¿Es legal hacer cold email en España y LATAM? (2026)

El cold email B2B es legal en España y en la mayoría de LATAM con base en el 'interés legítimo' del RGPD (art. 6.1.f) y en figuras equivalentes en LFPDPPP (México), Ley 25.326 (Argentina) y Ley 1581 (Colombia) — pero hay requisitos concretos que cumplir para no acabar con una multa. Esta guía cubre el marco RGPD, las diferencias por país hispano, qué debe llevar cada email para cumplir, qué prácticas pueden traerte sanciones reales y el disclaimer obligatorio antes de aplicar nada.

El contexto importa porque la información disponible online está polarizada: o bien circulan posts alarmistas que dicen 'todo cold email es ilegal en España, no lo hagas', o bien posts laxos que afirman 'no pasa nada, todo el mundo lo hace'. Ninguna de las dos posturas refleja la realidad. La verdad operativa es que el cold email B2B bien hecho — segmentado, personalizado, con opción de baja clara y gestión inmediata de bajas — es legal y se practica abiertamente por miles de empresas en España y LATAM sin sanciones. Lo que es ilegal es el spam masivo a particulares con listas compradas. La frontera está clara, pero hay que conocerla.

Cómo posiciona la ley española el cold email (RGPD + LSSI)

En España el cold email se regula por dos marcos complementarios: el RGPD (Reglamento General de Protección de Datos europeo) que regula el tratamiento de datos personales, y la LSSI (Ley de Servicios de la Sociedad de la Información) que regula las comunicaciones comerciales electrónicas. Ambas conviven y hay que cumplir las dos.

• RGPD (Reglamento UE 2016/679): aplica directamente en España desde 2018; regula tratamiento de datos personales en territorio europeo y exige base legal para cualquier uso de los mismos.
• Artículo 6.1.f del RGPD — interés legítimo: permite tratar datos personales sin consentimiento previo si existe un 'interés legítimo' del responsable, balanceado con los derechos del interesado.
• LSSI (Ley 34/2002): regula las comunicaciones comerciales electrónicas; exige identificación clara del remitente, finalidad comercial transparente y opción fácil de oposición.
• Distinción B2B vs B2C: a empresas (B2B) la regulación es más flexible al haber interés legítimo aplicable; a particulares (B2C) requiere consentimiento previo explícito, lo que en la práctica hace inviable el cold outreach a consumidores finales.
• AEPD (Agencia Española de Protección de Datos): el organismo que recibe denuncias e impone sanciones; su web pública aepd.es tiene guías y formularios oficiales, y conviene consultarla antes de campañas grandes.

Antes de seguir, si vas a hacer cold email a empresas en España, complementa este post con Instantly.ai en español: ¿funciona bien? para entender el contexto operativo del mercado hispanohablante.

Diferencias entre España, México, Argentina y Colombia

Cada país tiene su propia regulación de protección de datos pero, en la práctica, los principios son muy parecidos. España es la jurisdicción más estricta del bloque hispano por estar bajo RGPD europeo; México, Argentina y Colombia tienen regulaciones más laxas en enforcement pero formalmente equivalentes en derechos del titular. Si cumples el estándar RGPD, automáticamente cumples el de cualquier país LATAM.

• España — RGPD + LSSI: la regulación más estricta de la región hispana; B2B con interés legítimo permitido cumpliendo opt-out claro, identificación del remitente y política de privacidad publicada.
• México — LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares): similar al RGPD en estructura; B2B permitido con 'finalidad legítima' equivalente al interés legítimo europeo y opt-out obligatorio.
• Argentina — Ley 25.326 de Protección de Datos Personales: regulación parecida al RGPD aunque algo más antigua (2000); cold email B2B legal con buenas prácticas y registro de tratamientos en la Agencia de Acceso a la Información Pública.
• Colombia — Ley 1581 de 2012: foco en autorización del titular; B2B permitido con base en finalidad legítima profesional y opt-out fácil; la SIC (Superintendencia de Industria y Comercio) es el regulador.
• Resto LATAM (Chile, Perú, Uruguay, Ecuador, etc.): regulación variable y generalmente menos estricta que España; sanciones documentadas escasas siempre que se respeten las normas básicas de identificación y opt-out.

La regla práctica es: cumplir con estándar RGPD por defecto, sea cual sea el país de destino. Es la regulación más exigente, así que automáticamente cumples el resto. Mantener dos sistemas distintos (uno laxo para LATAM, uno estricto para España) genera errores operativos y no compensa el esfuerzo. Una plantilla con pie legal RGPD-compliant sirve en todos lados.

Qué es el 'interés legítimo' y por qué importa

El interés legítimo es la base legal del RGPD que justifica usar datos personales sin consentimiento previo cuando hay un interés equilibrado entre el responsable del tratamiento y los derechos del interesado. Es la base que sostiene el cold email B2B legalmente. La AEPD ha publicado guías explicando los criterios concretos para aplicarlo y la jurisprudencia europea es estable desde 2018.

• Definición operativa: base legal del RGPD que permite tratar datos personales sin consentimiento previo si hay un interés del responsable, una necesidad real del tratamiento y un balance proporcional con los derechos del interesado.
• Caso clásico aplicable: contactar al Marketing Manager de una empresa para ofrecerle un servicio profesional relevante para su rol, basándose en información pública de LinkedIn o de la web corporativa.
• Requisitos para invocarlo correctamente: relación profesional clara (rol B2B), finalidad legítima documentada, balance favorable al responsable y opción de oposición fácil para el interesado.
• Cuando NO aplica: spam masivo a particulares sin filtrar, contacto sin propuesta concreta, listas compradas, contactar tras petición de baja, propuestas no relacionadas con el rol profesional del destinatario.
• Cuando SÍ aplica: cold email a profesionales identificables por su rol con propuesta directamente relevante para sus responsabilidades laborales, redactado de forma transparente y con baja accesible.

El interés legítimo no es una autorización en blanco sino una base legal con responsabilidad. La AEPD exige que el responsable del tratamiento documente internamente por qué considera que existe interés legítimo (test de proporcionalidad), aunque no requiere comunicarlo proactivamente al interesado. En la práctica, llevar un documento interno de 1-2 páginas que explica tu razonamiento es buena protección si recibes una reclamación.

Qué debe incluir cada cold email para cumplir RGPD

Estos son los elementos que debe llevar cada email enviado en frío para cumplir RGPD y LSSI en España, y por extensión las regulaciones equivalentes en LATAM. No son opcionales: la ausencia de cualquiera de ellos es un incumplimiento documentable. La buena noticia es que se montan una vez como template y se aplican automáticamente en cada envío.

1. Identidad clara del remitente: nombre real de la persona que escribe, empresa o marca representada y dirección postal verificable; sin esto el email es spam técnico bajo LSSI.
2. Finalidad explícita del contacto: por qué les escribes específicamente y qué propones; no se admite ambigüedad tipo 'tenemos una oportunidad interesante para ti' sin concretar.
3. Origen de los datos: una frase tipo 'vi tu perfil en LinkedIn' o 'encontré tu email en la web pública de [empresa]' que justifique cómo obtuviste el contacto.
4. Opción de baja inmediata y clara: link de unsubscribe o frase tipo 'si prefieres no recibir más mensajes, contéstame con un NO y te elimino de la lista' — el opt-out tiene que ser tan fácil como el opt-in.
5. Aviso legal mínimo con link a política de privacidad: una línea al pie con enlace a la política de privacidad publicada en tu web; necesitas tener publicada esa política previamente.

Una plantilla de pie de email que cumple los 5 puntos en una sola frase: 'Soy [Nombre] de [Empresa], te contacto porque vi tu perfil en LinkedIn. Si prefieres no recibir más mensajes míos, dime NO y te elimino de mi lista de seguimiento. Más info: [link política privacidad]'. Esto, al final del email, cubre los 5 requisitos en 3 líneas sin saturar el mensaje.

Qué hacer cuando alguien pide darse de baja

La gestión de bajas es donde la mayoría de creadores se la juega legalmente. La ley es clara: el opt-out debe ser inmediato, gratuito y efectivo. Ignorarlo o tratarlo con lentitud es la forma más rápida de recibir una denuncia formal en AEPD. El proceso operativo correcto es simple pero hay que aplicarlo siempre y dejar rastro documental.

• Eliminar inmediatamente de todas tus listas en Instantly y cualquier otra herramienta donde tengas guardado el contacto; el tiempo de respuesta razonable son 24-48 horas, nunca más de 30 días según RGPD.
• Confirmar la baja con un email breve: 'Gracias, ya estás eliminado de mi lista y no recibirás más mensajes míos. Si en algún momento cambias de opinión, escríbeme cuando quieras.' — la confirmación es buena práctica aunque no obligatoria.
• Documentar la petición: guardar captura del email o exportar el thread por si la AEPD pide pruebas de cumplimiento en una hipotética inspección.
• Añadir a lista negra interna: el email del que pidió baja se va a una lista permanente de exclusión para no contactarlo nunca más en ninguna campaña futura, ni siquiera con otra oferta distinta.
• Plazo legal RGPD: 30 días máximo para gestionar la baja desde la petición; recomendable hacerlo en 24-48h para evitar cualquier disputa.

En Instantly puedes configurar la gestión automática de unsubscribes con un link en el footer o con detección por palabras clave en las respuestas ('quitar', 'unsubscribe', 'baja', 'eliminar'). El detalle técnico está en errores típicos al configurar Instantly.ai, donde cubrimos los settings que más se descuidan.

Qué prácticas pueden traerte multas reales

Estas son las prácticas que la AEPD ha sancionado en casos documentados públicamente. Las multas reales suelen ir desde 1.000€ por infracciones leves hasta 50.000€ por reincidencia o gravedad alta. El RGPD permite multas hasta el 4% del volumen anual de negocio o 20 millones de euros, lo que sea mayor, aunque en la práctica para creadores y agencias pequeñas el rango es 2.000-20.000€.

