¿Es obligatorio el doble opt-in para newsletter en España?

Por estatuto, no. El RGPD no impone una técnica concreta de obtención del consentimiento; exige que sea libre, específico, informado e inequívoco según el Art. 4.11. En la práctica, el doble opt-in es el único método que permite cumplir el principio de responsabilidad proactiva del Art. 5.2 del RGPD: cuando la AEPD pide la prueba del consentimiento, solo el log de confirmación dejado en el segundo correo resulta defendible. La alternativa de opt-in simple obliga a guardar evidencias adicionales (IP, timestamp, copia exacta del formulario) y aun así deja más expuesto al responsable.

¿Qué dice el Art. 21 de la LSSI sobre comunicaciones comerciales por correo?

El Art. 21.1 de la LSSI-CE prohíbe el envío de comunicaciones comerciales por correo electrónico que no hayan sido solicitadas o expresamente autorizadas por el destinatario. El Art. 21.2 establece la excepción del soft opt-in: cuando los datos del destinatario se obtuvieron en el contexto de una venta previa de productos o servicios similares, el responsable puede enviar comunicaciones comerciales sobre productos o servicios similares siempre que en cada envío ofrezca un mecanismo sencillo y gratuito de oposición. La excepción del Art. 21.2 es de interpretación estricta; en duda, consentimiento expreso.

¿Qué pruebas debo guardar para defender el consentimiento ante la AEPD?

Cinco elementos. Primero, la dirección de correo del suscriptor. Segundo, la fecha y hora exacta del alta inicial. Tercero, la fecha y hora de la confirmación del segundo correo (doble opt-in). Cuarto, la IP de origen y el user agent. Quinto, el texto literal que se mostró al usuario en el momento del alta (incluida la finalidad declarada, el enlace a la política, las casillas presentes). La carga de la prueba recae en el responsable según el Art. 7.1 del RGPD; sin este registro, el consentimiento se presume no probado.

¿Puedo importar una lista de correos comprada o heredada de un proyecto anterior?

No, con las excepciones muy limitadas del Art. 21.2 de la LSSI. Una lista comprada no cumple ni el consentimiento informado del Art. 6.1.a del RGPD ni la excepción de venta previa de productos similares. La AEPD ha sancionado el envío a listas adquiridas con cuantías significativas. Una lista heredada de otro proyecto del mismo responsable solo es reutilizable si el consentimiento original cubría también el nuevo tratamiento, lo que rara vez es el caso.

¿El consentimiento de la newsletter incluye el envío de comunicaciones de otras empresas del grupo?

No por defecto. El consentimiento se entiende otorgado para la finalidad concreta que se le explicó al usuario. Si quieres ceder los datos a una empresa del grupo o a un partner para sus propias comunicaciones, necesitas una casilla separada en el alta, con texto específico que identifique a la otra empresa y la finalidad. Sin ella, la cesión es ilícita aunque el responsable matriz tenga consentimiento para su propia newsletter.

RGPD y privacidad Boletín

Newsletter doble opt-in RGPD España: guía 2026

Steven | TrustYourWebsite · 14 de mayo de 2026 · Última actualización: mayo de 2026

La newsletter sigue siendo uno de los canales con mejor retorno por euro invertido para una pyme española. También uno de los que la AEPD inspecciona con más frecuencia tras denuncias de destinatarios que reciben correos no solicitados. La diferencia entre una newsletter que cumple y otra que acumula reclamaciones suele estar en dos decisiones: cómo se recoge el alta y qué se guarda como prueba.

Esta guía cubre el doble opt-in técnico, la excepción del soft opt-in del Art. 21 de la LSSI, los cinco elementos que conviene guardar como evidencia y los errores más frecuentes que la AEPD detecta cuando recibe una reclamación. Si quieres saber qué carga tu web ahora mismo y si el formulario de alta de tu newsletter cumple, escanea tu web gratis.

Dirijo TrustYourWebsite como un proyecto en solitario y la lista de correo es mi canal principal de comunicación con los lectores de las guías. El doble opt-in con prueba archivada es lo que aplico y lo que recomiendo a cualquier pyme que quiera dormir tranquila tras enviar la primera campaña.

El marco legal español

Tres normas conviven cuando envías una newsletter desde España.

