RGPD + LSSI-CE: Cómo Captar clientes Legalmente en España 2024
Guía definitiva para hacer prospección por email cumpliendo RGPD y LSSI-CE. Qué dice la ley, cómo obtener consentimiento válido, derechos ARCO, y cómo evitar multas de hasta €10M. Todo lo que necesitas saber actualizado junio 2024.
El panorama regulatorio: RGPD vs LSSI-CE vs GDPR
La confusión es normal. Hay 3 regulaciones que afectan prospección por email en España:
1. RGPD (Reglamento General de Protección de Datos)
Qué es: Regulación europea que protege datos personales. Aplica a TODO el que procese datos de personas en la UE.
Multa máxima: €20 millones o 4% de facturación global (lo que sea mayor).
Qué afecta a prospección: Tienes que tener CONSENTIMIENTO para almacenar/procesar datos de prospectos. No puedes simplemente recopilar emails y enviar.
2. LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico)
Qué es: Ley española que regula comunicaciones comerciales por email y SMS.
Multa máxima: €150,000 (menor que RGPD, pero aún seria).
Qué exige:
- Opt-in previo: Debes tener consentimiento ANTES de enviar email comercial
- Identificación clara: Quién eres y cómo contactarte
- Opción de baja fácil: Un click para desuscribirse
- Registro: Mantén prueba de que tenías consentimiento
¿Cuándo necesitas consentimiento para prospectar?
Esta es la pregunta clave. ¿Puedes simplemente extraer emails y enviar?
Escenario 1: Prospección a empresas (B2B)
Pregunta: ¿Necesito consentimiento para enviar a directores@empresa.es?
Respuesta legal: Es gris. La AEPD (Autoridad de Protección de Datos Española) dice que si es email genérico de empresa (info@, contacto@) sí necesitas consentimiento. Si es email específico de persona física, DEFINITIVAMENTE necesitas.
Práctica segura: SIEMPRE obtén consentimiento. Es lo seguro. ¿Cómo?
- Página web con formulario opt-in
- LinkedIn request + mensaje: "¿Puedo enviarte emails sobre [tema]?"
- Evento/webinar: "¿Quieres recibir updates?"
- Referencia: "Fulano me recomendó que te contacte"
Escenario 2: Prospección sin consentimiento previo (Cold email)
Pregunta: ¿Y si no tengo consentimiento? ¿Envío así?
Respuesta: Técnicamente podrías con cierta justificación legal de "interés legítimo", pero:
- Tasa de respuesta cae 50% (spam filters)
- Alto riesgo legal (AEPD puede investigarte)
- Daña reputación de tu dominio
Conclusión: No lo hagas. Nunca.
Cómo obtener consentimiento válido bajo RGPD
Si obtener consentimiento es obligatorio, ¿cómo lo haces legalmente?
Consentimiento VÁLIDO bajo RGPD:
- Explícito: "Acepto recibir emails sobre..." (checkbox marcado, no pre-marcado)
- Granular: Separado de otros consentimientos. No puedes meter "acepto email + aceptas términos + aceptas cookie" todo junto.
- Informado: Antes de consentir, debe saber qué datos recopiles, para qué, cuánto tiempo los guardas.
- Registrado: GUARDAR PRUEBA. Fecha, hora, IP, qué aceptó.
- Fácil revocar: Si consintió, debe poder desconsentir en 1 click.
Consentimiento NO VÁLIDO:
- Pre-marcado: Checkbox ya marcado. Inválido.
- Implícito: "Silencio es consentimiento". Inválido.
- Genérico: "Acepto términos" sin detallar email. Inválido.
- Presionado: "Rellena esto o no entra". Inválido.
"Deseo recibir emails de Saltor IA sobre prospección por email, incluidos novedades de productos, artículos educativos y ofertas. Puedo cambiar de opinión en cualquier momento. Política de privacidad aquí."
Checkbox: ☐ Sí, quiero recibir emails
Los 7 requisitos LSSI-CE que debes cumplir
Además de RGPD, tienes obligaciones LSSI-CE españolas:
1. Identificación Clara
En el email, debe estar MUY CLARO quién eres:
- Nombre legal de la empresa
- Email de contacto
- Teléfono
- Dirección física (requisito español)
- CIF/NIF (si aplica)
NO puedes poner "Marketing Team" sin identificación. ❌
2. Asunto claro
Asunto no debe ser engañoso. No puedes poner "RE: Tu propuesta" si no hay propuesta previa. ❌
3. Opción de baja FÁCIL
Debe haber un link "desuscribirse" en CADA email que funcione en 1 click. No puedes pedir confirmación. No puedes obligar a login.
