RGPD, LSSI-CE y entregabilidad: Guía para email marketers en España (2026)

Las prácticas de correo electrónico conformes al Reglamento General de Protección de Datos (RGPD) y LSSI-CE, como el consentimiento explícito, la precisión de los datos, las bajas inmediatas y el envío autenticado, reducen las tasas de quejas por spam, las tasas de rebote y el riesgo de acabar en listas negras. Sin embargo, la mayoría de las empresas tratan el RGPD como un problema legal que deben delegar en el equipo jurídico. 

A menudo se limita este asunto a firmar un acuerdo de tratamiento de datos (DPA), añadir un enlace para darse de baja, marcar la casilla y seguir adelante. Sin embargo, este enfoque pasa por alto un aspecto importante: los comportamientos que exige el RGPD son los mismos que utilizan los proveedores de bandejas de entrada para decidir si los correos electrónicos deben ir a la bandeja de entrada o a la carpeta de spam.      

Las organizaciones que tratan el RGPD como un estándar de calidad terminan teniendo una mejor reputación como remitentes y, como resultado, una mayor tasa de entrega en la bandeja de entrada.

Esta guía explica lo que el RGPD exige a los remitentes de correo electrónico, por qué esos requisitos se corresponden con las mejores prácticas de entregabilidad y qué debe tener en marcha para cumplir con la normativa y, al mismo tiempo, mantener tus correos electrónicos donde deben estar.

¿No estás seguro de si tus correos electrónicos llegan a la bandeja de entrada? Realiza la prueba de entregabilidad gratuita de Warmy.

¿Qué es el RGPD y a quién se aplica?

El Reglamento General de Protección de Datos (RGPD) es un reglamento de la UE que entró en vigor el 25 de mayo de 2018. Regula cómo las organizaciones recopilan, tratan y almacenan los datos personales de las personas ubicadas en el Espacio Económico Europeo (EEE).

Los «datos personales» incluyen las direcciones de correo electrónico. Por lo tanto, cualquier organización que envíe correos electrónicos a contactos con sede en el EEE, independientemente de dónde tenga su sede la propia organización, debe cumplirlo.

El reglamento es aplicado por las autoridades nacionales de protección de datos (APD) de cada Estado miembro de la UE, bajo la supervisión del Comité Europeo de Protección de Datos (CEPD).

Las sanciones máximas ascienden a 20 millones de euros o al 4 % de la facturación global anual, lo que sea mayor. No se trata de cifras teóricas. Las medidas coercitivas han dado lugar a multas significativas en todos los sectores.

Marco regulatorio específico para España: la LSSI-CE

Si tu empresa opera en España o envía correos electrónicos a contactos ubicados en territorio español, el RGPD no es la única norma que debes tener en cuenta. En España, el marketing por correo electrónico está regulado también por la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), disponible en el BOE (BOE-A-2002-13758), en su última actualización consolidada de enero de 2025.

La LSSI-CE es la transposición española de la directiva europea sobre privacidad y comunicaciones electrónicas, y establece una prohibición clara en su artículo 21: “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otros medios electrónicos equivalentes que no hayan sido previamente solicitadas o expresamente autorizadas por el destinatario”. 

Este es el régimen de «opt-in» que se aplica en España para el correo electrónico de marketing, en línea con el estándar del RGPD, pero con base legal propia y régimen sancionador independiente.

La LSSI-CE contempla una excepción relevante para el entorno B2C y B2B: el artículo 21.2 permite enviar comunicaciones comerciales por correo electrónico cuando existe una relación contractual previa, siempre que el remitente haya obtenido los datos de contacto de forma lícita y la comunicación se refiera a productos o servicios propios similares a los que fueron objeto de la contratación inicial. Esta excepción no elimina el deber de ofrecer, en cada comunicación enviada, un mecanismo sencillo y gratuito para que el destinatario pueda oponerse a seguir recibiendo publicidad (artículo 22.1 LSSI-CE).

