Píxeles de seguimiento, los reguladores de la UE y tú: una guía para personas tranquilas sobre lo que acaba de suceder 

Publicado por primera vez por Mailgun.

¿Necesitas replantearte el seguimiento de emails en la UE? 

Esta semana no. Pero debería estar en tu hoja de ruta, y no solo en tu lista de «algún día». 

En marzo y abril de 2026, los reguladores de Francia (CNIL) e Italia (el Garante) publicaron directrices sobre el uso de píxeles de seguimiento en el email. No se trata de leyes nuevas. Son aclaraciones de las normas existentes, principalmente la Directiva sobre la privacidad y las comunicaciones electrónicas (ePrivacy) (el mismo marco en el que se basan los banners de consentimiento de cookies), junto con el RGPD, que se aplican a los píxeles de seguimiento en los emails. 

El mensaje no es simplemente «detén el seguimiento». Es: justifica el seguimiento, limítalo y, en muchos casos, obtén el consentimiento para realizarlo. 

Tanto la CNIL como el Garante parten de la misma premisa: los píxeles de seguimiento acceden a información del dispositivo de un usuario y esa actividad entra dentro de las normas de ePrivacy. Esto significa que se requiere el consentimiento a menos que se aplique una exención específica. 

Si te suena familiar, debería. El email simplemente se está poniendo al día con la situación en la que ha estado el seguimiento en las páginas web durante años. La fiesta lleva en marcha desde hace tiempo. El email llega tarde de forma elegante, aunque a regañadientes. 

Ambos reguladores reconocen lo que el sector ha denominado ‘exención de entregabilidad’. Aunque no se trata de un término legal formal, ambos reguladores reconocen que ciertos usos limitados y específicos del seguimiento de aperturas están contemplados en las exenciones de ePrivacy. 

La CNIL permite el seguimiento de aperturas a nivel individual sin consentimiento, pero solo para fines de entregabilidad estrictamente delimitados:  

• Identificar destinatarios inactivos 

• Gestionar listas de supresión 

• Limpiar bases de datos 

Las restricciones son reales: almacenar datos mínimos (fecha de la última apertura, no el historial de interacción completo), no reutilizarlos para marketing o analíticas y aplicarlos solo a los emails que el destinatario haya solicitado o consentido recibir. 

El Garante adopta una postura significativamente diferente. La exención sin consentimiento se limita generalmente a estadísticas agregadas y anonimizadas; un píxel compartido por campaña, no un seguimiento por destinatario, con las direcciones IP y los identificadores técnicos anonimizados. El seguimiento de aperturas a nivel individual suele requerir el consentimiento, excepto en los casos de uso específicos de seguridad y autenticación. 

La mayoría de los modelos de seguimiento de ESP estándar (incluido el nuestro) generan eventos de apertura por destinatario de forma predeterminada. Esta arquitectura cumple con la exención de entregabilidad de la CNIL, cuando el remitente implementa los controles adecuados de minimización de datos, limitación de la finalidad y retención. El hecho de que la exención se aplique en un caso determinado depende tanto de cómo se utilicen los datos como de cómo se recopilen.  

Sin embargo, el seguimiento de eventos de apertura por destinatario no cumple con los requisitos del Garante sin realizar cambios más significativos. 

Si tus analíticas dependen de señales de interacción individuales, te adentras en el terreno del consentimiento en Italia. 

1. El consentimiento para enviar un email no es lo mismo que el consentimiento para seguirlo. 

Esto es lo que coge a la gente desprevenida, por lo que tiene su propia sección. 

Puedes tener una base legal válida para enviar emails de marketing, emails transaccionales e incluso mensajes de servicio rutinarios, y aun así necesitar un consentimiento por separado para utilizar píxeles de seguimiento en ellos. Sí, incluso en los emails transaccionales. El requisito de consentimiento se aplica al píxel, no al mensaje en el que va incluido. 

La CNIL es explícita sobre esto: el consentimiento de seguimiento puede ser necesario incluso cuando el propio email no lo requiere. En algunos casos, estos pueden agruparse en una única solicitud claramente descrita, pero la suposición predeterminada de que «se han suscrito, así que podemos seguirlos» no es segura. 

2. Un contrato por sí solo no demuestra el consentimiento. 

Si tu lista incluye contactos alquilados, direcciones de colaboradores, clientes potenciales de afiliados o datos importados de cualquier lugar fuera de tus propios flujos de suscripción, esto es para ti. 

La CNIL exige que el consentimiento sea demostrable para cada destinatario individual; quién dio su consentimiento, cuándo y bajo qué condiciones. Una cláusula contractual que indique que un colaborador recopiló el consentimiento en tu nombre es una parte importante de tu marco de responsabilidad, pero no es suficiente por sí sola. Si no puedes aportar pruebas de que cada destinatario individual específico dio realmente un consentimiento informado, no lo tienes. Merece la pena hablar de ello con tu equipo jurídico, especialmente si tu lista tiene orígenes mixtos. Tampoco estaría de más que te aseguraras de que también cumples con la Política de Uso Aceptable de tu ESP, ya que en primer lugar, estos clientes potenciales pueden ir en contra de sus normas. 

