EN ES
Muestra gratis
Legal y RGPD

¿Es legal bajo el RGPD enviar cold emails a leads extraídos de Instagram? (Guía UE 2026)

¿Es legal el cold email a contactos extraídos de Instagram bajo el RGPD en 2026? Base legal, test de ponderación, reglas de AEPD, CNIL e ICO, y la documentación previa al envío.

Retrato de Teseo Calvente, responsable de Growth Research en Scraphex.
Teseo Calvente Responsable de Growth Research en Scraphex
Publicado 22 de abril de 2026 · Actualizado 22 de abril de 2026 · 12 min de lectura

«¿Esto es legal?» es la pregunta que nos hacen en casi todas las demos. La respuesta corta, para cold email a contactos de empresa extraídos de perfiles públicos de Instagram y enviado a destinatarios en la UE o el Reino Unido en 2026, es: sí, bajo condiciones específicas, y sólo si puedes demostrar que esas condiciones se cumplieron antes de que saliera el primer email de tu servidor. La respuesta larga es el resto de esta entrada.

Esta guía está escrita para responsables de growth, fundadores y operadores de outbound que lanzan campañas a mercados de la UE y quieren quedarse del lado correcto del RGPD sin convertir el cumplimiento en un proyecto paralizante. No sustituye a un abogado que conozca tu situación, y la página de política editorial explica dónde ponemos ese límite. Pero es un mapa utilizable de cómo suele aplicarse la ley al flujo muy concreto de extraer datos de contacto públicos de Instagram y usarlos para cold email a prospectos B2B.

La entrada hermana sobre cómo extraer emails de Instagram sin iniciar sesión cubre la parte técnica. Ésta cubre la parte legal.

Qué regula realmente el RGPD

Mucha confusión en torno al cumplimiento viene de malinterpretar qué hace el RGPD. No prohíbe el cold email. No prohíbe el scraping. Ni siquiera prohíbe el uso de datos personales encontrados en perfiles públicos. Lo que hace — y lo que importa para outbound — es exigir dos cosas:

  1. Una base legal para el tratamiento de datos personales (Artículo 6).
  2. El respeto de un conjunto de principios de protección de datos (Artículo 5): limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

Cada campaña de cold email que lanzas a la UE es una actividad de tratamiento. La dirección de email es un dato personal. El acto de almacenarla, filtrarla, enviarle y registrar su respuesta es tratamiento. Si no puedes señalar una base legal para cada uno de esos pasos, y si no puedes demostrar que respetaste los principios del Artículo 5, no estás cumpliendo — independientemente de dónde vinieran los datos.

La buena noticia: existe una base legal disponible para cold email B2B, y hay una forma práctica de operar dentro de los principios. La mala: ninguna de las dos es automática, y ninguna de las dos es lo que hacen la mayoría de los montajes de outbound de «envía primero y documenta después».

El RGPD ofrece seis bases legales. Para email comercial no solicitado, realistamente sólo dos están sobre la mesa:

  • Consentimiento (Artículo 6(1)(a)) — el destinatario ha dado una indicación libre, específica, informada e inequívoca de que quiere recibir tus mensajes. Por definición, un destinatario de cold email no ha hecho esto. El consentimiento es la base para suscriptores de newsletter, no para prospectos.
  • Interés legítimo (Artículo 6(1)(f)) — el tratamiento es necesario para una finalidad legítima que persigues tú (o un tercero) y ese interés no se ve superado por los derechos y libertades del destinatario.

Para outreach B2B a contactos profesionales, el interés legítimo es la base en la que se apoyan la mayoría de emisores serios. No es un resquicio. Es una elección defendible que te obliga a hacer trabajo real por adelantado — en concreto, un test de ponderación por escrito — y a ofrecer al destinatario un mecanismo de oposición real.

Para outreach B2C a direcciones personales de consumidor en la UE, la respuesta es prácticamente la contraria: el consentimiento suele ser obligatorio en la práctica, porque el equilibrio entre tu interés comercial y la privacidad del consumidor se inclina casi siempre a favor del consumidor. Si la lista de Instagram que construiste a partir de datos públicos contiene direcciones personales de consumidor, hacerles cold email bajo interés legítimo no es defendible — da igual de dónde vinieran los datos. Es una de las razones por las que recomendamos filtrar agresivamente para cuentas de empresa y descartar las personales, tal y como se describe en la entrada sobre extracción.