El artículo 22.1 de la LSSI-CE refuerza el derecho de oposición: el destinatario puede revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales. Cuando las comunicaciones se hayan enviado por correo electrónico, el mecanismo de oposición debe consistir en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde el destinatario pueda ejercerlo. Enviar correos comerciales sin incluir esa dirección de respuesta es, en sí mismo, una infracción de la LSSI-CE.

Un correo que respeta el consentimiento del RGPD, pero que omite el mecanismo de oposición del artículo 22.1 de la LSSI-CE, incumple la normativa española. Una buena práctica para garantizar la entregabilidad es incluir siempre un enlace de baja funcional, que cumple ambas normas a la vez.

6 principios en los que se basa el RGPD

El artículo 5 del RGPD establece seis principios que rigen todo el tratamiento de datos, incluido el marketing por correo electrónico:

• Licitud, lealtad y transparencia: Debe tener una base jurídica para tratar datos personales y debe ser transparente sobre lo que hace con ellos.
• Limitación de la finalidad: Los datos recopilados para una finalidad (como el registro en un seminario web, por ejemplo) no pueden utilizarse para una finalidad diferente (como añadir a alguien a una secuencia de captación en frío) sin una justificación independiente.
• Minimización de datos: Recopila solo los datos que necesites. Una dirección de correo electrónico es justificable; añadir la fecha de nacimiento y el número de teléfono cuando solo se necesita un correo electrónico es más difícil de defender.
• Exactitud: El remitente es responsable de mantener los datos personales exactos y actualizados. Las direcciones de correo electrónico que devuelven mensajes de forma constante deben eliminarse.
• Limitación del almacenamiento: Los datos personales no deben conservarse más tiempo del necesario. Los contactos inactivos de hace varios años deben revisarse y probablemente eliminarse.
• Integridad y confidencialidad: Los datos deben protegerse contra el acceso no autorizado, la pérdida o la destrucción.

Lo que exige el RGPD para el email marketing

El consentimiento como base jurídica más común

El RGPD establece varias bases jurídicas para el tratamiento de datos personales (incluidos los intereses legítimos y la necesidad contractual), pero para la mayoría de los programas de marketing por correo electrónico B2C y muchos B2B, el consentimiento es la más sencilla y la más utilizada.

Según el RGPD, un consentimiento válido para el marketing por correo electrónico debe ser:

• Dado libremente: La persona tuvo una elección genuina y no fue presionada.
• Específico: Sabía que estaba dando su consentimiento para el marketing por correo electrónico, no solo para «comunicaciones» en abstracto.
• Informado: Entendía quién lo enviaba y con qué finalidad
• Inequívoco: Otorgado mediante una acción afirmativa clara, como marcar una casilla desmarcada. Las casillas premarcadas, el consentimiento agrupado y los mecanismos de exclusión voluntaria no cumplen la norma del RGPD.

Recordatorio importante: También debes poder demostrar que obtuviste el consentimiento. Esto significa mantener registros de cuándo se dio el consentimiento, a través de qué mecanismo y qué se le dijo a la persona en ese momento.

Intereses legítimos: La excepción B2B (con salvedades)

Muchos profesionales del marketing B2B se basan en los «intereses legítimos» como fundamento jurídico, en especial para la prospección en frío con contactos profesionales. Este es un enfoque válido en algunas circunstancias, pero requiere una evaluación de intereses legítimos (LIA) que sopese el interés comercial frente a los derechos e intereses de la persona.

No se trata de una exención general. La persona debe poder esperar el contacto, este debe ser relevante para su función profesional y se le debe proporcionar una forma sencilla de oponerse (darse de baja).

El considerando 47 del RGPD reconoce explícitamente que el marketing directo puede constituir un interés legítimo, pero los reguladores han dejado claro que esto no significa que las listas de correo electrónico en frío sean automáticamente legales.

Para los remitentes en España o que envían a contactos en España, la referencia de autoridad es la Agencia Española de Protección de Datos (AEPD). La AEPD aplica los mismos principios del RGPD sobre intereses legítimos, y sus criterios sobre marketing directo se enmarcan tanto en el RGPD como en la LSSI-CE. 

El derecho a darse de baja

Tanto en virtud del RGPD como de la Directiva sobre privacidad electrónica (que regula las comunicaciones electrónicas), todo correo electrónico de marketing debe incluir un mecanismo claro y operativo para que el destinatario pueda darse de baja de futuras comunicaciones.

Atender las solicitudes de baja sin demora (en un plazo de 30 días según el RGPD) es un requisito legal, no una buena práctica.

En España, el plazo de atención de las solicitudes de baja tiene una capa adicional de obligaciones. El artículo 21.1 de la LSSI-CE prohíbe el envío de publicidad no solicitada con independencia de si existe consentimiento previo formalizado en términos distintos a los exigidos. 

La Agencia Española de Protección de Datos (AEPD), como autoridad de control nacional en España, ha señalado en su sección sobre «Publicidad no deseada» que la revocación del consentimiento publicitario electrónico debe atenderse desde el momento en que se recibe la solicitud, y que continuar enviando comunicaciones comerciales tras la oposición ejercida conforme al artículo 22.1 de la LSSI-CE constituye una infracción grave de dicha ley, susceptible de multa de entre 30.001 y 150.000 euros según el artículo 39 de la misma norma. 

Conservación de datos

No se pueden conservar los datos de contacto indefinidamente. Si alguien no ha interactuado con tus correos electrónicos durante mucho tiempo, o si se le añadió en circunstancias que ya no se dan, es posible que ya no tengas una base legal válida para conservar los datos. Esto afecta directamente a las prácticas de limpieza de listas.

Transferencias de datos fuera del EEE

Si utilizas proveedores de servicios de correo electrónico (ESP), CRM o herramientas de marketing alojadas fuera del EEE (incluidas las herramientas con sede en EE. UU.), debes disponer de un mecanismo legal válido para la transferencia de datos. Las cláusulas contractuales tipo (SCC) son el mecanismo más común actualmente en uso tras la invalidación del Escudo de Privacidad UE-EE. UU. en 2020.

La mayoría de los principales ESP han abordado esto, pero debes verificar que tus herramientas específicas cuenten con los acuerdos de tratamiento de datos (DPA) adecuados.

¿Cuál es la relación entre el cumplimiento del RGPD y la capacidad de entrega?

Aquí es donde el debate jurídico cobra importancia operativa para todos los remitentes de correo electrónico.

Los comportamientos que exige el RGPD son también los que los proveedores de bandejas de entrada como Gmail, Outlook o Yahoo utilizan como señales para determinar la reputación del remitente y la ubicación en la bandeja de entrada.

El informe «Estado de la entregabilidad de correo electrónico 2025» de Warmy reveló que entre el 16 % y el 17 % de los correos electrónicos a nivel mundial nunca llegan a la bandeja de entrada. La clasificación como spam casi se duplicó en 2024. Alrededor del 70 % de los correos electrónicos presentan al menos un problema relacionado con el spam.

A continuación se muestra cómo los requisitos específicos del RGPD se corresponden directamente con los factores de entregabilidad:

Consentimiento → Menores tasas de denuncias de spam

Cuando se envía solo a personas que han dado su consentimiento explícito, es mucho menos probable que esas personas hagan clic en «Denunciar como spam». Gmail y Yahoo exigen ahora tasas de denuncias de spam inferiores al 0,3 %. El objetivo recomendado es intentar mantenerse por debajo del 0,1 %.

Una sola queja por spam no solo afecta a ese destinatario, sino que daña tu reputación como remitente e influye en que los futuros correos electrónicos a otros destinatarios sean filtrados.

Una lista basada en el consentimiento genera menores tasas de quejas y una sola queja afecta a la reputación del remitente más allá de ese único destinatario.

Exactitud de los datos → Menores tasas de rebote

El principio de exactitud del RGPD exige mantener datos de contacto precisos.

Las tasas de rebote duro superiores al 2 % indican a los proveedores de bandejas de entrada que no estás manteniendo activamente tu lista, lo cual es un comportamiento asociado a datos de mala calidad o comprados.

