Login Probar gratis
Correo masivo no deseado: qué dice la ley en España

Correo masivo no deseado: qué dice la ley en España

por MataSpam Spam y Correo No Deseado

El correo masivo no solicitado tiene un marco legal claro en España: la LSSI (Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información) lo prohíbe salvo consentimiento previo del destinatario. Quien envía publicidad email ilegal se expone a multas de hasta 600.000 euros. Y aun así, tu bandeja sigue recibiendo ofertas de cursos, criptomonedas y pastillas milagrosas. Algo falla. La ley spam España existe, funciona y tiene dientes, pero la mayoría de usuarios no sabe cómo usarla a su favor. Este artículo te explica qué dice exactamente la legislación, cómo distinguir un email marketing legal de uno ilícito, y qué puedes hacer —de verdad— cuando alguien ignora tu derecho a que le dejen el buzón en paz.

Qué dice la LSSI sobre el correo comercial

La Ley 34/2002 (LSSI-CE), publicada en el BOE el 12 de julio de 2002, regula las comunicaciones comerciales electrónicas en su artículo 21. El principio es sencillo: prohibido enviar correo masivo publicitario sin consentimiento previo y expreso del destinatario. No vale un consentimiento tácito, ni enterrar la casilla de aceptación en un formulario kilométrico.

Existe una excepción: si ya eres cliente de una empresa y le compraste algo, esa empresa puede enviarte comunicaciones sobre productos o servicios similares a los que contrataste. Pero incluso en ese caso, debe ofrecerte un mecanismo sencillo para darte de baja. Si no lo hace, vuelve a ser LSSI spam.

La ley se complementa con el RGPD (Reglamento General de Protección de Datos, 2016/679 de la UE) y la LOPDGDD (Ley Orgánica 3/2018). Entre las tres normativas, el marco es bastante blindado. El problema no es la legislación: es que muchos remitentes operan desde jurisdicciones donde estas leyes les importan lo mismo que un filtro antispam de 2004.

No todo correo comercial es ilegal. Un email marketing legal cumple estos requisitos mínimos:

  • Consentimiento explícito: te suscribiste voluntariamente (doble opt-in recomendado).
  • Identificación clara: sabes quién te escribe (nombre de empresa, CIF, dirección física).
  • Asunto no engañoso: el subject describe el contenido real del email.
  • Mecanismo de baja: un enlace funcional de desuscripción en cada mensaje.
  • Datos de contacto: puedes responder o contactar al remitente.

Si falta cualquiera de estos elementos, estás ante publicidad email ilegal. Y si el correo llega sin que hayas dado tu consentimiento previo, da igual que cumpla todo lo demás: es spam según la LSSI.

Un truco habitual: empresas que compran bases de datos de emails a terceros y te escriben como si os conocierais de toda la vida. Eso es ilegal. El consentimiento no es transferible. Si te suscribiste a la newsletter de una tienda de zapatos, eso no autoriza a una academia de inglés a mandarte ofertas porque compró la misma lista.

Sanciones reales: cuánto cuesta saltarse la ley

La AEPD (Agencia Española de Protección de Datos) es el organismo que tramita las denuncias. Las sanciones por envío de correo masivo no solicitado se clasifican en tres niveles según la LSSI:

Tipo de infracciónMultaEjemplo
LeveHasta 30.000 €No identificarse como remitente comercial
Grave30.001 – 150.000 €Envío masivo sin consentimiento
Muy grave150.001 – 600.000 €Reincidencia o envío masivo a menores

La AEPD publica resoluciones reales en su web. En 2023, sancionó a varias empresas españolas con multas de entre 5.000 y 70.000 euros por enviar comunicaciones comerciales sin consentimiento. No son cifras teóricas: se aplican. Y con el RGPD, las multas pueden escalar hasta el 4% de la facturación global anual de la empresa.

Para el remitente medio de spam nigeriano, estas multas son papel mojado. Pero para empresas españolas o europeas que hacen email marketing agresivo pensando que nadie les va a denunciar: la AEPD acepta denuncias online en menos de cinco minutos. Y sí, las investiga.

Cómo denunciar y cómo protegerte

Si recibes correo masivo no solicitado de una empresa identificable, tienes varias vías:

  1. Solicitar la baja: usa el enlace de desuscripción. Si funciona, problema resuelto. Si no existe o falla, ya tienes un argumento más para la denuncia.
  2. Denunciar ante la AEPD: accede a sede.agpd.gob.es y presenta una reclamación. Necesitas el email recibido (con cabeceras completas) y una breve descripción. No necesitas abogado.
  3. Denunciar ante la OMIC: si el correo tiene contenido comercial engañoso, la Oficina Municipal de Información al Consumidor también puede actuar.
  4. Bloquear y filtrar: configura reglas en tu cliente de correo o usa herramientas antispam dedicadas.