Norma	Qué regula	Referencia
RGPD (UE) 2016/679	Validez y prueba del consentimiento	Arts. 4.11, 6.1.a, 7
LOPDGDD 3/2018	Adaptación española, sanciones	BOE-A-2018-16673
LSSI-CE 34/2002	Comunicaciones comerciales electrónicas	Art. 21, BOE-A-2002-13758

Las tres se aplican simultáneamente. El RGPD fija qué cuenta como consentimiento; la LSSI determina cuándo se necesita consentimiento para enviar el correo comercial; la LOPDGDD añade el régimen sancionador específico.

Consentimiento válido bajo el RGPD

El Art. 4.11 del RGPD define el consentimiento como manifestación de voluntad libre, específica, informada e inequívoca, mediante una declaración o una clara acción afirmativa. Cuatro adjetivos cualificativos. Los cuatro son acumulativos.

Libre: sin presión, sin condicionar otros servicios al consentimiento (no se puede negar acceso a la web por no aceptar la newsletter).
Específico: una finalidad, un consentimiento. Newsletter y marketing de terceros son finalidades distintas.
Informado: el usuario debe saber qué finalidad acepta, quién es el responsable, cómo se retira el consentimiento.
Inequívoco: acción afirmativa. La sentencia del TJUE en Planet49 (C-673/17) confirmó que la casilla premarcada no es consentimiento válido.

A esto se suma el Art. 7.1 del RGPD: el responsable debe estar en condiciones de demostrar el consentimiento. Carga de la prueba sobre el responsable, no sobre la AEPD ni sobre el reclamante. Si no puedes demostrar el alta, no hay consentimiento válido.

Por qué el doble opt-in es la única opción defendible

El opt-in simple (una casilla marcada por el usuario al enviar el formulario) cumple los cuatro adjetivos del Art. 4.11. Pero falla en la prueba del Art. 7.1: el responsable solo tiene un log con IP y timestamp del envío del formulario. No tiene cómo demostrar que la persona que escribió esa dirección de correo es realmente la titular.

El doble opt-in añade un segundo paso: tras el envío del formulario, el sistema envía un correo a la dirección facilitada con un enlace de confirmación. Solo cuando el destinatario hace clic en ese enlace, el alta se confirma. Esto genera prueba adicional:

Confirma que la dirección existe y es accesible
Confirma que el titular de la dirección ha realizado la acción afirmativa
Genera un log adicional con timestamp e IP del clic de confirmación

En la práctica española, esta cadena de pruebas es la que la AEPD considera defendible cuando recibe una reclamación. El opt-in simple obliga al responsable a guardar pruebas extra (copia del formulario, fingerprint de navegador) y aun así queda más expuesto.

La excepción del soft opt-in: Art. 21.2 LSSI

El Art. 21.1 de la LSSI-CE prohíbe el envío de comunicaciones comerciales por correo electrónico no solicitadas. El Art. 21.2 introduce la única excepción al consentimiento expreso: el llamado soft opt-in.

Tres condiciones cumulativas:

Origen del dato: la dirección de correo se obtuvo en el contexto de una venta o contratación previa de productos o servicios. No de una simple consulta, no de un formulario de descarga de recurso gratuito.
Similitud de los productos: las comunicaciones posteriores se refieren a productos o servicios similares a los inicialmente contratados. Una tienda de calzado puede informar a sus clientes sobre nuevos modelos; no puede usar el soft opt-in para vender un curso de inversión.
Posibilidad de oposición en cada envío y en el momento inicial: en el alta inicial debió ofrecerse la opción de oponerse al envío posterior (típicamente, una casilla que el cliente no marcó), y en cada comunicación posterior debe figurar un mecanismo sencillo y gratuito de baja.

Si las tres condiciones se cumplen, no hace falta consentimiento expreso para enviar comunicaciones comerciales a clientes existentes. Es la base habitual de los emails de "novedades" que envían las tiendas online tras una compra.

Para el resto de casos (newsletter a leads no compradores, newsletter de marketing genérico, alta desde formulario de descarga de PDF), la regla general es el consentimiento expreso del Art. 6.1.a del RGPD con doble opt-in.

Para el contexto específico de ecommerce, ya tienes la guía RGPD para tiendas online.

Implementación técnica del doble opt-in

El flujo estándar tiene cuatro pasos.

Paso 1: formulario de alta

El formulario muestra al menos:

Campo de correo electrónico
Botón de envío con texto explícito ("Suscribirse", "Recibir la newsletter")
Texto informativo con identidad del responsable, finalidad concreta de la newsletter, base jurídica (consentimiento), enlace a la política de privacidad
Si el alta incluye cesión a terceros u otras finalidades, casilla separada para cada una, sin premarcar

El campo del nombre es opcional. Para personalizar el saludo basta y reduce la fricción del alta.

Paso 2: correo de confirmación

Inmediatamente tras el envío del formulario, el sistema envía un correo a la dirección facilitada con:

Identidad del remitente (debe coincidir con el responsable declarado)
Asunto que identifique claramente la confirmación de alta
Texto que recuerda la finalidad de la newsletter
Enlace único de confirmación con token de validación de un solo uso
Indicación de que si el destinatario no realizó el alta, puede simplemente ignorar el correo

El enlace debe expirar (24 a 72 horas es habitual) para limitar el riesgo de confirmaciones diferidas.

Paso 3: confirmación efectiva

Cuando el destinatario hace clic en el enlace:

El sistema verifica el token y lo marca como usado
Se crea o se actualiza el registro del suscriptor con estado "confirmado"
Se guarda el log de la confirmación con timestamp e IP
Se muestra una página de agradecimiento al destinatario

A partir de este momento, el responsable está autorizado a enviar la newsletter.

Paso 4: mecanismo de baja en cada envío

En cada email posterior:

Enlace de baja visible al pie del correo
La baja debe ser igual de sencilla que el alta (un solo clic, sin pedir motivo ni contraseña)
La baja se procesa de forma inmediata; nada de "tu solicitud se procesará en 48 horas"
Confirmación visual al usuario de que la baja se ha registrado

El Art. 21.4 de la LSSI exige que en cada envío se identifique al remitente y se ofrezca el mecanismo de baja. Sin estos dos elementos, cada envío es una infracción autónoma.

Las cinco pruebas que debes guardar

El Art. 7.1 del RGPD pone la carga de la prueba sobre el responsable. La AEPD pide concretamente cinco elementos cuando inspecciona:

Dirección de correo del suscriptor
Fecha y hora del alta inicial desde el formulario
Fecha y hora de la confirmación del segundo correo
IP de origen y user agent de ambos eventos
Texto literal del formulario que se mostró al usuario en el momento del alta (con casillas, finalidades, enlaces)

El quinto punto es el que más se descuida. Si el responsable cambia el texto del formulario en el mes 6, no se acuerda del texto que estaba vigente en el mes 1. Solución técnica: archivar mensualmente una captura del formulario y asignar versión a cada alta.

Para el resto de tratamientos relacionados (logs, retención), ya tienes el patrón en la plantilla de política de privacidad.

Errores frecuentes que detecta la AEPD

Estos patrones aparecen recurrentemente en las resoluciones publicadas por la AEPD sobre newsletter. Cada uno es una infracción potencial.

Importación de lista comprada o heredada. El responsable carga una lista de correos en su plataforma de email marketing sin que cada dirección tenga prueba propia de consentimiento. La importación no convierte en consentido lo que no lo era.

Casilla premarcada o agrupación de consentimientos. Una casilla del tipo "Acepto la política de privacidad y la recepción de la newsletter" agrupa dos consentimientos distintos. Planet49 dejó claro que cada finalidad necesita acción afirmativa propia.

Alta automática de quien envió el formulario de contacto. El correo que llegó por el formulario de "consulta general" se da de alta automáticamente en la newsletter, sin casilla específica. Infracción combinada del Art. 6.1.a del RGPD y del Art. 21 de la LSSI. Para evitar este error, repasa la guía del formulario de contacto RGPD.

Baja que no funciona o exige iniciar sesión. El enlace de baja redirige a una página rota, exige credenciales que el usuario no recuerda o procesa la baja con retraso. Cada envío posterior es infracción autónoma del Art. 21.4 de la LSSI.

Soft opt-in mal aplicado. Newsletter de marketing genérico a clientes que compraron un producto concreto y específico. La similitud entre el producto comprado y el promocionado falla, la excepción del Art. 21.2 no cubre y se necesitaría consentimiento expreso.

