RGPD para email marketing: qué puedes y qué no

Envías newsletters y campañas de email a tu lista de contactos. Pero algunos contactos los añadiste sin consentimiento, compraste listas de emails, o no ofreces opción de baja clara. Estudios del sector indican que una parte significativa de las PYMEs que hacen email marketing tienen al menos una infracción del RGPD. Las multas pueden llegar hasta 20 millones de euros o el 4% de la facturación global.

Según la AEPD (2024), las denuncias por spam y email marketing no solicitado se duplicaron en 2024. No basta con añadir “darse de baja” al final del email: el consentimiento debe ser previo, explícito e informado.

¿Todos los contactos de tu lista de email marketing han dado su consentimiento explícito para recibirlos?

Qué puedes y qué no

Acción	¿Legal?	Requisito
Enviar emails a quien se suscribió	✅	Consentimiento explícito
Enviar emails a clientes sobre productos similares	✅	Interés legítimo + opt-out
Enviar emails a contactos de ferias/eventos	⚠️	Necesitas consentimiento
Comprar listas de emails	❌	Ilegal sin consentimiento individual
Enviar sin opción de darse de baja	❌	Siempre obligatorio
Pre-marcar casilla de consentimiento	❌	El consentimiento debe ser activo
Enviar emails sin identificar al remitente	❌	Obligatorio identificarse

Requisitos del consentimiento válido

Según el RGPD (artículo 7) y la AEPD (2024):

1. Libre: no condicionado a un servicio (“acepta newsletter para descargar el PDF” puede ser problemático)
2. Específico: para email marketing (no vale un consentimiento genérico de “tratamiento de datos”)
3. Informado: indicar quién envía, qué contenido y con qué frecuencia
4. Inequívoco: el usuario realiza una acción afirmativa (marcar casilla, enviar formulario)
5. Documentado: debes poder demostrar cuándo y cómo consintió

Implementar double opt-in

Paso	Qué pasa	Herramienta
1. Lead rellena formulario	Marca casilla de consentimiento	Typeform
2. Email de confirmación	”Confirma tu suscripción”	Brevo / Mailchimp
3. Lead hace clic en confirmar	Doble verificación	Automático
4. Queda registrado con fecha y hora	Prueba de consentimiento	CRM / herramienta email

Según Mailchimp (2024), las listas con double opt-in tienen un 75% menos de quejas de spam y un 20% más de engagement. El double opt-in no solo protege legalmente, mejora la calidad de tu lista.

Cuándo puedes enviar sin consentimiento (interés legítimo)

Según la LSSI (artículo 21.2), puedes enviar emails comerciales a clientes existentes sin consentimiento previo SI:

• Los datos se obtuvieron en una compra/contratación anterior
• Los emails son sobre productos/servicios similares a los contratados
• Ofreces opción de darse de baja de forma clara e inmediata
• ¿Aplica a clientes potenciales? No, solo a clientes que ya compraron

Según Garrigues (2024), esta excepción se interpreta de forma restrictiva. En caso de duda, obtén consentimiento explícito.

Automatizar el cumplimiento

Con Make:

• Nuevo suscriptor → verificar consentimiento → añadir a lista con fecha de opt-in
• Cancelación de suscripción → eliminar de todas las listas automáticamente
• Cada 6 meses → email de re-confirmación a contactos inactivos
• Solicitud de borrado → eliminar datos de todos los sistemas

Consulta nuestra guía de email marketing automatizado para flujos que cumplen la normativa.

Auditoría rápida de tu email marketing

Según AEPD (2024), revisa estos puntos ahora mismo:

1. ¿Tu formulario de suscripción tiene casilla de consentimiento?
2. ¿La casilla NO está pre-marcada?
3. ¿Informas de quién envía, qué contenido y frecuencia?
4. ¿Todos tus emails incluyen enlace de cancelar suscripción?
5. ¿Puedes demostrar cuándo y cómo consintió cada contacto?
6. ¿Tienes política de privacidad accesible desde el formulario?

Estudios del sector indican que una gran mayoría de las PYMEs fallan en al menos 2 de estos 6 puntos. La corrección tarda menos de 1 hora y te protege de multas de 4 a 5 cifras. Consulta nuestra guía de Typeform para formularios que cumplen el RGPD nativamente.

Sanciones reales en España

Según la AEPD (2024), estas son sanciones reales impuestas en España:

• CaixaBank: 6M EUR por envío de comunicaciones sin consentimiento
• Vodafone: 8,15M EUR por llamadas comerciales sin consentimiento
• EDP: 1,5M EUR por email marketing sin base legal
• PYMEs (anónimas): multas de 1.000 a 60.000 EUR por spam, listas compradas y falta de opt-out

Según Garrigues (2024), la AEPD impuso más de 400 sanciones en 2024, un 35% más que en 2023. La tendencia es claramente al alza.

Gestión de bajas: proceso automático obligatorio

Según la LSSI y el RGPD, la cancelación de suscripción debe ser efectiva de forma inmediata y sin trabas. Según Brevo (2024), el proceso correcto es:

• Enlace de cancelación visible en cada email (no escondido en letra pequeña)
• Un solo clic para darse de baja (no requerir login ni justificación)
• Confirmación inmediata de la baja
• No enviar más emails tras la baja (excepto confirmación)

Preguntas frecuentes

¿Puedo enviar emails a contactos que me dieron su tarjeta de visita? No automáticamente. Tener una tarjeta no implica consentimiento para email marketing. Envía un primer email pidiendo su suscripción voluntaria.

¿Las listas de LinkedIn son válidas para email marketing? No. Los datos de LinkedIn son para la plataforma. Usarlos para campañas de email es una infracción del RGPD y de los términos de LinkedIn.

¿Qué plazo tengo para atender una solicitud de baja? Inmediato (sin demora indebida). En la práctica, máximo 30 días, pero la baja debería ser instantánea con herramientas como Brevo o Mailchimp.

¿Las multas aplican a microempresas? Sí. El RGPD aplica a todas las empresas, independiente del tamaño. Las multas se proporcionan al tamaño, pero una PYME puede recibir sanciones de 1.000-60.000 EUR.

---

¿Tu email marketing no cumple con el RGPD y te arriesgas a multas? Agenda una consulta gratuita y te auditoramos tu email marketing para que cumpla al 100% con la normativa.