Píxeles de seguimiento, reguladores de la UE y tú: la guía de una persona tranquila sobre lo que acaba de pasar 

Este artículo del blog se ofrece únicamente con fines informativos generales y no constituye asesoramiento jurídico. El panorama normativo sobre el seguimiento de emails está evolucionando, y la aplicación de las normas de ePrivacy y el RGPD dependerá de tus circunstancias específicas, incluidas las jurisdicciones en las que operas y la naturaleza de tus programas de email. Te recomendamos consultar con un asesor legal cualificado antes de realizar cambios en tus prácticas de seguimiento o flujos de consentimiento. 
 

Que la fuerza te acompañe, este artículo es denso, pero te prometo que es información muy valiosa. Lo he comprobado tres veces con nuestros abogados.

Esta semana no. Pero debería estar en tu hoja de ruta, y no solo en tu lista de «algún día». 

En marzo y abril de 2026, los reguladores en Francia (CNIL) y Italia (el Garante) han publicado guías sobre el uso de píxeles de seguimiento en el email. No se trata de nuevas leyes. Son aclaraciones de las reglas existentes, principalmente la Directiva ePrivacy (el mismo marco detrás de los banners de consentimiento de cookies), junto con el RGPD, que se aplican a los píxeles de seguimiento en el email. 

El mensaje no es simplemente «detener el seguimiento». Es: justifica el seguimiento, limítalo y, en muchos casos, obtén el consentimiento para ello. 

Tanto la CNIL como el Garante parten de la misma premisa: los píxeles de seguimiento acceden a la información del dispositivo de un usuario y esa actividad entra en las reglas de ePrivacy. Esto significa que se requiere el consentimiento a menos que se aplique una exención específica. 

Si esto te suena familiar, debería. El email simplemente se está poniendo al día de donde el seguimiento web ha estado durante años. La fiesta ha estado en marcha durante un tiempo. El email llega elegante, aunque a regañadientes, tarde. 

Ambos reguladores reconocen lo que el sector ha denominado una ‘exención de entregabilidad’. Aunque esto no es un término legal formal, ambos reguladores reconocen que ciertos usos limitados y con fines específicos del seguimiento de aperturas están dentro de las exenciones de ePrivacy. 

La CNIL permite el seguimiento de aperturas a nivel individual sin consentimiento, pero solo para fines de entregabilidad estrictamente definidos:  

• Identificar destinatarios inactivos 

• Gestionar listas de supresión 

• Limpiar bases de datos 

Las restricciones son reales: almacenar datos mínimos (fecha de la última apertura, no el historial completo de interacción), no reutilizarlos para marketing o analíticas, y aplicarlo solo a los emails que el destinatario solicitó o para cuya recepción dio su consentimiento. 

El Garante adopta una posición significativamente diferente. La exención sin consentimiento se limita generalmente a estadísticas agregadas y anonimizadas; un píxel compartido por campaña, no un seguimiento por destinatario, con direcciones IP e identificadores técnicos anonimizados. El seguimiento de aperturas a nivel individual normalmente requiere consentimiento, fuera de los casos de uso específicos de seguridad y autenticación. 

La mayoría de los modelos de seguimiento de ESP estándar (incluido el nuestro) generan eventos de apertura por destinatario por defecto. Esta arquitectura cumple la exención de entregabilidad de la CNIL, cuando el remitente implementa controles adecuados de minimización de datos, limitación de fines y retención. Que la exención se aplique en un caso dado depende de cómo se utilizan los datos y de cómo se recopilan.  

Sin embargo, el seguimiento de eventos de apertura por destinatario no cumple con los requisitos del Garante sin cambios más significativos. 

Si tus analíticas dependen de señales de interacción individuales, estás en el territorio del consentimiento en Italia. 

1. El consentimiento para enviar un email no es lo mismo que el consentimiento para seguirlo. 

Esta es la que coge a la gente por sorpresa, así que tiene su propia sección. 

Puedes tener una base legal válida para enviar emails de marketing, emails transaccionales, incluso mensajes de servicios rutinarios, y aun así necesitar un consentimiento separado para usar píxeles de seguimiento en ellos. Sí, incluso los emails transaccionales. El requisito de consentimiento se aplica al píxel, no al mensaje en el que viaja. 

La CNIL es explícita al respecto: el consentimiento de seguimiento puede ser necesario incluso cuando el email en sí no lo requiera. En algunos casos, estos pueden agruparse en una sola solicitud claramente descrita, pero la suposición por defecto de que «se suscribieron, así que podemos seguirlos» no es segura. 

2. Un contrato por sí solo no demuestra el consentimiento. 

Si tu lista incluye contactos alquilados, direcciones obtenidas de colaboradores, clientes potenciales de afiliados o datos importados de cualquier lugar fuera de tus propios flujos de registro, esto es para ti. 