Para las cabeceras del email (que prueban el origen real del mensaje), la mayoría de clientes de correo permiten verlas en las opciones del mensaje. En Gmail: "Mostrar original". En Outlook: "Propiedades del mensaje". Esas cabeceras son la prueba forense que la AEPD necesita.

Si el spam llega acompañado de intentos de phishing disfrazado de paquetería o de facturas falsas que buscan robar datos de pago, ya no estamos solo en el terreno de la LSSI: hablamos de delitos tipificados en el Código Penal (estafa, artículo 248).

Herramientas para frenar el correo masivo no deseado

Mientras la ley actúa (que actúa, pero no a velocidad de fibra óptica), necesitas filtros. Estas son opciones reales que funcionan:

  • SpamAssassin: filtro open source para servidores de correo. Analiza cabeceras, contenido y reputación del remitente. Configurable con reglas personalizadas.
  • Rspamd: alternativa más moderna a SpamAssassin, con machine learning integrado y menor consumo de recursos.
  • Listas RBL/DNSBL: bases de datos de IPs conocidas por enviar spam (Spamhaus, Barracuda, SpamCop). Tu servidor de correo puede consultarlas en tiempo real.
  • SPF, DKIM y DMARC: protocolos de autenticación de email. No filtran spam directamente, pero impiden que alguien suplante tu dominio para enviar publicidad email ilegal en tu nombre.
  • Have I Been Pwned: comprueba si tu email aparece en filtraciones de datos. Si tu dirección está en bases de datos públicas, recibirás más spam.

Para empresas que quieren hacer email marketing legal sin acabar en la carpeta de spam (ni en el BOE por una sanción), plataformas como Mailchimp, Brevo o Acumbamail ya integran doble opt-in, gestión de bajas y cumplimiento RGPD. No hay excusa para hacerlo mal.

Si tu negocio necesita una web profesional con formularios de suscripción que cumplan la normativa, un desarrollo web bien planteado te ahorra disgustos legales a medio plazo. Y si quieres que tus emails lleguen sin acabar en spam, una buena estrategia de posicionamiento te da visibilidad sin necesidad de bombardear bandejas ajenas.

Preguntas frecuentes

¿Puedo denunciar spam que viene del extranjero?

Puedes presentar la denuncia ante la AEPD igualmente. Si el remitente opera dentro de la UE, el RGPD permite la cooperación entre autoridades nacionales de protección de datos. Si opera fuera de la UE, la denuncia queda registrada pero la capacidad de sanción real es limitada. En ese caso, tu mejor defensa son los filtros técnicos.

¿Es legal enviar correo comercial si el usuario rellenó un formulario web?

Solo si el formulario incluía una casilla de consentimiento específica para recibir comunicaciones comerciales, no premarcada, y separada de la aceptación de condiciones generales. El consentimiento debe ser libre, específico, informado e inequívoco (artículo 7 del RGPD). Un formulario de contacto para pedir presupuesto no equivale a suscribirse a una newsletter.

¿Qué pasa si me doy de baja y siguen enviando?

Documéntalo: guarda la solicitud de baja y los correos posteriores con sus cabeceras. Es una infracción grave de la LSSI y refuerza cualquier denuncia ante la AEPD. La empresa debe tramitar tu baja en un plazo razonable tras la solicitud.

¿Las newsletters de empresas donde soy cliente son spam?

No necesariamente. La LSSI permite enviar comunicaciones sobre productos similares a clientes existentes, siempre que se ofrezca un mecanismo claro de baja. Si el contenido no tiene relación con lo que contrataste o si no puedes darte de baja fácilmente, sí constituye correo masivo ilegal.

El siguiente paso

Abre tu bandeja de entrada ahora mismo y busca los últimos tres correos comerciales que no recuerdas haber solicitado. Comprueba si incluyen enlace de baja funcional y si identifican claramente al remitente. Si no cumplen, tienes dos opciones: darte de baja (si funciona) o hacer limpieza digital y denunciar ante la AEPD con las cabeceras del mensaje. La ley está de tu parte. Úsala.

correo masivo email marketing legal LSSI spam ley spam españa publicidad email ilegal
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan
Phishing y Estafas

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan

Metasploit Framework: introducción al pentesting automatizado
Herramientas de Seguridad

Metasploit Framework: introducción al pentesting automatizado

Guía completa de seguridad en Android: ajustes y apps esenciales
Guías de Seguridad

Guía completa de seguridad en Android: ajustes y apps esenciales

← Volver al blog