El test de ponderación, en la práctica

El test de ponderación del interés legítimo — a menudo abreviado LIA, por Legitimate Interests Assessment — es el documento que, en caso de reclamación, decide si tenías base o no. Tiene tres partes sustantivas:

  1. Test de finalidad. ¿El interés que persigues es legítimo? «Contactar a empresas a las que plausiblemente les beneficia nuestro servicio» es legítimo. «Mandar marketing no solicitado a quienquiera cuyo email podamos conseguir» no lo es.
  2. Test de necesidad. ¿El tratamiento es necesario para esa finalidad, o podrías alcanzarla por un medio menos intrusivo? Hacer cold email a una lista estrecha y filtrada de encaje plausible suele ser necesario — no llegas a ese pipeline sólo con inbound en el mismo horizonte temporal. Hacer cold email a una lista masiva sin filtrar no lo es; la misma finalidad se podría alcanzar con muchos menos datos.
  3. Test de ponderación. ¿El derecho a la privacidad del destinatario prevalece sobre el interés? Aquí es donde importan el filtrado, la relevancia y las expectativas razonables. El fundador de una SaaS B2B, cuyo email profesional está publicado en su perfil de empresa de Instagram, que recibe un único mensaje relevante de una empresa real que ofrece un servicio relevante, con un opt‑out que funciona — esa persona tiene un argumento débil de privacidad frente a tu outreach. Un particular cuyo email has inferido por adivinación de dominio, que recibe mensajes masivos sin relevancia para su rol, tiene un argumento muy fuerte.

El LIA no es un ejercicio teórico. Debe ser un documento escrito, mantenido por campaña o segmento de audiencia, revisado cuando cambias el targeting o el mensaje de forma material, y disponible para presentar si lo piden. En la práctica, un LIA de una página por segmento de mercado es suficiente para la mayoría de emisores B2B. La propiedad crítica es que haya existido antes del lanzamiento de la campaña.

Qué te da y qué no te da el «dato público»

Un mito peligroso en círculos de outbound es que los datos de contacto públicamente disponibles están libres de RGPD. No lo están. El RGPD se aplica al tratamiento de datos personales, no al acto de hacerlos públicos. Un email que un dueño de negocio eligió publicar en su perfil de Instagram sigue siendo dato personal en el momento en que lo almacenas en tu herramienta de outbound.

Lo que la fuente pública te da es apoyo sustancial en dos sitios concretos:

  • Expectativas razonables. Un dueño de negocio que ha decidido mostrar su email en un perfil de empresa en una red social pública ha creado una expectativa razonable de que contactos comerciales la usen con fines comerciales. Eso pesa a tu favor en el test de ponderación, pero no lo sustituye.
  • Relajación del aviso del Artículo 14(5)(b), a veces. Bajo el Artículo 14, cuando recabas datos personales de una fuente distinta de la propia persona, normalmente debes facilitar una nota informativa. Hay una excepción limitada si facilitarla supone un esfuerzo desproporcionado, pero exige documentación y es más estrecha de lo que los operadores suelen asumir.

Lo que la fuente pública no te da es:

  • Libertad para enviar a direcciones personales de consumidor.
  • Excusa para saltarte la gestión del opt‑out.
  • Cobertura para asuntos engañosos, suplantación o identificación inexacta del remitente.
  • Un sustituto del LIA.

Trata «públicamente disponible» como un factor que refuerza tu posición. Nunca lo trates como la posición.

Particularidades por país: AEPD, CNIL, ICO

El RGPD es de la UE, pero los reguladores nacionales y las transposiciones nacionales añaden matiz. Para cold email B2B a mercados de la UE en 2026, estas son las tres autoridades con las que más se tropiezan los operadores de outbound, con un resumen de una línea de cómo se comporta cada una:

  • España — AEPD. Bastante activa sancionando prácticas de marketing no conformes, con un histórico sólido en fallos de transparencia y comunicaciones comerciales no solicitadas bajo la LSSI‑CE (la implementación española de la Directiva ePrivacy). La LSSI‑CE exige en concreto opt‑in para comunicaciones comerciales electrónicas a consumidores; la excepción B2B es más estrecha de lo que muchos emisores asumen y depende de que el servicio sea «relevante para la actividad profesional» del destinatario.
  • Francia — CNIL. También activa, con guías públicas detalladas sobre prospección B2B. La CNIL acepta el interés legítimo para cold email B2B en principio, pero espera (a) que se contacte al destinatario en su rol profesional, (b) que el mensaje guarde relación con ese rol profesional, y (c) que exista un opt‑out simple y se respete.
  • Reino Unido — ICO. Post‑Brexit el Reino Unido aplica el UK GDPR más PECR. La guía del ICO sobre marketing directo es uno de los documentos regulatorios más claros en este espacio y vale la pena leerla incluso si tus destinatarios están fuera del Reino Unido, porque refleja cómo piensan la mayoría de autoridades europeas sobre las mismas preguntas. PECR impone reglas adicionales al marketing electrónico, incluyendo un régimen de soft opt‑in que es más estrecho de lo que la gente asume para cold outreach.

En la práctica, si construyes tu flujo para satisfacer la más estricta de las expectativas de AEPD + CNIL + ICO, estás en una posición defendible en el resto de la UE. Allí donde la ley local imponga reglas genuinamente más estrictas — como hace a veces la LSSI‑CE con el outreach a consumidores — o cumples explícitamente, o excluyes a esos destinatarios de la campaña.

Documentación que necesitas antes de enviar

Si te llevas un único cambio operativo de esta entrada, que sea este: no envíes el primer email de una campaña a la UE antes de tener, por escrito:

  1. Un test de ponderación de interés legítimo (LIA) para la campaña o el segmento de audiencia.
  2. Un registro de actividades de tratamiento que describa qué datos tienes, de dónde vienen, cuánto los conservas, quién puede acceder a ellos y con qué base.
  3. Una política de privacidad accesible desde cada email que envías, cubriendo las obligaciones de información de los Artículos 13/14 (quién eres, por qué tratas, base legal, retención, derechos del destinatario).
  4. Un opt‑out que funciona. Enlace de un clic u opt‑out por respuesta claro, respetado en un número pequeño de días hábiles, que suprima la dirección de campañas futuras — no sólo de esta campaña.
  5. Una lista de supresión mantenida entre campañas, no por campaña.
  6. Un contacto para solicitudes de los interesados. Una dirección de email monitorizada en el dominio del remitente, capaz de gestionar accesos, rectificaciones, oposiciones y supresiones dentro de los plazos del RGPD.

Nada de esto tiene que ser barroco. Un emisor B2B serio puede montar el conjunto completo en unos días. Pero los documentos tienen que existir antes del envío, no después de la reclamación. Los reguladores notan la diferencia.

Mecánica del opt‑out que de verdad importa

Una cantidad sorprendente de cumplimiento en outbound se reduce a una pregunta: cuando alguien dice «para», ¿paras de verdad? La respuesta en la mayoría de stacks de outreach es «casi», y «casi» es la respuesta equivocada.

Tres comprobaciones operativas que convierten un opt‑out ambiguo en uno claro:

  • La lista de supresión es entre campañas. Una dirección que se da de baja de una secuencia nunca debe recibir otro email comercial tuyo. Los reguladores tratan los opt‑outs por campaña como mala fe; el destinatario obviamente no quiso decir «sólo esta campaña».
  • Los opt‑outs por respuesta cuentan. Si tu remitente monitoriza respuestas, debe reconocer y respetar solicitudes en lenguaje llano («por favor, para», «bórrame», «no me interesa») como opt‑outs duros, no sólo los clics en el enlace de unsubscribe. La mayoría de reclamaciones que hemos visto vienen de emisores que procesaban bien los clics e ignoraban las respuestas.
  • El tratamiento del propio opt‑out está documentado. El interesado tiene derechos en virtud de los Artículos 16 a 21; «pedí que me borraran y siguieron enviando» es el camino más rápido a una reclamación formal. Mantén rastro de auditoría.

