Back to Blog
Legal

Cold Email B2B Legal en España 2026: Guía Completa LSSI + GDPR

junio 202610 min read
Cold Email B2B Legal en España 2026: Guía Completa LSSI + GDPR

El cold email B2B en España es legal, pero solo si se hace bien. La mayoría de equipos de ventas operan en una zona gris porque no han leído ni la LSSI ni el GDPR a fondo. Esta guía resuelve esa carencia con criterio técnico y aplicación práctica.

Vas a salir de este artículo sabiendo exactamente qué puedes hacer, qué no, y cómo construir una secuencia que aguante una inspección de la AEPD. Sin rodeos legales innecesarios.

1. El marco legal: LSSI-CE, GDPR y LOPDGDD

El cold email en España se rige por tres normas concurrentes. La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) regula las comunicaciones comerciales electrónicas. El Reglamento (UE) 2016/679 (GDPR) regula el tratamiento de datos personales. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta el GDPR al marco español.

La pregunta clave no es "puedo enviar cold emails" sino "tengo base legal para tratar el dato y cumplo los requisitos formales de la LSSI". Son dos capas distintas que muchos equipos confunden.

2. El artículo 21 LSSI: la regla del consentimiento previo

El artículo 21.1 LSSI prohíbe el envío de comunicaciones comerciales por correo electrónico que no hubieran sido solicitadas o expresamente autorizadas por el destinatario. Esto suena a "todo prohibido", pero hay una excepción crítica en el artículo 21.2.

La excepción permite enviar comunicaciones comerciales cuando exista una relación contractual previa y se trate de productos o servicios similares a los contratados. No aplica a cold email puro a contactos nunca antes contactados.

Entonces, ¿cómo se hace cold email legal? La respuesta está en una interpretación matizada: el artículo 21 LSSI aplica a personas físicas. Cuando el destinatario es una persona jurídica o un profesional actuando en su rol profesional (info@empresa.com, ventas@empresa.com), la doctrina mayoritaria entiende que no se aplica el régimen restrictivo del artículo 21.

3. B2B puro vs B2C: la frontera real

La AEPD ha matizado en varias resoluciones que el email profesional asociado a un puesto (juan.perez@empresa.com) sigue siendo un dato personal porque identifica a una persona física. Sin embargo, el tratamiento puede ampararse en el interés legítimo del artículo 6.1.f) GDPR si se cumplen ciertos requisitos.

  • El email debe pertenecer a un rol profesional en una empresa, no a una cuenta personal
  • El mensaje debe tener relación clara con la actividad de la empresa destinataria
  • No debe haber expectativa razonable de privacidad sobre ese contacto
  • Debes haber hecho el test de ponderación (interés legítimo vs derechos del interesado)
  • El destinatario debe poder oponerse de forma fácil e inmediata

Si envías a una persona física en su rol B2C (un consumidor, un autónomo en su email personal, una cuenta @gmail.com), no hay base legal posible sin consentimiento previo. Eso es cold email ilegal en España.

4. El interés legítimo: la base legal del cold email B2B

El considerando 47 del GDPR menciona expresamente el marketing directo como una actividad que puede ampararse en interés legítimo. Pero hay que documentarlo. La AEPD exige un test de ponderación (LIA, Legitimate Interest Assessment) por escrito antes de iniciar la campaña.

El test debe cubrir tres pasos: identificar el interés legítimo (vender un servicio relevante para la actividad del destinatario), evaluar la necesidad (no hay alternativa menos intrusiva), y balancear con los derechos del interesado (impacto mínimo, derecho de oposición claro).

5. Requisitos formales obligatorios del email

Independientemente de la base legal, todo cold email B2B en España debe incluir los siguientes elementos para cumplir con el artículo 20 LSSI y los artículos 13 y 21 GDPR.

  • Identificación clara del remitente: nombre comercial, razón social y NIF/CIF
  • Identificación inequívoca del carácter comercial del mensaje (palabra "Publi" o equivalente en el asunto, según la AEPD ya no es obligatorio en B2B puro pero recomendable)
  • Mecanismo de oposición/baja gratuito y sencillo (enlace de un clic, no formulario largo)
  • Información sobre cómo se obtuvo el dato (fuente pública, scraping, base de datos comercial)
  • Enlace a la política de privacidad con detalle del tratamiento
  • Datos de contacto del responsable del tratamiento (email del DPO si lo hay)

6. Plantilla de cold email LSSI-compliant

A continuación un esqueleto real que cumple los requisitos. Sustituye los corchetes por tus datos.

