Cumplimiento

LSSI-CE: ley servicios sociedad información

LSSI-CE Ley 34/2002 y su intersección con el RGPD: cookies, email marketing, comercio electrónico, condiciones generales y régimen sancionador 2026.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. La LSSI-CE (Ley 34/2002) regula los servicios de la sociedad de la información y el comercio electrónico en España, intersectando con el RGPD en tres áreas críticas: cookies (art. 22.2), email/SMS comercial (art. 21) e identificación del prestador (arts. 9-10), con sanciones acumulables AEPD + autoridad sectorial.

Puntos clave

  • Vigente desde 2002, modificada por el RDL 13/2012 (cookies) y posteriores.
  • Aplicable a TODO prestador de servicio digital con destinatarios en España.
  • Cookies: art. 22.2 LSSI + RGPD = consentimiento del usuario.
  • Email/SMS comercial: art. 21 LSSI con régimen autónomo.
  • Sanciones LSSI hasta 600.000 EUR (muy graves) acumulables con AEPD.

1. Ámbito de aplicación

La LSSI-CE aplica a:

  • Webs de empresas españolas con destinatarios en España.
  • Comercio electrónico B2C y B2B con destinatarios en España.
  • Apps móviles con servicios prestados en España.
  • Webs extranjeras que prestan habitualmente servicios en España.

Excluye servicios offline y comunicaciones no electrónicas.

2. Identificación del prestador (arts. 9-10)

Toda web comercial debe mostrar de forma permanente, accesible y gratuita:

  • Denominación social completa.
  • Domicilio fiscal.
  • CIF.
  • Datos de contacto (email obligatorio).
  • Datos de inscripción registral si los hay.
  • Datos de autorización administrativa si actividad regulada.
  • Códigos de conducta a los que adherido.

Sanción típica por incumplimiento: 600-30.000 EUR.

3. Cookies: art. 22.2 LSSI

Régimen integrado con RGPD. Requisitos:

  • Información clara y comprensible sobre cookies utilizadas.
  • Consentimiento previo y específico para cookies NO técnicas.
  • Posibilidad de revocación.
  • Botón “Aceptar” y “Rechazar” al mismo nivel visual.

Ver bandera de cookies AEPD 2026.

4. Tipos de cookies y régimen

Tipo Consentimiento Ejemplo
Técnicas (sesión, carrito) No requerido Login, idioma
Personalización No si elegido por usuario Tema oscuro
Analíticas propias No requerido (matiz AEPD) Logs internos
Analíticas terceros Requerido Google Analytics
Marketing Requerido Meta Pixel, Google Ads
Sociales Requerido Botones share Facebook

5. Comunicaciones comerciales: art. 21 LSSI

Régimen restrictivo para email, SMS, mensajería:

  • Regla general: prohibido enviar sin consentimiento previo del destinatario.
  • Excepción: cliente con relación contractual previa, sobre productos similares y con opción clara de oposición.

La interpretación es restrictiva. “Similares” significa misma categoría de producto, no cualquier producto del catálogo.

6. Régimen del email comercial

Toda comunicación comercial electrónica debe:

  • Identificarse claramente como tal (palabra “publicidad” o “publi”).
  • Identificar al anunciante.
  • Indicar las condiciones de la oferta si la hay.
  • Ofrecer mecanismo simple y gratuito de baja en cada envío.

Sanción típica AEPD + LSSI: 5.000-60.000 EUR.

7. Lista Robinson y telemarketing

LSSI-CE coordina con la Ley General de Telecomunicaciones art. 66. Toda llamada comercial requiere:

  • Verificación previa de Lista Robinson.
  • Identificación del anunciante al inicio.
  • Información sobre derecho de oposición.
  • Cese inmediato si el usuario se opone.

8. Comercio electrónico: arts. 23-29 LSSI

Obligaciones específicas en ventas online:

  • Información precontractual completa (productos, precios, gastos envío, derecho desistimiento).
  • Acuse de recibo del pedido en plazo razonable.
  • Información post-contractual (factura, condiciones).
  • Términos y condiciones accesibles antes de la celebración del contrato.
  • Política de devoluciones y desistimiento (14 días B2C).

Ver RGPD ecommerce España.

9. Régimen sancionador LSSI

Tipo Importe (EUR)
Leve Hasta 30.000
Grave 30.001 - 150.000
Muy grave 150.001 - 600.000

Infracciones típicas:

  • Falta de identificación (leve).
  • Envío masivo sin consentimiento (grave).
  • Cookies no técnicas sin consentimiento (grave).
  • Envío masivo sistemático sin consentimiento + reincidencia (muy grave).

10. Coordinación AEPD + autoridad sectorial

La LSSI es competencia de Ministerio de Asuntos Económicos. La AEPD interviene cuando hay tratamiento de datos personales asociado:

  • Cookies con tracking: AEPD.
  • Email comercial: AEPD + LSSI simultánea.
  • Identificación del prestador: LSSI.

Sanciones acumulables entre LSSI y RGPD.

11. Obligaciones específicas de marketplaces y plataformas

Marketplaces (Amazon Marketplace, Wallapop, etc.) tienen obligaciones reforzadas:

  • Información sobre vendedores y su responsabilidad.
  • Sistema de reclamaciones accesible.
  • Cooperación con autoridades.
  • Retirada de contenidos ilícitos.
  • Notificaciones DSA (Reglamento UE 2022/2065) desde 2024.

12. DSA y nueva regulación europea

El Reglamento de Servicios Digitales (DSA, 2022/2065) sustituye parcialmente el régimen de la LSSI para plataformas medianas y grandes. Coexistencia:

  • LSSI para servicios y prestadores no cubiertos por DSA.
  • DSA para plataformas online y VLOPs (Very Large Online Platforms).
  • Régimen sancionador DSA hasta 6% facturación.

13. Cómo cumplir LSSI-CE

  • Aviso legal completo accesible desde toda página.
  • Política de privacidad con sección de cookies.
  • Banner de cookies conforme guía AEPD 2026.
  • Términos y condiciones accesibles antes de compra.
  • Sistema de baja en cada email comercial.
  • Verificación Lista Robinson previa a telemarketing.
  • Procedimiento de respuesta a reclamaciones.
  • Checklist RGPD que cubre intersección.

FAQ

¿LSSI-CE aplica a mi blog personal?

Solo si tiene fin económico (publicidad, productos, servicios). Blog personal sin ingresos no entra en LSSI.

¿Necesito banner de cookies si solo uso analíticas?

Sí si las analíticas son de terceros (Google Analytics, etc.). Las analíticas propias internas tienen interpretación más laxa AEPD.

¿Puedo enviar email a clientes que ya tengo?

Solo sobre productos o servicios similares a los ya contratados y con opción de baja en cada envío (art. 21 LSSI).

¿Las sanciones LSSI y RGPD se acumulan?

Sí. Son normas distintas con bienes jurídicos distintos. La AEPD y la autoridad LSSI pueden sancionar simultáneamente por los mismos hechos.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →