliente, no había solicitado información y que además estaba registrada en la Lista Robinson (un directorio para no recibir publicidad).

Para mayor gravedad, la empresa no ofreció la opción de darse de baja del correo, lo cual es obligatorio. Ver expediente

Cold Email sin Consentimiento y Enlace de Baja Inoperativo sancionado

MAPEX AGENCIA CONSULTING, S.L. fue sancionada con 1.000€ por enviar un correo comercial no solicitado a una empresa sin tener una relación previa ni el consentimiento del destinatario.

Como añadido, el enlace para darse de baja no funcionaba, lo que impidió al destinatario oponerse al envío. Ver expediente

Sanción de 2.500€ por Enviar Correos Publicitarios sin Consentimiento en España

A la compañía Línea Directa Aseguradora, S.A. se le impuso una multa de 2.500€ por enviar correos comerciales sin haber obtenido el consentimiento del destinatario, lo que violaba el artículo 21 de la LSSI.

Adicionalmente, no pudieron demostrar que el destinatario hubiera dado su consentimiento. Ver expediente

Multa por Enviar Cold Emails a Correos Captados en Redes Sociales como Instagram

La AEPD sancionó con 1.000 euros a SokMedia por enviar un correo comercial sin consentimiento, promocionando servicios de Instagram.

Los datos del destinatario se obtuvieron de su perfil público en la red social, y el correo no incluía una opción válida para oponerse o darse de baja. Ver expediente

Sanción de 5.000€ por Seguir Enviando Correos Tras Solicitud de Baja

La AEPD multó con 5.000€ a una empresa que continuó enviando correos comerciales a una clienta que había solicitado la baja en múltiples ocasiones. La empresa no solo incumplió el artículo 21 de la LSSI, sino que además dificultó el proceso de cancelación. La sanción fue ratificada en recurso de reposición. Ver expediente

Herramientas como Apollo, Instantly o Lemlist: ¿son legales?

En los últimos años se han popularizado herramientas de automatización de cold email como Apollo.io, Instantly, Lemlist o Woodpecker. Muchas ofrecen funciones de scraping de contactos (LinkedIn, bases de datos públicas) y envío automatizado a gran escala.

Es importante entender que la herramienta en sí no es ilegal, pero el uso que se le da puede serlo. Si utilizas estas plataformas para:

Scrapear correos de LinkedIn, Instagram u otras redes: incumples sus términos de servicio y posiblemente el RGPD (el dato sea público no autoriza su uso comercial).
Enviar correos masivos sin consentimiento previo a ciudadanos europeos: vulneras el artículo 21 de la LSSI.
Crear múltiples cuentas de correo para evadir filtros antispam: es un indicador claro de que la actividad no es legítima.

Además, el responsable legal es siempre el anunciante (quien se beneficia del envío), no la agencia o la herramienta. Si contratas a una agencia que utiliza estos métodos, las sanciones recaerán sobre tu empresa.

Conclusión sobre la Legalidad del Cold Email en España

El cold emailing puede ser legal en España, pero es crucial cumplir con las normativas.

Un criterio que puede ayudar a los perfiles no jurídicos es diferenciar entre correos a consumidores y a empresas. Aunque sin olvidarnos de que las empresas y empresarios individuales, también pueden operar en el tráfico jurídico como consumidores.

Para los personas físicas que son consumidores, generalmente se requiere su consentimiento previo, mientras que en el caso de contactos profesionales, el artículo 19 de la LOPDGDD permite el tratamiento de sus datos bajo interés legítimo, pero esto no equivale a poder enviarles comunicaciones comerciales por email sin cumplir el artículo 21 de la LSSI. Analiza siempre tu caso concreto con asesoramiento legal especializado.

Consejos para Evitar Problemas en Tu Próxima Campaña de Cold Email

Para abogados o profesionales del derecho, este tema puede parecer sencillo, pero los tecnicismos pueden ser confusos para marketers o consultores.

Aquí tienes algunas claves para evitar problemas en tus campañas de email marketing en Europa:

Consulta a expertos: Asegúrate de que todas tus estrategias comerciales cumplan con la normativa. Un mal uso del email marketing puede traer problemas serios.
Correos a empresas o profesionales: Aunque el artículo 19 de la LOPDGDD permite tratar datos de contacto profesional bajo interés legítimo, recuerda que el artículo 21 de la LSSI no distingue entre B2B y B2C. La AEPD sanciona envíos masivos no solicitados incluso entre empresas. Analiza tu caso concreto con un abogado antes de lanzar campañas.
Correos a consumidores: Generalmente necesitarás el consentimiento explícito. Otras bases legales son más complicadas de aplicar. Ten cuidado con herramientas de IA o scraping que prometen “leads gratis”.
Directrices del EDPB: No confíes solo en el interés legítimo. Documenta bien tus procesos y protege los derechos de los destinatarios. Consulta las guías especializadas para más detalles.
Riesgos: El incumplimiento puede resultar en multas y dañar la reputación de tu empresa. Las sanciones son públicas y fácilmente accesibles en internet.

En definitiva, para asegurarte de que tus campañas de cold emailing cumplen con todas las normativas, no intentes hacer todo por tu cuenta y pide ayuda.

Te recomiendo tratar el asunto en una consultoría personalizada, donde podrás analizar tu caso concreto con un profesional que te ayude a alinear tu estrategia de captación con el RGPD, la LSSI y la LOPDGDD.

Recuerda, cumplir con la normativa no solo protege a tus destinatarios.

También salvaguarda tu negocio y protege la reputación de tu marca personal y corporativa.

Jorge de los Reyes

Abogado y consultor de negocios digitales. Ayudo a empresas, emprendedores y creadores a crecer con seguridad jurídica, criterio estratégico e implementación práctica de IA. En En Busca del Fuego combino derecho, negocio y tecnología para convertir decisiones complejas en próximos pasos claros.

Inteligencia Artificial | Legal

Responsabilidad de un agente IA: quién paga si mete la pata
PorJorge de los Reyes 04/05/2026

Si un agente de IA promete un descuento o comete un error con un cliente, no paga la máquina. Quién responde y cómo reducir el riesgo.

Leer más Responsabilidad de un agente IA: quién paga si mete la pata
Inteligencia Artificial | Legal | Negocio

5 tareas que puedes delegar a agentes de IA hoy
PorJorge de los Reyes 30/04/2026

Agentes de IA para newsletter, research, reporting, calendario y WordPress. Casos reales, ahorro de tiempo y riesgos legales que debes revisar.

Leer más 5 tareas que puedes delegar a agentes de IA hoy
Inteligencia Artificial | Legal

AI poisoning: cómo las empresas engañan a tu IA para que las contrates
PorJorge de los Reyes 27/04/2026

AI poisoning: empresas reales ya están manipulando la memoria de asistentes de IA para recomendarse sin avisarte. Así funciona, qué riesgos legales tiene y cómo detectarlo.

Leer más AI poisoning: cómo las empresas engañan a tu IA para que las contrates
Inteligencia Artificial | Legal | Negocio

Código generado por IA: quién es el dueño y qué riesgo legal asumes
PorJorge de los Reyes 23/04/202613/04/2026

Si programas con ChatGPT, Copilot o Claude, ojo: el código generado por IA puede quedar sin copyright y meterte en un problema legal serio.

Leer más Código generado por IA: quién es el dueño y qué riesgo legal asumes
Inteligencia Artificial | Legal | Negocio

En España esto sería ilegal: un chaval de 15 años ya vende agentes de IA
PorJorge de los Reyes 20/04/202613/04/2026

Un menor no puede vender agentes de IA en España como sí ocurre en Texas. El problema de fondo es legal, estratégico y mucho más cercano de lo que parece.

Leer más En España esto sería ilegal: un chaval de 15 años ya vende agentes de IA
Inteligencia Artificial | Negocio

FluentPlayer convierte tus vídeos en máquinas de venta (review completa)
PorJorge de los Reyes 13/04/2026

Review completa de FluentPlayer, el nuevo reproductor de video interactivo para WordPress. Formularios, anuncios propios, hotspots, contenido dinamico y mas.

Leer más FluentPlayer convierte tus vídeos en máquinas de venta (review completa)

Deja una respuesta Cancelar la respuesta