El cold email B2B en España está regulado por dos normas con preguntas distintas: el RGPD pregunta "¿puedo procesar este dato?" y la LSSI pregunta "¿puedo enviar esta comunicación?". Tener una base RGPD-compliant no te da permiso automático para enviar bajo LSSI, y al revés. Esta guía te explica cómo cumplir las dos sin renunciar a un outbound B2B funcional, y te muestra los casos reales de la AEPD para que sepas dónde está la línea entre lo aceptado y lo sancionado.
Las dos normas: RGPD y LSSI
España aplica dos marcos legales sobre el cold email. Confundirlos cuesta multas. La diferencia es simple cuando la entiendes: [CNIL]
| Norma | Pregunta que responde | Base aceptada para B2B | Multa máx |
|---|---|---|---|
| RGPD Art. 6.1.f | ¿Puedo procesar los datos del prospect? | Interés legítimo (con balanceo) | 20 M EUR / 4 % volumen global |
| LSSI Art. 21 | ¿Puedo enviarle esta comunicación? | Consentimiento previo o relación contractual previa | 150.000 EUR (graves) |
El RGPD permite construir la base de prospección B2B. El considerando 47 del RGPD establece que "el tratamiento de datos de carácter personal con fines de mercadotecnia directa puede considerarse realizado por interés legítimo". Puedes legalmente recopilar, almacenar y enriquecer datos B2B españoles si pasas el test de balanceo. Esa parte no es polémica.
La LSSI Art. 21 controla el envío en sí. Dice literalmente: "Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas." Excepciones: (a) relación contractual previa, (b) productos o servicios similares, (c) opt-out claro y accesible.
La consecuencia práctica: tener una base RGPD-compliant no te autoriza a enviar emails comerciales bajo LSSI. Necesitas cumplir las dos normas. La buena noticia: en B2B con direcciones de cargo profesional, los criterios interpretativos de la AEPD aceptan margen de interés legítimo siempre que respetes el opt-out.
Interés legítimo B2B: el análisis de balanceo (Art. 6.1.f)
El test de balanceo (LIA, Legitimate Interest Assessment) es el documento que justifica tu base legal. La AEPD lo exige en cualquier auditoría. Tres pasos: [CNIL]
Paso 1: identifica tu interés legítimo
El interés tiene que ser real, lícito, presente y específico. Ejemplos válidos en B2B:
- Promocionar tus productos o servicios B2B a empresas de un sector concreto.
- Contactar con decisores en empresas que utilizan tecnologías compatibles con tu producto.
- Hacer prospección de partners potenciales para tu programa de canal.
Paso 2: evalúa la necesidad
Demuestra que el cold email es necesario y proporcional. ¿Hay otra forma menos intrusiva de lograr el mismo objetivo? Si la respuesta es sí (por ejemplo, publicidad inbound o contenido), tu interés legítimo se debilita. Si es claramente no, refuerzas la base.
Paso 3: balanceo con los derechos del titular
Esta es la parte que la AEPD examina con más detalle. Factores a su favor (refuerzan el interés legítimo):
- Contacto en cargo profesional, no personal.
- Email corporativo en el dominio de la empresa, no Gmail personal.
- Relación profesional o sector clara entre tu producto y el suyo.
- Volumen razonable y secuencia limitada (no acoso).
- Opt-out claro, accesible y funcional en cada email.
Factores en contra (debilitan el interés legítimo):
- Email personal del prospect (no corporativo).
- Datos sensibles (salud, ideología, religión).
- Acoso por volumen o frecuencia.
- Falta de opt-out o opt-out roto.
- Producto sin relación lógica con la actividad del prospect.
LSSI Art. 21: el consentimiento y sus excepciones
La LSSI 34/2002 es más antigua que el RGPD pero sigue plenamente vigente. Su Art. 21 es el filtro real para el envío de comunicaciones comerciales electrónicas. Veámoslo claro: [CNIL]
La regla general
Prohibido enviar comunicaciones publicitarias o promocionales por email sin solicitud o autorización previa expresa.
Las excepciones (Art. 21.2)
- Relación contractual previa. Si ya eres cliente, proveedor o has firmado un contrato, puedes recibir comunicaciones sobre productos similares a los de la relación contractual.
- Opt-out claro y permanente. Cada email debe ofrecer un mecanismo simple y gratuito para oponerse al tratamiento.
El criterio interpretativo de la AEPD para B2B
La AEPD ha publicado varios criterios interpretativos sobre B2B (notablemente el informe sobre LSSI y datos profesionales). Resumen:
- Las direcciones genéricas tipo info@empresa.es, contacto@empresa.es no son datos personales bajo RGPD si no permiten identificar a una persona física. Se pueden tratar sin consentimiento expreso, siempre que se respete LSSI Art. 21 (opt-out).
- Las direcciones nominativas en función profesional (juan.perez@empresa.es) son datos personales pero pueden tratarse bajo interés legítimo si el cargo profesional está vinculado al contenido de la comunicación.