Asunto: [Propuesta breve y honesta, sin clickbait]

Hola [Nombre], soy [Tu nombre] de [Empresa]. Te escribo porque he visto que [contexto específico sobre la empresa destinataria que justifica el envío]. En [Empresa] ayudamos a [vertical] a [resultado concreto]. Si te encaja, ¿tendrías 15 minutos esta semana para una primera conversación?

Pie obligatorio: [Empresa], [Razón social], CIF [XXX], dirección postal. Hemos obtenido tu email de [fuente]. Tratamos tus datos bajo la base legal del interés legítimo del artículo 6.1.f) GDPR. Puedes oponerte en cualquier momento haciendo clic aquí [enlace baja un clic] o escribiendo a privacidad@empresa.com. Más información en nuestra política de privacidad [enlace].

7. Sanciones reales: lo que dicen las resoluciones AEPD

Las multas por incumplimiento de la LSSI van de 30.001 a 150.000 euros para infracciones graves (artículo 39 LSSI). En GDPR pueden llegar al 4% de la facturación global o 20 millones, lo que sea mayor.

En 2024 la AEPD sancionó a una empresa de SaaS con 40.000 euros por enviar cold emails sin enlace de baja funcional. En 2025 hubo varias resoluciones de 20.000-60.000 euros por falta de información sobre origen de los datos. La media de las sanciones por cold email mal hecho en 2025 fue de 35.000 euros.

Las denuncias más comunes vienen de destinatarios que reciben varios emails de la misma empresa sin haber pedido baja, o de empresas que reciben cold emails con contenido genérico sin relación clara con su actividad.

8. Casos prácticos: qué sí y qué no

Caso 1: envías un email a ventas@empresaXYZ.es ofreciendo tu software de gestión de leads. La empresa destinataria es una agencia B2B de 30 empleados. Hay test de ponderación documentado. Email cumple todos los requisitos formales. Legalidad: ALTA.

Caso 2: envías un email a juan.perez@gmail.com porque le viste en LinkedIn como Director Comercial. Aunque está actuando en rol profesional, la cuenta es personal y consumer. No hay base legal sólida. Legalidad: BAJA, alto riesgo de sanción.

Caso 3: envías 5 emails de seguimiento sin recibir respuesta, sin que el destinatario haya pedido baja. Si no hay oposición expresa, la insistencia razonable es tolerada. Pero más de 3-4 toques sin respuesta empieza a considerarse acoso. Legalidad: MEDIA-BAJA.

9. Tratamiento del enlace de baja

El enlace de baja debe cumplir cuatro requisitos no negociables. Debe ser visible (no oculto en gris claro), funcional (que el clic ejecute realmente la baja), inmediato (procesado en menos de 72 horas según práctica AEPD), y gratuito (sin solicitar datos adicionales más allá del email).

Mantén un registro auditado de las bajas con timestamp. Si una persona pide baja y vuelves a contactarla por cualquier vía, la sanción es prácticamente automática.

10. Checklist final de cumplimiento

  • Test de ponderación de interés legítimo documentado por escrito
  • Base de datos solo con emails profesionales B2B, no cuentas personales
  • Identificación completa del remitente en cada email (nombre, CIF, dirección)
  • Mención clara del origen del dato
  • Enlace de baja funcional, visible y de un solo clic
  • Política de privacidad accesible con detalle del tratamiento
  • Registro de bajas con timestamp y respeto inmediato
  • Plantillas con contexto específico, no envíos masivos genéricos
  • Máximo 3-4 toques de seguimiento sin respuesta
  • Procedimiento interno para gestionar derechos GDPR (acceso, rectificación, supresión)
  • Contrato con el proveedor de email marketing si tratas datos en su infraestructura
  • DPO designado si la actividad de tratamiento lo requiere

11. Herramientas que ayudan a cumplir por defecto

Plataformas como Singularity Leads automatizan gran parte de este cumplimiento: filtran fuentes que solo capturan emails profesionales B2B, generan los textos legales obligatorios en el pie automáticamente, gestionan el opt-out de un clic con registro auditado y aplican el test de ponderación a cada campaña antes de envío. No sustituye al asesoramiento legal pero reduce la superficie de riesgo a la mínima razonable.

12. Conclusión

El cold email B2B en España es legal cuando se trata de contactos profesionales puros, hay test de ponderación documentado, cumples los requisitos formales del email y respetas la oposición inmediata. No es una zona gris si haces los deberes.

La diferencia entre una multa de 40.000 euros y una campaña limpia está en los detalles que esta guía cubre. Imprime el checklist, audita tus secuencias actuales y corrige lo que falte antes del próximo envío.

Ready to Transform Your Business?

Let's discuss how AI automation can generate measurable ROI for your company in the next 6 weeks.