Trampas comunes que convierten lo defendible en reclamación

Hay cuatro patrones recurrentes que convierten un flujo que por lo demás sería defendible en uno que atrae la atención del regulador. Los cuatro son operativos, no jurídicos:

  • Comprar una lista a un proveedor no verificado y convencerte de que son datos públicos. Heredas la posición de cumplimiento de la fuente. Si el proveedor no puede documentar de dónde vienen los datos y sobre qué base, tú tampoco puedes.
  • Enviar a direcciones personales de consumidor en la UE bajo una justificación B2B. La relajación B2B en el test de ponderación no sobrevive al contacto con una bandeja de entrada de consumidor. Filtra esto en la extracción, no en el envío.
  • Disfrazar outreach comercial como referidos, respuestas o mensajes personales. El principio de transparencia del Artículo 5 y las normas anti‑spam nacionales prohíben presentaciones engañosas del remitente. Los asuntos engañosos son una de las dos o tres cosas que los reguladores escalan rápido, incluso a bajo volumen.
  • Ignorar opt‑outs entre campañas o entre dominios de envío. Rotar dominios para evitar la lista de supresión es exactamente la conducta que hace que un regulador pase de «probablemente bien» a «deliberadamente evasivo».

Ninguna es difícil de evitar. Sólo requieren que el operador trate el cumplimiento como parte del flujo en lugar de como un añadido posterior.

Cuándo hablar con un abogado

Tres situaciones merecen una conversación real con un letrado, no una entrada de blog:

  1. Vas a contactar consumidores en la UE a cualquier volumen real. El marco B2B de arriba no te cubre aquí.
  2. Tu fuente de datos incluye categorías especiales — salud, origen racial o étnico, opiniones políticas, etc. Se aplica el Artículo 9 y la vara sube mucho.
  3. Un regulador o un destinatario ya ha presentado una reclamación. Deja de enviar al segmento correspondiente, conserva los registros y busca asesoramiento antes de responder.

Para el caso día a día de outbound B2B descrito aquí, lo correcto suele ser formalizar el flujo — el LIA, la supresión, el opt‑out, la política — y seguir. Es parte de lo que construimos para clientes en Scraphex, junto con la extracción y la entregabilidad: el mismo flujo sin login basado en datos públicos descrito en la entrada sobre extracción, acompañado de la documentación que te permite enviar a mercados UE sin inventarte un proceso de cumplimiento desde cero. No es asesoramiento legal, pero elimina los dos o tres modos operativos de fallo que convierten campañas defendibles en reclamaciones.

La versión corta

Hacer cold email a contactos de empresa extraídos de perfiles públicos de Instagram, enviado a destinatarios de la UE, puede ser legal bajo el RGPD en 2026. Los requisitos son concretos, no misteriosos: una base legal de interés legítimo con un test de ponderación escrito, targeting estrecho a contactos de empresa, identificación transparente del remitente, un opt‑out entre campañas que funciona y una política de privacidad enlazada desde cada envío. Haz esas seis cosas, mide la tasa de respuesta como métrica de calidad y tendrás un canal que puedes operar sin mirar por encima del hombro. Sáltate cualquiera de ellas y estarás apostando a que nadie reclame — que, a cualquier escala real, no es una apuesta.

Si quieres esto operado por nosotros — extracción, filtrado, entregabilidad y la documentación de cumplimiento en torno a envíos UE — puedes pedir una muestra gratis y te entregamos a mano 50 leads filtrados en tu nicho en 24–48 horas. Es la forma más rápida de ver el flujo completo de principio a fin.

Retrato de Teseo Calvente, responsable de Growth Research en Scraphex.
Teseo Calvente Responsable de Growth Research en Scraphex

Teseo Calvente dirige Growth Research en Scraphex, donde escribe sobre prospección en Instagram, entregabilidad de cold email y los límites legales de la generación de leads B2B en la UE y EE. UU. Antes de Scraphex pasó seis años en equipos de marketing de performance y RevOps en empresas DTC y SaaS B2B en Madrid y Barcelona.

Prospección en Instagram

Cómo extraer emails de seguidores de Instagram en 2026 sin iniciar sesión

Cómo conseguir leads cualificados de Instagram en 2026 — emails, bios, filtros — sin iniciar sesión, sin que te baneen y sin una lista que tu equipo comercial ignore.

 Prospección en Instagram

Lista de conquista de competidores en Instagram: manual para agencias (2026)

Cómo las agencias extraen, filtran y entregan una lista de email frío desde los seguidores de competidores en Instagram — flujo completo hasta el CSV listo para enviar.

 Prospección en Instagram

Hashtags y ubicación en Instagram: cómo extraer leads de nicho y sus emails (2026)

Cómo usar hashtags y ubicación de Instagram para construir listas de leads de nicho en 2026 — el manual de targeting para marcas DTC y agencias de crecimiento.