- Las direcciones personales (juan.perez@gmail.com) requieren consentimiento expreso, sin excepción.
B2B vs B2C: dónde está la línea exactamente
| Tipo de email | ¿Es dato personal? | ¿Requiere consentimiento? | Base válida |
|---|---|---|---|
| info@empresa.es, contacto@ | No (genérico) | No (opt-out suficiente) | LSSI Art. 21 + opt-out |
| juan.perez@empresa.es (cargo profesional) | Sí | No, si cargo vinculado a la comunicación | RGPD 6.1.f + LSSI opt-out |
| ventas@empresa.es, marketing@ | No (funcional genérica) | No (opt-out suficiente) | LSSI Art. 21 + opt-out |
| juan@autonomo.es (autónomo persona física) | Sí (datos personales) | Sí, salvo cargo profesional probado | Consentimiento previo |
| juan.perez@gmail.com | Sí (privado) | Sí (siempre) | Consentimiento expreso |
La regla práctica que aplicamos en Overloop sobre 1,2 millones de secuencias enviadas: cualquier dirección en dominio personal (Gmail, Hotmail, Outlook.com, Yahoo) requiere consentimiento expreso. Cualquier dirección en dominio corporativo en función profesional clara puede operar bajo interés legítimo con LSSI opt-out. Nunca mezcles bases de datos B2C con B2B. [CNIL]
Multas reales de la AEPD: dónde está el riesgo
La AEPD publica todas sus resoluciones. Aquí tienes ejemplos reales de los últimos años para calibrar el riesgo:
La AEPD sancionó a una inmobiliaria madrileña con 30.000 EUR por enviar SMS comerciales a una persona que nunca había prestado consentimiento. El argumento de la empresa fue que tenía la base legal de "interés legítimo". La AEPD lo rechazó: las comunicaciones comerciales electrónicas (incluido SMS) entran en LSSI Art. 21 y requieren consentimiento previo, no interés legítimo. Lección: el interés legítimo del RGPD no anula la LSSI.
Empresa de telecom multada por enviar publicidad a una base de datos comprada sin verificar el consentimiento. Combina infracción LSSI (envío sin consentimiento) y RGPD (tratamiento sin base legal válida). Lección: comprar bases de datos sin DPA y sin consentimiento documentado es la vía rápida a la multa.
Pyme española sancionada con 2.000 EUR porque el enlace de baja en sus emails comerciales devolvía error 404. La AEPD considera la falta de mecanismo de oposición funcional una infracción de LSSI Art. 22.2 (que regula el derecho de oposición). Lección: testea tu opt-out cada trimestre. Un 404 es el camino más fácil a la multa.
Vodafone fue sancionada con 30.000 EUR por enviar publicidad comercial a un usuario que había revocado su consentimiento dos años antes. La empresa argumentó error de sistema. La AEPD respondió que la responsabilidad del consentimiento es del responsable del tratamiento. Lección: tus sistemas tienen que respetar el opt-out 100 % del tiempo. Errores de software son tu responsabilidad.
Qué contactos puedes tratar legalmente
Para construir tu base outbound respetando RGPD + LSSI, los contactos válidos en España son:
- Direcciones genéricas públicas (info@, contacto@, ventas@, prensa@) extraídas de páginas web públicas. No son datos personales si no permiten identificar a una persona. Solo necesitas opt-out.
- Direcciones nominativas en función profesional (cargo@empresa.es, nombre.apellido@empresa.es) cuando el cargo está claramente publicado en LinkedIn, en la página web de la empresa o en directorios profesionales como CRMs B2B con DPA. Necesitas LIA + LSSI opt-out.
- Datos de empresas en registros mercantiles públicos (Borme, Registro Mercantil, BDOC). Lícito como fuente.
- Contactos de eventos profesionales donde el prospect ha consentido recibir comunicaciones (badge scan, sign-up explícito).
Lo que no puedes tratar:
- Bases de datos compradas a terceros sin DPA, consentimiento documentado y due diligence.
- Listas extraídas con scraping de redes sociales sin consentimiento (LinkedIn, Twitter scraping de emails personales).
- Emails personales (Gmail, Hotmail) sin consentimiento expreso.
- Datos extraídos de filtraciones (data breaches públicas).
5 estrategias compliant para hacer cold email B2B en España
Estrategia 1: outbound con direcciones de cargo profesional + opt-out riguroso (la más usada)
Dirige tu campaña a contactos en función profesional en empresas de tu sector ICP, con cargo público. Documenta LIA. Limita la secuencia a 4-5 emails máximo. Opt-out claro en cada email con enlace funcional y página de confirmación. Esto es lo que aplica el 70 % de equipos B2B compliant en España.
Estrategia 2: phone-first o LinkedIn-first, email después
Empieza por una llamada B2B (también regulada por LSSI Art. 21 pero con menos restricciones a B2B), o por LinkedIn (no entra en LSSI Art. 21, las invitaciones de conexión no son comerciales). Si el prospect responde y muestra interés, pides permiso para enviar más información por email. Ese consentimiento documentado es la base más sólida.