Ambos reguladores afirman que la retirada del consentimiento debe ser fácil, incluso para los emails que ya están en la bandeja de entrada de alguien. 

Esto es lo que significa realmente. Un usuario retira su consentimiento hoy. Mañana, abre un email que enviaste hace tres meses. El píxel se carga. La expectativa es que no registres esto como un evento de apertura identificable. Queda por ver con qué rigor se aplicará esto en la práctica, pero la retirada del consentimiento debería tener efecto cuando el usuario lo solicite, incluso en los emails enviados anteriormente. 

Esto requiere que tu punto de conexión del píxel compruebe el estado del consentimiento de forma dinámica en el momento de cada apertura, y ajuste su comportamiento en consecuencia; registrando el evento para los destinatarios que hayan dado su consentimiento, y no registrándolo para aquellos que lo hayan retirado. La imagen se carga de todos modos, pero tu comportamiento de seguimiento debe cambiar. 

No puedes cambiar esto con un interruptor en tu plataforma de envíos. Se trata de una infraestructura de píxeles consciente del consentimiento, y la mayoría de los sistemas de email (incluido el nuestro y casi cualquier ESP del mercado) no se crearon inicialmente de esta manera. La brecha entre la arquitectura actual y lo que implican estas directrices es real, y cerrarla no es una tarea menor. 

La exención de entregabilidad, incluso en su forma más permisiva en Francia, asume que los datos de apertura son una señal útil para identificar destinatarios inactivos. Pero el seguimiento de aperturas ha estado contaminado durante años. 

La Protección de la Privacidad de Mail de Apple (entre otras) carga previamente las imágenes, lo que genera aperturas que pueden no tener nada que ver con un humano leyendo un email. Las puertas de enlace de seguridad escanean los mensajes y desencadenan la carga de píxeles automáticamente. Los filtros de correo no deseado y los bots generan actividad antes de que un destinatario vea el mensaje en su bandeja de entrada. 

Esto crea una auténtica tensión en las directrices. Los reguladores dicen que puedes utilizar las aperturas para suprimir a los usuarios inactivos sin consentimiento, pero cada vez más las aperturas no son señales humanas. Y las propias técnicas necesarias para filtrar la actividad no humana pueden requerir el tipo de procesamiento a nivel individual que necesita consentimiento. 

Es un círculo vicioso: necesitas datos más limpios para cumplir, pero limpiar los datos puede requerir consentimiento. Los reguladores todavía no han abordado esto por completo, y esa brecha importa. Lo estamos siguiendo de cerca. 

No inútiles, pero menos fiables, y probablemente menos fiables de lo que te gustaría. 

Si el seguimiento de aperturas queda supeditado al consentimiento, solo verás los datos de los destinatarios que dieron el opt in para ser seguidos. Esa población probablemente sea pequeña y autoseleccionada, sesgada hacia tus suscriptores más interactivos, lo que la hace estadísticamente poco fiable para sacar conclusiones sobre tu audiencia más amplia. Añade a esto las aperturas generadas por máquinas, y obtendrás métricas que están simultáneamente sesgadas e infladas. 

A nivel práctico, esto afecta a las automatizaciones basadas en aperturas, a los flujos de reactivación, a las pruebas de línea de asunto, a la segmentación, a la lógica de personalización y a la puntuación de interacción. Nada de esto se va a estropear de la noche a la mañana. Pero si tu programa se apoya en gran medida en los datos de aperturas, merece la pena auditar qué decisiones empeorarían si esa señal se volviera más estrecha y ruidosa de lo que ya es. 

Puede parecer que te están quitando algo nuevo. En realidad, se trata de una aceleración de algo que ya está en marcha. Las aperturas ya se estaban volviendo ruidosas. Ahora se están volviendo selectivas y ruidosas. Los programas que menos lo notarán son los que de todos modos ya se han estado orientando hacia los clics, las conversiones, las respuestas y las acciones explícitas de los usuarios. 

¡Es posible! Y tal vez para toda la UE con el tiempo. 

Los marcos francés e italiano no son iguales, y un enfoque adaptado a la CNIL puede no cumplir los requisitos italianos. Para los remitentes con una concentración de audiencia significativa en ambos mercados, tratarlos de forma idéntica crea una exposición al riesgo. 

Para muchos remitentes, el camino más limpio es adaptarse a la norma más estricta en todos los envíos a la UE. Reduce la fragmentación, disminuye el riesgo de quedar atrapado entre dos objetivos móviles y te posiciona razonablemente bien si otros reguladores de la UE publican directrices similares; algo que, dado que tanto la CNIL como el Garante se basan en el mismo marco del CEPD, es una predicción razonablemente segura. 

Este blog se centra en las recientes directrices de la CNIL y el Garante, pero se aplican principios similares en otras jurisdicciones. En el Reino Unido, las directrices de la PECR y la ICO imponen requisitos comparables para tecnologías similares a las cookies, incluidos los píxeles de seguimiento. Los remitentes con audiencias en Canadá, EE. UU. u otros mercados también deberían tener en cuenta sus obligaciones en virtud de la CASL, la CAN-SPAM (Controlling the Assault of Non-Solicited Pornography And Marketing) y la incipiente legislación en materia de protección de la privacidad estatal. La tendencia hacia una mayor transparencia y consentimiento en el seguimiento digital no se limita a la UE. 

Como tu plataforma de envíos, Sinch Mailgun y Mailjet operan como encargados del tratamiento. En el marco de la CNIL, somos el «proveedor de servicios de email». Tú, como remitente, eres el responsable del tratamiento. 

Eso significa que la obligación de recopilar, almacenar y demostrar el consentimiento del destinatario recae sobre ti, no porque nos estemos lavando las manos, sino porque tú eres quien tiene la relación con el destinatario. Tú sabes lo que decía tu formulario de suscripción. Tú sabes de dónde provienen esas direcciones. Nosotros no. 

Lo que podemos hacer: proporcionar controles flexibles a nivel de cuenta, subcuenta y clave de API, documentar cómo funcionan nuestros sistemas y hacer evolucionar nuestra plataforma a medida que se desarrolla este espacio. Nuestros equipos legal, de productos y de entregabilidad están haciendo un seguimiento activo de las directrices publicadas sobre este tema, y nos comunicaremos claramente antes de realizar cualquier cambio en el comportamiento de la plataforma. 

Lo que no podemos hacer: saber si tus destinatarios dieron su consentimiento para el seguimiento a menos que nos lo digas. Cualquier comportamiento futuro consciente del consentimiento a nivel de plataforma depende de que esa señal provenga de ti. No se trata de una limitación de la plataforma para la que podamos realizar un diseño alternativo, sino de una realidad estructural de cómo el RGPD y ePrivacy asignan la responsabilidad. Del mismo modo, la decisión de activar o deshabilitar el seguimiento para el tráfico de email que envías es tuya.  

Este es el momento de organizarse, no de ser reactivos. 

Audita tu uso de los datos de aperturas. Mapea dónde se introducen las aperturas en tus sistemas, incluidos los disparadores de automatización, los paneles de control de analíticas, la segmentación, la personalización y las decisiones de entregabilidad. Entiende qué empeoraría si esa señal se limitara por consentimiento o incluso fuera más estrecha. 

Revisa tus flujos de consentimiento y tu documentación de privacidad. ¿Los formularios de suscripción mencionan el seguimiento? ¿Lo describe claramente tu política de privacidad? La CNIL recomienda que el consentimiento para el seguimiento de píxeles se recopile en el momento de la captura de la dirección de email cuando sea posible. 

Fíjate de dónde procede tu lista. Para cualquier dirección que no proceda de tus propios formularios y flujos, como las alquiladas, las co-registradas o las proporcionadas por colaboradores, pregúntate si puedes demostrar el consentimiento individual. Un contrato no es suficiente por sí solo. (Y como siempre, también debes cumplir con las  políticas de tu ESP) 

Identifica tu exposición en la UE. Francia e Italia tienen los planes de aplicación más inmediatos. Si realizas envíos significativos a cualquiera de los dos mercados, son tu prioridad. 

Decide si quieres activar o deshabilitar el seguimiento. Deshabilitar todo el seguimiento de aperturas puede crear problemas operativos sin mejorar tu posicionamiento en materia de cumplimiento; la única forma de saberlo es examinar el uso que haces de la información. Comprende primero el panorama completo de lo que significan para ti las directrices recientes, y luego actúa. 

Esto no es el fin del seguimiento de emails por completo, pero es una señal de que el email se está moviendo hacia el mismo modelo bajo el que ha operado el seguimiento en las páginas web durante años: una finalidad más clara, mayor transparencia y mayor control por parte del usuario. 

La diferencia es el momento. El seguimiento en las páginas web tuvo que reaccionar a la regulación a posteriori. El email tiene la oportunidad de prepararse, y esa es una posición verdaderamente mejor en la que estar. 

Este cambio ya se estaba produciendo. Entre la MPP de Apple, el escaneo de seguridad y el comportamiento en evolución de la bandeja de entrada, las tasas de aperturas ya estaban perdiendo fiabilidad mucho antes de que ningún regulador interviniera. Estas directrices lo hacen oficial: el futuro de la interacción por email son las señales intencionadas, no las pasivas. Clics. Conversiones. Respuestas. Acciones que significan algo cuando suceden. 

Hoy en día no hay campañas de aplicación, pero la dirección está clara: la brecha entre cómo funciona actualmente el seguimiento de emails y cómo los reguladores esperan que funcione es real, y cerrar esa brecha requerirá tiempo, coordinación y un cierto replanteamiento arquitectónico. 

La buena noticia es que puedes verlo venir. 

Es una situación mucho mejor en la que estar que enterarte a posteriori. 

Autor: Alison Gootee Deliverability Specialist at Sinch Mailgun