Los rebotes constantes también deben abordarse en virtud del principio de exactitud del RGPD, lo que convierte la verificación de la lista tanto en una obligación legal como en una necesidad para la entregabilidad.

Limitación de almacenamiento → Mantenimiento de la tasa de interacción

El requisito del RGPD de eliminar los datos que ya no son necesarios se alinea con el principio de entregabilidad de que los suscriptores activos superan en rendimiento a las bases de datos grandes y obsoletas.

Mantener contactos inactivos reduce las tasas de apertura y las métricas de interacción, que son las señales positivas que los proveedores de bandejas de entrada valoran mucho en la evaluación de la reputación.

Cumplimiento de la baja → Menor riesgo de bloqueo

Las altas tasas de baja perjudican, pero no respetar las bajas es peor. Conduce a continuas quejas de spam por parte de personas que intentaron darse de baja y fueron ignoradas. Esto es tanto una infracción del RGPD como una vía rápida hacia el bloqueo a nivel de ISP.

Transparencia → Reputación del remitente

El RGPD exige que se identifique claramente quién envía las comunicaciones y por qué. Esto se ajusta a los requisitos de los proveedores de bandeja de entrada para el envío autenticado.

SPF, DKIM y DMARC son los tres protocolos de autenticación de correo electrónico que ahora exigen Gmail, Yahoo y Microsoft a los remitentes masivos.

La autenticación no garantiza la entrega en la bandeja de entrada, pero sin ella, tus correos electrónicos serán filtrados independientemente de lo bien que sigas todas las demás prácticas recomendadas.

¿Cuáles son los requisitos técnicos de autenticación?

A partir de 2024, Gmail y Yahoo exigen lo siguiente a los remitentes masivos (aquellos que envían más de 5.000 mensajes al día a direcciones de Gmail o Yahoo). Microsoft ha introducido requisitos similares.

• SPF (Sender Policy Framework): Un registro DNS que especifica qué servidores de correo están autorizados a enviar correo electrónico en nombre de tu dominio. Sin SPF, los servidores receptores no pueden verificar que tu correo electrónico provenga de tu dominio. 
• DKIM (DomainKeys Identified Mail): Una firma criptográfica adjunta a los correos electrónicos salientes que demuestra que el mensaje no fue alterado durante el tránsito y que fue enviado por un servidor autorizado.
• DMARC (Domain-based Message Authentication, Reporting & Conformance): Una capa de políticas construida sobre SPF y DKIM que indica a los servidores receptores qué hacer cuando falla la autenticación (supervisar, poner en cuarentena o rechazar), y que genera informes que se envían al remitente.
• Cancelación de la suscripción con un solo clic: Gmail y Yahoo exigen que los remitentes masivos incluyan un encabezado que permita cancelar la suscripción con un solo clic directamente desde la interfaz de la bandeja de entrada, sin que el destinatario tenga que visitar una página de destino.

Estos son ahora requisitos básicos. No implementarlos significa que los correos electrónicos pueden ser rechazados o filtrados como spam, independientemente de la calidad del contenido.

Consejo: Utiliza las herramientas gratuitas como el generador de registros SPF de Warmy y el generador de registros DMARC para configurar estos registros correctamente.

Cómo te ayuda Warmy a crear un programa conforme y con alta capacidad de entrega

El cumplimiento del RGPD tiene múltiples capas técnicas y operativas. Warmy es una plataforma de capacidad de entrega de correo electrónico impulsada por IA, construida en torno a la monitorización, las herramientas y la infraestructura que te ayudan a cumplir esos requisitos y a mantenerlos a lo largo del tiempo.

Configuración de la autenticación, antes de enviar

El generador SPF y el generador DMARC de Warmy te permiten generar y verificar registros de autenticación sin coste alguno. Conseguir una autenticación correcta antes de que comience el calentamiento de correo (email warmup) es el requisito previo sobre el que se basa todo lo demás, tanto para el cumplimiento del RGPD (transparencia, identificación del remitente) como para cumplir los requisitos de remitentes masivos de Gmail, Yahoo y Microsoft.

Monitorización del estado del dominio en tiempo real

El panel de salud del dominio de Warmy muestra el estado de SPF, DKIM y DMARC, la presencia en listas negras, el estado de los registros DNS y los datos de entrega en la bandeja de entrada en un único panel de control.

Dado que el cumplimiento del RGPD y el estado de la entregabilidad son requisitos operativos continuos, tener todas estas señales visibles en un solo lugar es lo que hace posible una gestión proactiva. ¿El resultado? Los remitentes saben inmediatamente cuando algo cambia, en lugar de descubrirlo después de que una campaña haya sido filtrada.

Pruebas de entrega en la bandeja de entrada antes de envíos masivos

La prueba de entregabilidad de correo electrónico de Warmy muestra dónde llegan tus correos electrónicos, ya sea en la bandeja de entrada, en la pestaña de promociones o en la carpeta de spam de Gmail, Outlook, Yahoo y otros proveedores importantes. 

Para los equipos que envían correos a listas con consentimiento y que cumplen con el RGPD, esto es la confirmación de que las buenas prácticas de gestión de listas se traducen en una entrega real en la bandeja de entrada.

Comprobación de plantillas para el cumplimiento de contenidos

El verificador de plantillas de Warmy señala los patrones de contenido que activan los filtros de spam antes de que envíes el correo. Los correos que cumplen todos los requisitos de consentimiento y autenticación pueden seguir siendo filtrados por su contenido; el verificador de plantillas cierra esa brecha.

Calentamiento para dominios nuevos o en recuperación

Imagina que la empresa ya ha hecho los deberes: ha afinado sus prácticas de consentimiento, tiene la autenticación bien configurada y trabaja con una lista de suscriptores limpia y bien definida. Aun así, la tasa de llegada a la bandeja de entrada sigue siendo baja. ¿El motivo? Un dominio nuevo… o uno que arrastra un mal historial por un uso poco responsable en el pasado.

El calentamiento de correo de Warmy actúa en segundo plano al incrementar de forma progresiva el volumen de envíos para generar señales reales de interacción (aperturas, respuestas, recuperaciones de spam) que ayudan a construir una reputación sólida antes de lanzar las campañas.

La idea es simple y clara: el RGPD se asegura de que envíes correos a las personas adecuadas. Warmy se encarga de que esos correos lleguen.

Lista de verificación práctica para el cumplimiento normativo y la entregabilidad

Esta lista de verificación abarca tanto los requisitos legales del RGPD como las mejores prácticas de entregabilidad que se aplican en paralelo. Esto no constituye asesoramiento jurídico; para cuestiones legales específicas, consulta a un abogado especializado en protección de datos o a tu responsable de protección de datos.

Consentimiento y base jurídica

• Cada contacto de tu lista tiene una base jurídica documentada para recibir correos electrónicos de marketing de tu parte (consentimiento, intereses legítimos con una LIA completada u otra base válida).
• Los registros de consentimiento especifican cuándo, cómo y a qué dio su consentimiento la persona.
• Se han eliminado de todos los formularios las casillas marcadas de antemano y los mecanismos de consentimiento agrupados.
• Las evaluaciones de intereses legítimos están documentadas y archivadas para cualquier contacto añadido sobre esa base.

Higiene de la lista y exactitud de los datos

• La gestión de rebotes está activa y los rebotes duros se suprimen automáticamente tras la primera aparición.
• Las solicitudes de baja se procesan en un plazo de 30 días (requisito del RGPD) y, a ser posible, en un plazo de 24 a 48 horas.
• Se están revisando los contactos que no han interactuado en 12 meses o más, se están llevando a cabo campañas de reactivación y se está eliminando o suprimiendo a quienes no responden.
• Las listas no se compran ni se obtienen de terceros que no puedan demostrar el consentimiento válido de las personas que figuran en dichas listas.

Autenticación

• El registro SPF está publicado en el DNS y cubre todas las direcciones IP de envío y los remitentes externos.
• DKIM está configurado para todos los dominios de envío y selectores.
• El registro DMARC está publicado, con al menos una política de supervisión (p=none) y una dirección de correo electrónico para notificaciones.
• Los encabezados «List-Unsubscribe» se incluyen en todos los correos electrónicos comerciales masivos.