Lo correcto: "Si no quieres recibir más, haz click aquí"
Lo incorrecto: "Para desuscribirse, responde este email con 'STOP'" ❌
4. Honor consentimiento previo
Si alguien dijo "no", RESPETA eso. Si consentimiento es solo para "ofertas especiales", no envíes boletín general. Segmenta.
5. Respeta "lista de exclusión"
Si alguien se da de baja, máximo 10 días para procesarlo. Después, ZERO emails.
6. Datos exactos
Los datos deben ser actuales y correctos. No envíes a "emailincorrecto@empresa.com" sabiendo que es incorrecto.
7. Política de privacidad accesible
En firma, debe haber link a tu política de privacidad. Y esa política debe ser específica, no genérica. Explicar qué datos recopilan, cómo se usan, cuánto se guardan.
Derechos ARCO: Qué deben poder hacer tus prospectos
Cuando tienen consentimiento, los prospectos tienen derechos:
Derecho de Acceso (A)
Qué es: El prospecto puede decir "quiero ver TODOS mis datos que tienes".
Tu obligación: Respondas en 30 días con copia de TODOS sus datos. Sin cobrar.
Derecho de Rectificación (R)
Qué es: "Tengo datos incorrectos, corrígelos".
Tu obligación: Corriges en 10 días.
Derecho de Cancelación (C)
Qué es: "Borra TODOS mis datos".
Tu obligación: Borras en 10 días. Excepto si hay obligación legal (ej: datos de facturación para Hacienda).
Derecho de Oposición (O)
Qué es: "Deja de procesarme datos".
Tu obligación: Paras. Efecto inmediato.
Multas reales en España por violaciones
¿Qué pasa si violás RGPD/LSSI-CE? Ejemplos reales:
Multa AEPD 2023: €10M a Google
Razón: Recopiló datos de ubicación sin consentimiento válido.
Multa AEPD 2022: €3M a empresa telecomm
Razón: Envió SMS/emails sin consentimiento previo (cold outreach).
Multa AEPD 2024: €500K a empresa tech
Razón: No permitía fácil baja de emails. Link de desuscripción no funcionaba.
Lección: No es teoría. Son multas reales, en España, a empresas como la tuya.
Cómo hacer prospección legal en 5 pasos
Paso 1: Obtén consentimiento
Formulario web, evento, LinkedIn, referencia. ANTES de enviar cualquier email.
Paso 2: Guarda prueba
Fecha, hora, IP, qué aceptaron exactamente. En caso de inspección, tienes prueba.
Paso 3: Email bien formado
Identificación clara + opción baja fácil + política privacidad + asunto claro.
Paso 4: Respeta ARCO
Si piden acceso/baja/rectificación, procesa en 10-30 días. Sin debates.
Paso 5: Documentación
Mantén registro de consentimientos, bajas, ARCO. En caso de auditoría, tienes historial.
¿Quieres prospeccionar legalmente sin riesgos?
Saltor IA maneja todo: consentimiento, almacenamiento seguro, ARCO, bajas. Tú prospecciona seguro.
Consulta gratuita →Las 3 mentiras sobre RGPD prospección
Mentira 1: "B2B no necesita RGPD"
FALSO. RGPD aplica a datos de personas, incluso si trabajas en B2B. Email de director@empresa.es es dato de persona. Necesita consentimiento.
Mentira 2: "Interés legítimo = puedo enviar sin consentimiento"
Técnicamente puedes argumentar "interés legítimo", pero: AEPD lo rechaza para cold outreach. No lo hagas.
Mentira 3: "No van a multarme, soy pequeño"
FALSO. AEPD acaba de multar a startup de 50 personas. El tamaño no importa.
Conclusión: Compliance es inversión, no gasto
Hacer prospección legal toma trabajo (obtener consentimiento, documentar, responder ARCO). Pero:
- Evitas multas: De €150K a €20M.
- Mejor reputación: Si respetas privacidad, customers confían más.
- Mejor deliverability: Emails de gente que SÍ consintió → llegan a inbox.
- Crecimiento sostenible: No es crecimiento si es ilegal.
La verdad: Prospección legal + eficiente es posible. Solo hay que hacerlo bien.