La CNIL exige que el consentimiento sea demostrable para cada destinatario individual; quién dio el consentimiento, cuándo y en qué condiciones. Una cláusula del contrato que indique que un colaborador recopiló el consentimiento en tu nombre es una parte importante de tu marco de responsabilidad, pero no es suficiente por sí sola. Si no puedes aportar pruebas de que cada destinatario individual específico dio realmente un consentimiento informado, no lo tienes. Vale la pena tener una conversación sobre esto con tu equipo legal, especialmente si tu lista tiene orígenes mixtos. Tampoco estaría de más asegurarte de que estás cumpliendo con la Política de Uso Aceptable de tu ESP, ya que estos clientes potenciales pueden ir en contra de sus reglas en primer lugar. 

Ambos reguladores dicen que retirar el consentimiento debe ser fácil, incluso para los emails que ya se encuentran en la bandeja de entrada de alguien. 

Esto es lo que significa realmente. Un usuario retira el consentimiento hoy. Mañana, abre un email que enviaste hace tres meses. El píxel se carga. La expectativa es que no debes registrar eso como un evento de apertura identificable. Aún está por ver qué tan estrictamente se aplicará esto en la práctica, pero la retirada del consentimiento debería entrar en vigor cuando el usuario lo solicite, incluso para los emails enviados previamente. 

Esto requiere que tu punto de conexión de píxeles compruebe el estado del consentimiento de forma dinámica en el momento de cada apertura, y ajuste su comportamiento en consecuencia; registrando el evento para los destinatarios que han dado su consentimiento, y no registrándolo para aquellos que lo han retirado. La imagen se carga de todos modos, pero tu comportamiento de seguimiento debe cambiar. 

No puedes cambiar esto con un interruptor en tu plataforma de envíos. Es una infraestructura de píxeles sensible al consentimiento, y la mayoría de los sistemas de email (incluido el nuestro y casi todos los ESP del mercado) no se crearon inicialmente de esta manera. La brecha entre la arquitectura actual y lo que implican estas guías es real, y cerrarla no es una tarea menor. 

La exención de entregabilidad, incluso en la forma más permisiva de Francia, asume que los datos de aperturas son una señal útil para identificar destinatarios inactivos. Pero el seguimiento de aperturas lleva años contaminado. 

La Protección de la Privacidad de Mail de Apple (entre otros) precarga las imágenes, generando aperturas que pueden no tener nada que ver con un ser humano leyendo un email. Las puertas de enlace de seguridad escanean los mensajes y desencadenan la carga de píxeles automáticamente. Los filtros de correo no deseado y los bots generan actividad antes de que un destinatario vea el mensaje en su bandeja de entrada. 

Esto crea una auténtica tensión en la guía. Los reguladores dicen que puedes usar las aperturas para suprimir usuarios inactivos sin consentimiento, pero las aperturas cada vez más no son señales humanas. Y las técnicas necesarias para filtrar la actividad no humana pueden requerir por sí mismas el tipo de procesamiento a nivel individual que necesita consentimiento. 

Es un círculo vicioso, necesitas datos más limpios para cumplir, pero limpiar los datos puede requerir consentimiento. Los reguladores aún no han abordado esto por completo, y esa brecha importa. Lo estamos vigilando de cerca. 

No inútiles, pero menos fiables, y probablemente menos fiables de lo que te gustaría. 

Si el seguimiento de aperturas pasa a depender del consentimiento, solo verás los datos de los destinatarios que hicieron opt in para ser seguidos. Esa población probablemente será pequeña y autoseleccionada, sesgada hacia tus suscriptores más interactivos, lo que la hace estadísticamente poco fiable para sacar conclusiones sobre tu audiencia más amplia. Añade a eso las aperturas generadas por máquinas, y obtienes métricas que son simultáneamente sesgadas e infladas. 

A nivel práctico, esto afecta a las automatizaciones basadas en aperturas, los flujos de reactivación, las pruebas de líneas de asunto, la segmentación, la lógica de personalización y la puntuación de la interacción. Ninguna de ellas se romperá de la noche a la mañana. Pero si tu programa se apoya mucho en los datos de aperturas, vale la pena auditar qué decisiones se degradarían si esa señal se volviera más estrecha y ruidosa de lo que ya es. 

Puede dar la sensación de que se está quitando algo nuevo. En realidad, es una aceleración de algo que ya estaba en marcha. Las aperturas ya se estaban volviendo ruidosas. Ahora se están volviendo selectivas y ruidosas. Los programas que menos notarán esto son los que de todos modos se han estado orientando hacia los clics, las conversiones, las respuestas y las acciones explícitas de los usuarios. 

¡Posiblemente! Y quizás para toda la UE con el tiempo. 

Los marcos francés e italiano no son iguales, y un enfoque alineado con la CNIL puede no satisfacer los requisitos italianos. Para los remitentes con una concentración significativa de audiencia en ambos mercados, tratarlos de manera idéntica crea una exposición al riesgo. 

Para muchos remitentes, el camino más limpio es alinearse con el estándar más estricto en todos los envíos de la UE. Reduce la fragmentación, reduce el riesgo de quedar atrapado entre dos objetivos móviles y te posiciona razonablemente bien si otros reguladores de la UE publican guías similares, lo que, dado que tanto la CNIL como el Garante se basan en el mismo marco del CEPD, es una predicción razonablemente segura. 