Infraestructura de privacidad

• Existe una política de privacidad, es de acceso público y describe con precisión cómo se recopilan y utilizan las direcciones de correo electrónico.
• Existen acuerdos de tratamiento de datos (DPA) con todos los proveedores de servicios de correo electrónico externos y herramientas de marketing.
• Las políticas de retención definen durante cuánto tiempo se conservan los datos de contacto y cuándo se eliminan.
• Existe un proceso para gestionar las solicitudes de acceso y de eliminación de los interesados.

Marco legal en España 

• La lista de correos está compuesta únicamente por contactos que han prestado opt-in explícito, o respecto a los cuales existe una relación contractual previa documentada en los términos del artículo 21.2 LSSI-CE.
• Todos los correos comerciales incluyen una dirección de correo electrónico u otro medio electrónico válido para ejercer el derecho de oposición, conforme al artículo 22.1 LSSI-CE (su ausencia es infracción independiente del RGPD).
• Las solicitudes de oposición vía correo electrónico se atienden de forma inmediata y los registros se conservan, dado que la AEPD puede requerirlos en un procedimiento sancionador.

Supervisión

• Se supervisa la reputación del remitente (Google Postmaster Tools para Gmail, Microsoft SNDS para Outlook).
• La supervisión de listas negras está activa: Si tu dominio o IP aparece en una lista negra importante, debes saberlo inmediatamente y comprender por qué.
• Se realizan pruebas de entrega en la bandeja de entrada antes de las campañas importantes, no solo después.

Reserva una demostración para ver cómo Warmy encaja en tu estrategia de email marketing. 

¿Qué ocurre cuando se incumple la normativa?

Los riesgos del incumplimiento se desarrollan en dos vías distintas, y ambas afectan a tus resultados.

Aplicación de la normativa

Las autoridades de protección de datos (APD) de toda la Unión Europea han impuesto multas significativas por enviar correos electrónicos de marketing no solicitados, no atender las solicitudes de baja y basarse en consentimientos no válidos. Las empresas informan de que los problemas de entregabilidad afectan directamente a los ingresos y a la retención de clientes. A todo ello hay que sumar el riesgo financiero y reputacional que conllevan las sanciones normativas.

En España, el incumplimiento puede sancionarse por dos vías al mismo tiempo

Por un lado, la LOPDGDD, que desarrolla el RGPD en España, permite a la AEPD imponer las sanciones previstas en el propio RGPD: hasta 20 millones de euros o el 4 % de la facturación anual global. 

Por otro lado, la LSSI‑CE tiene su propio régimen sancionador. El envío de correos comerciales sin cumplir los requisitos legales o sin ofrecer un mecanismo claro para darse de baja se considera infracción grave, con multas de entre 30.001 y 150.000 euros. En casos muy graves y reiterados, incluso puede prohibirse operar en España durante un máximo de dos años.Estas sanciones no se excluyen entre sí: una misma campaña de spam puede dar lugar a multas tanto bajo la LSSI‑CE como bajo el RGPD, de forma simultánea.

Consecuencias en la entregabilidad de email

Más allá de las sanciones legales, los proveedores de correo aplican sus propias normas. En Gmail, la reputación del dominio cae cuando se detectan malas prácticas. En Microsoft, el SNDS señala las IP con un volumen elevado de quejas. Spamhaus y otras listas de bloqueo acaban incluyendo dominios e IP que generan reclamaciones o activan trampas de spam.

No son multas, pero el efecto es inmediato: los correos dejan de llegar a destino.

Además, estos problemas suelen evitarse. Los requisitos técnicos están bien documentados, existen herramientas para aplicarlos y las prácticas que exige el RGPD coinciden, en esencia, con las que cualquier estrategia de email bien gestionada debería seguir, haya o no obligación legal.

Empieza tu prueba gratuita de 7 días de Warmy y construye tu reputación como remitente de la manera adecuada.