Pablo Fdez. Burgueño

El rastreo invisible de correos mediante píxeles requiere un consentimiento específico y previo del destinatario, independiente de la suscripción publicitaria. Las recientes sanciones de la AEPD y las directrices europeas confirman que el uso de estas métricas sin transparencia constituye una infracción grave que puede alcanzar los 100.000 euros.

1. El permiso para recibir correos no incluye el permiso para rastrearlos

El seguimiento de la actividad de un usuario en su bandeja de entrada se considera un uso de dispositivos de almacenamiento y recuperación de datos que exige el cumplimiento del artículo 22.2 de la LSSI.

Para que este rastreo sea lícito, el emisor de las comunicaciones debe facilitar información clara sobre los fines del tratamiento y obtener una aceptación positiva por parte del receptor. Esta obligación de recabar un consentimiento previo e inequívoco, preferiblemente mediante sistemas de opt-in, es la base para la utilización de píxeles en correos comerciales, según el Informe 0011/2014 de la Agencia Española de Protección de Datos (AEPD).

Esta exigencia se activa en el momento en que se distribuye código que ordena al dispositivo del usuario enviar información a un servidor externo, lo cual supone una obtención de acceso al terminal del receptor. Este hecho técnico queda plenamente integrado en el ámbito de protección de la privacidad electrónica, independientemente de que la información sea introducida por el usuario o captada automáticamente, conforme a las Directrices 2/2023 del Comité Europeo de Protección de Datos (CEPD).

En consecuencia, la analítica invisible se considera incompatible con los principios de lealtad y transparencia si no existe una acción clara de aceptación, de acuerdo con las Directrices sobre el uso de píxeles de seguimiento en las comunicaciones por correo electrónico del Garante Privacy de Italia.

2. Estándar europeo: el píxel recibe un tratamiento similar a las cookies

El Comité Europeo de Protección de Datos (CEPD), en sus Directrices 2/2023, otorga al píxel un tratamiento jurídico similar al de las cookies. Al ser código que da instrucciones al dispositivo del receptor para enviar datos a un servidor, se activa automáticamente la protección de la privacidad electrónica.

La jurisprudencia del TJUE, especialmente en el caso Planet49 (C-673/17), ratifica que cualquier forma de consentimiento tácito o basado en casillas premarcadas carece de validez legal para estas tecnologías.

3. Responsabilidad compartida: emisor y proveedor técnico

La gestión de métricas no exime de responsabilidad a la empresa que lanza la campaña. Bajo la doctrina de las sentencias Fashion ID (C-40/17) y Wirtschaftsakademie (C-210/16), existe una corresponsabilidad en el tratamiento de los datos:

• La empresa es responsable por decidir la inserción del código y definir qué datos estadísticos desea obtener.
• Siguiendo las Directrices 07/2020 del CEPD, al configurar los parámetros de seguimiento para optimizar su negocio, la empresa actúa como responsable o corresponsable.

4. Qué métricas obtenidas con píxel incluidos en los email requieren permiso y cuáles no

La distinción entre el rastreo lícito y aquel que requiere autorización previa se fundamenta en la finalidad del acceso a la información técnica del receptor:

• Sujeto a consentimiento: conforme al Informe 0011/2014 de la Agencia Española de Protección de Datos (AEPD), el uso de píxeles para monitorizar la apertura de correos y la interacción del usuario se encuadra en el artículo 22.2 de la LSSI, por lo que requiere un consentimiento inequívoco. Esta exigencia abarca la captura de identificadores únicos, direcciones IP y datos de comportamiento que permitan la creación de perfiles o la personalización de campañas. El Garante per la protezione dei dati personali (Italia) refuerza este criterio en sus Linee Guida de 2026, señalando que la recopilación de datos como la hora de acceso, el dispositivo utilizado o el tiempo de permanencia constituye una intromisión que no puede realizarse de manera invisible.
• Posible exención: autoridades como la CNIL francesa (Cookies : solutions pour les outils de mesure d’audience) y la ICO británica (How do we manage consent in practice?) han definido supuestos en los que el uso de traceadores de medición de audiencia podría no requerir consentimiento, siempre que se limiten a finalidades estrictamente estadísticas para el editor. Para que estas métricas estén exentas, deben ser necesarias para el servicio, producir únicamente datos agregados y no permitir el seguimiento de la navegación del usuario en diferentes sitios o aplicaciones. El Garante italiano también admite esta posibilidad para métricas de «alcance» técnico, siempre que el sistema garantice que la información no sea compartida con terceros ni utilizada para fines de marketing comportamental.

La implementación de cualquier métrica que permita vincular una acción específica con una dirección de correo electrónico identificada (como ocurre en la mayoría de herramientas de marketing automation) anula estas exenciones y obliga a recabar una autorización previa y separada.

Ejemplos de obtención de consentimiento

Comparto dos capturas de empresas que sí han incluido un mecanismo para obtener un consentimiento (revocable) expreso separado al de suscripción para usar tracking pixels en campañas de e-mail marketing. No valoro ni califico si cumplen o no la norma en cuestión de primera capa, sino únicamente los muestro como ejemplos de inclusión de este mecanismo.

Ejemplo 1: PayPal

Ejemplo 2: ESIC:

5. Precedente de sanción: 100.000 €

La obligatoriedad de estos controles se confirma con la sanción de 100.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa proveedora de software de seguimiento de correos electrónicos. La entidad sancionada ofrecía una herramienta que permitía a los emisores conocer, de forma automática, si el receptor había abierto un mensaje y en qué momento exacto se había producido dicha apertura.

La resolución del procedimiento sancionador (PS/00328/2022), ratificada posteriormente tras el recurso de reposición, fundamentó la multa en tres infracciones:

• vulneración del deber de informar: la empresa no facilitaba información suficiente ni clara a los destinatarios de los correos sobre el tratamiento de sus datos de seguimiento;
• ausencia de base legitimadora: el tratamiento se realizaba sin el consentimiento de los receptores, quienes se veían sometidos a una monitorización de su actividad sin haber prestado una autorización previa e inequívoca;
• incumplimiento de los principios del tratamiento: la opacidad del sistema impedía que los usuarios fueran conscientes de que sus interacciones estaban siendo registradas y comunicadas al emisor del mensaje.

La AEPD subrayó que la finalidad comercial o la utilidad técnica de estas herramientas no justifica en ningún caso la captura invisible de datos.

Este precedente deja claro que las empresas que utilicen o provean sistemas de analítica mediante píxeles deben situar la transparencia en el centro de su estrategia, asegurando que el receptor mantenga siempre el control sobre su privacidad electrónica.

Conclusiones

Las organizaciones deben integrar la privacidad desde el diseño mediante tres ejes de actuación práctica: realizar una auditoría técnica de las herramientas de CRM y marketing automation para verificar si capturan datos individuales del terminal (como la IP o el identificador del dispositivo), implementar formularios de suscripción con opciones de consentimiento granulares que separen claramente el envío publicitario del seguimiento de actividad, y cumplir con un deber de transparencia reforzado que detalle las métricas exactas recolectadas y la identidad de los proveedores técnicos intervinientes.

De acuerdo con los criterios de la AEPD y el Garante per la protezione dei dati personali, estas medidas garantizan que el tratamiento de datos de analítica invisible cuente con una base legal válida, mitigando los riesgos de sanciones económicas y protegiendo el derecho a la privacidad electrónica de los destinatarios.