Ausencia de log de confirmación. El responsable solo guarda el log del envío del formulario, no el log del clic de confirmación. Cuando la AEPD pide la prueba del segundo paso, no hay registro.

Cesión a terceros sin casilla específica. El alta de la newsletter ya implica "cesión a empresas del grupo o partners comerciales seleccionados". La cesión es una finalidad distinta del envío directo y requiere consentimiento separado.

Plataformas de email marketing

Las plataformas profesionales implementan doble opt-in por defecto. Si lo desactivas para acelerar el alta, asumes el coste probatorio. Estas son las que cubren mejor el caso español:

Plataforma	Doble opt-in	Alojamiento	Notas
Brevo (ex Sendinblue)	Sí, por defecto	UE (Francia)	Originaria francesa, panel en español
MailerLite	Sí, configurable	UE (Lituania) y EEUU	DPF aplicable a la pieza EEUU
Mailchimp	Sí, configurable	EEUU principal	DPF aplicable; transferencia a declarar
Mailjet	Sí, configurable	UE (Francia)	Filial de Sinch, panel multiidioma
ActiveCampaign	Sí, configurable	EEUU principal	DPF aplicable; potente automatización

Las cinco aceptan el DPA estándar del Art. 28 del RGPD. Acepta el DPA, archiva el justificante con fecha, e incluye el proveedor en la lista de destinatarios de la política de privacidad. Si la pieza de procesamiento está en EEUU, declara el DPF como mecanismo de transferencia.

Texto base para el formulario de alta

Plantilla que cumple los cuatro adjetivos del Art. 4.11 y permite documentar la prueba:

Suscríbete a nuestra newsletter mensual

Correo electrónico: [campo]

[campo opcional] Nombre

[Botón: Suscribirme]

Responsable del tratamiento: [Razón social], CIF [número]. Finalidad: envío mensual de novedades y contenido relacionado con [tema]. Base jurídica: consentimiento del Art. 6.1.a del RGPD. Recibirás un correo de confirmación con un enlace que debes pulsar para completar el alta. Puedes darte de baja en cualquier momento desde el enlace al pie de cada envío. Más información en nuestra Política de privacidad.

Checklist final

Antes de enviar la primera campaña, repasa:

Cuándo conviene asesoramiento legal externo

La configuración estándar de doble opt-in con prueba archivada cubre la mayoría de pymes. Hay casos donde conviene revisión específica:

Importación masiva de lista heredada de otro proyecto del mismo responsable, para evaluar si el consentimiento original cubre el nuevo tratamiento
Newsletter que segmenta por categorías especiales del Art. 9 RGPD (salud, ideología)
Newsletter con cesión sistemática a empresas del grupo o partners
Reclamación recibida de un suscriptor o requerimiento ya iniciado por la AEPD
Newsletter B2B que combina datos personales con datos de empresa en un único registro

Esto es análisis técnico, no asesoramiento legal. Para listas heredadas de otros proyectos, segmentación por categorías especiales o reclamaciones activas de la AEPD, consulta con un abogado especializado en protección de datos.

Comprueba tu web ahora

Analiza tu web en busca de problemas de RGPD y privacidad y más de 30 comprobaciones adicionales.

Analiza tu web gratis

Guías web

Formulario contacto RGPD España: información obligatoria

Cómo cumplir el RGPD en tu formulario de contacto en España: información del Art. 13, base jurídica, casilla NO premarcada y conservación de logs.

Google Analytics RGPD España: consentimiento (2026)

Cómo usar Google Analytics 4 cumpliendo el RGPD en España: consentimiento previo, configuración mínima, transferencias internacionales tras el DPF UE-EE.UU.

Política de privacidad modelo España: plantilla 2026

Crea una política de privacidad RGPD para tu pyme española. Plantilla paso a paso con los Arts. 13 y 14 RGPD, LOPDGDD 3/2018 y guía AEPD.

RGPD tienda online España: guía de cumplimiento 2026

Cumplimiento RGPD para tu tienda online en España: bases jurídicas, datos del cliente, pasarela de pago, transferencias internacionales y AEPD.

Auditoría RGPD de tu sitio web: guía paso a paso con DevTools

Auditoría RGPD de tu sitio web paso a paso con DevTools. Revisa cookies, política de privacidad, aviso legal LSSI, formularios y seguridad sin programar.