Estrategia 3: contenido inbound + opt-in explícito
Lead magnets, webinars, guías descargables con un opt-in claro y granular ("acepto recibir comunicaciones comerciales sobre [producto]"). El consentimiento es lo más limpio bajo LSSI. Útil para construir audience antes de empezar outbound.
Estrategia 4: el viejo ABM con direcciones genéricas
Contacta info@ o ventas@ de tu lista ABM. No son datos personales. Solo necesitas opt-out. Limitación: la tasa de respuesta es 3-4x más baja que con cargos personales identificados.
Estrategia 5: relación contractual previa (LSSI Art. 21.2)
Si tu prospect es ya cliente, proveedor o ha tenido relación contractual previa, puedes enviar emails sobre productos similares al de la relación contractual sin consentimiento adicional. Aplicable a expansión, cross-sell y winback.
Comparativa España vs LATAM (RGPD, LFPD, LGPD)
| País | Norma principal | Base legal B2B | Multa máx |
|---|---|---|---|
| España | RGPD + LSSI 34/2002 | Interés legítimo + LSSI opt-out | 20 M EUR / 4 % volumen |
| México | LFPDPPP (2010) | Aviso de privacidad + opt-out | ~2,2 M EUR (ANPD ~30M MXN) |
| Brasil | LGPD (2018) | Interés legítimo (similar RGPD) | 2 % facturación nacional |
| Argentina | Ley 25.326 (2000) | Consentimiento + base legitima | ~50K EUR |
| Chile | Ley 19.628 (1999, en reforma) | Consentimiento previo | ~3K EUR (en reforma) |
| Colombia | Ley 1581 (2012) | Autorización previa | ~330K EUR (2.000 SMMLV) |
| Perú | Ley 29.733 (2011) | Consentimiento previo | ~140K EUR |
Para equipos en España que prospectan LATAM, las reglas son distintas país por país. Brasil es el más cercano al RGPD (interés legítimo válido). México es más permisivo si tienes aviso de privacidad publicado. Argentina, Chile, Colombia y Perú exigen consentimiento previo más estricto. Recomendación práctica: para LATAM, mejor iniciar la relación por LinkedIn o evento, obtener consentimiento expreso, después email.
Checklist legal accionable
Antes de lanzar tu primera campaña outbound en España
- Documenta LIA (análisis de balanceo) por campaña
- Verifica que tu base de datos tiene fuente lícita (no scraping social, no data breaches)
- Limita la secuencia a 4-5 emails máximo
- Cada email incluye opt-out claro, enlace funcional y página de confirmación
- Test mensual de tu opt-out: que el enlace funcione y la baja se procese en menos de 7 días
- DPA firmado con cualquier herramienta que procese tus datos (Overloop, Apollo, HubSpot, etc.)
- Si tu herramienta aloja datos en EE. UU.: SCC + TIA documentados
- Política de privacidad actualizada con tu base legal y derechos del titular
- Procedimiento interno para responder a derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) en menos de 30 días
- Logs de envío y consentimientos archivados durante 5 años
- Persona designada como DPO (Delegado de Protección de Datos) si procede
Cómo Overloop cubre RGPD + LSSI por defecto
Esta es la parte donde puedo hablar con datos. Overloop es una plataforma de outbound B2B con sede en Bruselas, fundada en 2015. Estas son las funcionalidades que mapean directamente a las exigencias RGPD + LSSI españolas:
- Almacenamiento UE garantizado. Servidores en Bruselas. No transferencia a EE. UU. para datos B2B españoles. Sin SCC ni TIA necesarios.
- DPA firmado por defecto al activar la cuenta. Cláusulas de subencargados publicadas y actualizadas trimestralmente.
- Base legal documentada por campaña. Plantilla LIA editable, archivada con timestamp.
- Opt-out automático en cada email. Enlace de baja con página de confirmación y gestión interna en menos de 24h.
- Sincronización de listas de exclusión. Si el prospect se da de baja en una secuencia, no se le contactará en ninguna otra campaña, ni siquiera de otro vendedor en tu equipo.
- Gestión ARCO en 1 clic. Botón "Eliminar este contacto" que ejecuta cancelación completa y registra log permanente para auditoría AEPD.
- Tracking opcional desactivable. Puedes deshabilitar pixel de open-tracking para segmentos UE si tu LIA lo requiere.
- Logs durante 7 años. Historial de envíos, consentimientos, opt-outs y modificaciones de base archivado por encima del mínimo legal.
- Base de 450 millones de contactos B2B con base legal documentada (interés legítimo) y proceso de actualización continua.
- Soporte legal en castellano. Equipo basado en Bruselas, capaz de responder dudas RGPD/LSSI sin traducción.
Mercado espanol: alojamiento UE, DPA por defecto, LIA documentado, opt-out 1-clic.