• Comprar listas de emails: ilegal explícito en RGPD porque no hay base legal para tratar datos obtenidos de un tercero sin consentimiento directo; multas documentadas de hasta 20M€ para grandes empresas, 5.000-50.000€ para empresas pequeñas.
• No incluir opción de baja clara: multa típica de 2.000-10.000€ por queja a AEPD; el opt-out es requisito básico de LSSI y su ausencia se sanciona sin discusión.
• Ignorar peticiones de baja: contactar a alguien tras petición explícita de baja es de los casos más sancionados; multa garantizada en el rango 5.000-20.000€ si llega a denuncia formal.
• Spam masivo no segmentado: envío de 50.000 emails a base de datos comprada sin personalización ni filtros es el caso paradigmático que la AEPD sanciona; multa habitual 10.000-30.000€.
• No tener política de privacidad publicada: incumplimiento básico del deber de información del RGPD; multa típica 1.000-5.000€ por sí solo, sumable a otros incumplimientos.

La frontera práctica entre 'campaña que la AEPD nunca tocará' y 'campaña denunciable' es clara: si tu lista está scrapeada manualmente de fuentes públicas (LinkedIn, webs corporativas), está segmentada por avatar B2B real, los emails están personalizados con primera línea concreta, llevas opt-out claro y gestionas bajas en 24-48h, estás en zona blanca. Si compraste base de datos, envías plantilla idéntica a 5.000 contactos sin segmentar y no gestionas bajas, estás en zona roja.

Plantilla de pie de email con opt-out claro

Esta es la plantilla operativa que usamos en campañas de Instantly y que cumple los requisitos RGPD/LSSI sin saturar el email. Se mete como variable en el footer dentro de Instantly y se aplica automáticamente a todos los envíos.

• Versión corta para emails breves: 'Si prefieres no recibir más mensajes míos, contéstame NO y te elimino de la lista. Más info en [link política privacidad].'
• Versión completa para primer email: 'Soy [Nombre], [cargo] de [Empresa] ([dirección]). Te escribo porque vi [origen del contacto]. Si prefieres no recibir más mensajes, dime NO y quedas fuera de mi seguimiento. Más detalle de cómo trato datos: [link política privacidad].'
• Variable para Instantly: configurar el footer como variable {legal_footer} para no escribir el texto manualmente en cada email; un cambio en la plantilla actualiza todas las campañas activas.
• Política de privacidad obligatoria publicada: en tu web debe existir una URL accesible tipo /politica-privacidad con los términos completos; sin esa URL publicada, el link del footer es vacío y el cumplimiento incompleto.
• Adaptación por país: la misma plantilla sirve para España, México, Argentina, Colombia y resto LATAM; si quieres añadir mención específica a la ley local (LFPDPPP, Ley 25.326, etc.) lo metes en la política de privacidad, no en el footer del email.

Disclaimer importante: información, no asesoría legal

Este post recopila información pública y experiencia operativa propia en cold email B2B desde 2021, pero no constituye asesoría legal personalizada. Cada caso tiene matices que solo un abogado especializado puede valorar tras revisar tus circunstancias concretas. Lo que sigue son las recomendaciones operativas que aplicamos en agencia y comunidad.

• Este contenido es informativo, no asesoría legal: si vas a montar operativa de cold email a escala (más de 1.000 envíos/mes sostenidos), invierte en una consulta legal especializada.
• Cada caso tiene matices: tu sector, tu producto, tu ubicación y la de tus destinatarios afectan al análisis legal específico; los principios generales se mantienen, pero la aplicación puede variar.
• Recomendación operativa: consultar con abogado de protección de datos antes de campañas grandes o si trabajas en sectores regulados (salud, banca, educación menor de edad).
• Coste habitual de consulta inicial: 100-300€ una vez, vale la pena para evitar multas de 10.000€+ y dormir tranquilo durante años de operación.
• Experiencia propia: prácticas sensatas (lista propia, personalización, opt-out claro, bajas gestionadas en 24h) más buena fe + transparencia = cero problemas en años de operación y miles de emails enviados.

Recursos oficiales que conviene tener guardados: la web de la AEPD con sus guías para responsables del tratamiento, aepd.es/guias para guías específicas por sector y la web pública sectorial agpd.es (redirige a aepd.es) para acceso a resoluciones publicadas. Para LATAM, la consulta directa al regulador del país de destino es siempre el camino seguro.

En el espacio de creadores de Content Society compartimos cómo cumplimos cada uno en cold email y qué nos ha funcionado en campañas reales sin acabar con denuncias. [Accede a los recursos](https://chat.whatsapp.com/Jfp2uay7DxeBE77ZnYrEn5).

Preguntas frecuentes

[Accede a los recursos](https://chat.whatsapp.com/Jfp2uay7DxeBE77ZnYrEn5).