Este blog se centra en las recientes guías de la CNIL y el Garante, pero se aplican principios similares en otras jurisdicciones. En el Reino Unido, el PECR y las guías de la ICO imponen requisitos comparables para tecnologías similares a las cookies, incluidos los píxeles de seguimiento. Los remitentes con audiencias en Canadá, EE. UU. u otros mercados también deben considerar sus obligaciones bajo la CASL, la Controlling the Assault of Non-Solicited Pornography And Marketing y la legislación emergente en materia de protección de la privacidad a nivel estatal. La tendencia hacia una mayor transparencia y consentimiento en el seguimiento digital no se limita a la UE. 

Como tu plataforma de envíos, Sinch Mailgun y Mailjet operan como encargados del tratamiento. En el marco de la CNIL, somos el «proveedor de servicios de email». Tú, el remitente, eres el responsable del tratamiento. 

Eso significa que la obligación de recopilar, almacenar y demostrar el consentimiento del destinatario recae en ti, no porque estemos pasando la pelota, sino porque tú eres el que tiene la relación con el destinatario. Tú sabes lo que decía tu formulario de suscripción. Tú sabes de dónde provienen esas direcciones. Nosotros no. 

Lo que podemos hacer: proporcionar controles de seguimiento flexibles a nivel de dominio y mensaje, documentar cómo funcionan nuestros sistemas y hacer evolucionar nuestra plataforma a medida que este espacio se desarrolle. Nuestros equipos legal, de productos y de entregabilidad están haciendo un seguimiento activo de las guías emitidas sobre este tema, y nos comunicaremos claramente antes de hacer cualquier cambio en el comportamiento de la plataforma. 

Lo que no podemos hacer: saber si tus destinatarios dieron su consentimiento para el seguimiento a menos que nos lo digas. Cualquier futuro comportamiento sensible al consentimiento a nivel de plataforma depende de que esa señal provenga de ti. Esa no es una limitación de la plataforma que podamos evitar mediante el diseño, sino una realidad estructural de cómo el RGPD y ePrivacy asignan la responsabilidad. Del mismo modo, la decisión de activar o deshabilitar el seguimiento para el tráfico de email que envías es tuya.  

Este es el momento de organizarse, no de ser reactivo. 

Audita tu uso de los datos de aperturas. Mapea dónde alimentan las aperturas tus sistemas, incluidos los disparadores de automatización, los paneles de control de analíticas, la segmentación, la personalización y las decisiones de entregabilidad. Entiende qué se degradaría si esa señal pasara a depender del consentimiento o incluso fuera más limitada. 

Revisa tus flujos de consentimiento y documentación de privacidad. ¿Los formularios de suscripción mencionan el seguimiento? ¿Lo describe tu política de privacidad claramente? La CNIL recomienda que el consentimiento para el seguimiento de píxeles se recopile en el momento de la captura de la dirección de email siempre que sea posible. 

Revisa de dónde provino tu lista. Para cualquier dirección que no haya llegado a través de tus propios formularios y flujos, como las alquiladas, corregistradas o proporcionadas por colaboradores, pregúntate si puedes demostrar el consentimiento individual. Un contrato no es suficiente por sí solo. (Y como siempre, también necesitas cumplir con las  políticas de tu ESP también) 

Identifica tu exposición en la UE. Francia e Italia tienen los planes de aplicación más inmediatos. Si tienes envíos significativos a cualquiera de los dos mercados, esos son tu prioridad. 

Decide si activar o deshabilitar el seguimiento. Deshabilitar todo el seguimiento de aperturas puede crear problemas operativos sin mejorar tu posición de cumplimiento – la única forma de saberlo es examinar tu uso de la información. Entiende el panorama completo de lo que significan para ti las recientes guías primero, y luego actúa. 

Esto no es el fin del seguimiento de emails por completo, pero es una señal de que el email se está moviendo hacia el mismo modelo bajo el que ha operado el seguimiento web durante años: un propósito más claro, más transparencia, más control del usuario. 

La diferencia es el momento. El seguimiento web tuvo que reaccionar a la regulación a posteriori. El email tiene la oportunidad de prepararse, y esa es una posición genuinamente mejor en la que estar. 

Este cambio ya estaba ocurriendo. Entre la MPP de Apple, el escaneo de seguridad y la evolución del comportamiento en la bandeja de entrada, las tasas de aperturas ya estaban perdiendo fiabilidad mucho antes de que ningún regulador interviniera. Esta guía lo hace oficial: el futuro de la interacción por email son las señales intencionales, no las pasivas. Clics. Conversiones. Respuestas. Acciones que significan algo cuando ocurren. 

No hay campañas de aplicación hoy en día, pero la dirección está clara, la brecha entre cómo funciona actualmente el seguimiento de emails y cómo los reguladores esperan que funcione es real, y cerrar esa brecha requerirá tiempo, coordinación y un cierto replanteamiento arquitectónico. 

La buena noticia es que puedes verlo venir. 

Ese es un lugar mucho mejor en el que estar que enterarse a posteriori. 

Author: Alison Gootee