Know how directly from the Microsoft 365 mail merge experts

Reglas 2026 de Consentimiento Email en Europa: Pixels y UTMs

By Alex Duggleby · Founder, SecureMailMerge

Resumen rápido

  • Los píxeles de seguimiento de apertura en Europa cada vez requieren más consentimiento previo explícito (Francia e Italia, 2026).
  • El seguimiento de clics y los enlaces UTM específicos para cada destinatario deben revisarse bajo las mismas reglas.
  • SecureMailMerge no añade ninguno - no hay píxeles, no hay enlaces reescritos, no hay análisis de interacción.

Por años, insertar un pequeño píxel de seguimiento en cada correo electrónico era simplemente la forma de medir las tasas de apertura.

En 2026, eso dejó de ser seguro en Europa. La CNIL de Francia y el Garante de Italia publicaron directrices que tratan los píxeles de seguimiento de correo electrónico más como cookies que como informes ordinarios de campañas.

Entonces, ¿qué significa eso realmente para ti?

El mensaje práctico es simple: si un correo de marketing usa un píxel invisible para identificar si una persona específica abrió el mensaje, a menudo se requerirá consentimiento previo. Esto es un cambio importante para los equipos acostumbrados a tratar las tasas de apertura como análisis estándar.

En esta guía, te explicaremos qué cambió en Francia e Italia, qué significa para el seguimiento de aperturas, seguimiento de clics y enlaces UTM, y cómo SecureMailMerge envía correos personalizados en Outlook sin nada de eso.

¡Vamos allá!

Privacy-first mail merge

SecureMailMerge está diseñado para la combinación de correspondencia personalizada en Outlook, no para el seguimiento de comportamiento. Puedes enviar correos individuales desde Microsoft 365 sin añadir píxeles ocultos de apertura ni enlaces con seguimiento de clics.

¿Qué cambió en 2026?

Durante años, muchas herramientas de email marketing insertaron una pequeña imagen invisible en cada correo electrónico. Cuando el destinatario abría el correo, la imagen se cargaba desde el servidor del remitente y registraba información como:

  • si el correo parecía haber sido abierto
  • cuándo fue abierto
  • el identificador del destinatario asociado a ese píxel
  • dirección IP y ubicación aproximada
  • información del cliente de correo y del dispositivo

Los reguladores ahora están analizando esto desde la perspectiva de ePrivacy. El problema no es solo que se puedan procesar datos personales bajo el GDPR. El problema también es que el píxel de seguimiento puede acceder o leer información del dispositivo del destinatario, lo que lo acerca al seguimiento tipo cookies.

Por eso el consentimiento importa. La guía francesa e italiana no es una nueva ley GDPR. Es una aplicación más estricta de las reglas existentes de ePrivacy y protección de datos a una práctica que se volvió rutinaria en el email marketing.

Por lo tanto, veamos qué dijo cada regulador, empezando por Francia.

Francia: CNIL espera un consentimiento separado para la mayoría del seguimiento abierto

La CNIL de Francia publicó su recomendación sobre los píxeles de seguimiento en correos electrónicos en abril de 2026. Su posición es actualmente una de las más estrictas en Europa.

La regla principal es que los píxeles de seguimiento usados para medir aperturas individuales de correos electrónicos generalmente requieren consentimiento previo cuando identifican a un destinatario. El consentimiento para recibir un boletín no es automáticamente consentimiento para medir si esa persona lo abrió.

Esa distinción importa. Un formulario de registro que solo dice “envíame actualizaciones por correo” puede ser suficiente para el envío en sí, pero la CNIL espera una base separada para rastrear la interacción del destinatario con esos correos.

En una implementación conservadora, eso significa separar las opciones:

OpciónLo que cubre
Recibir correos de marketingPermiso para enviar el boletín o campaña
Permitir seguimiento de interacciónPermiso para medir aperturas y potencialmente otras interacciones

La CNIL reconoce solo algunos casos operativos limitados donde el seguimiento puede estar exento de consentimiento, como asegurar la autenticación del usuario y tareas limitadas de entregabilidad (ajustar la frecuencia de envío o detener correos a destinatarios inactivos). Analítica de marketing, puntuación de leads, optimización del tiempo de envío, detección de fraude y automatización basada en aperturas requieren consentimiento.

También hay un periodo de transición. Para contactos recogidos antes de la recomendación, la CNIL estableció una fecha límite del 14 de julio de 2026 para informar a los destinatarios y permitirles oponerse al uso de píxeles; los contactos añadidos a partir del 14 de abril de 2026 deben contar con un consentimiento conforme desde el inicio.

Para más información, consulta los resúmenes de Inside Privacy y Hogan Lovells.

Italia: dirección similar, con diferencias prácticas

El Garante de Italia adoptó directrices sobre píxeles de seguimiento en abril de 2026, con un período de cumplimiento de seis meses. La fecha límite de cumplimiento reportada es el 28 de octubre de 2026.

La posición de Italia es similar a la de Francia en el aspecto más importante: el seguimiento individual de apertura de correos electrónicos mediante píxeles generalmente requiere consentimiento previo cuando se usa para marketing o análisis de comportamiento.

Hay dos diferencias prácticas que vale la pena destacar:

  • Italia parece más abierta a combinar el consentimiento para marketing y seguimiento, siempre que la redacción sea clara, voluntaria y no engañosa.
  • Italia da un espacio más explícito para estadísticas genuinamente agregadas y anonimizadas, donde no se pueden identificar a los destinatarios.

Eso no significa que el seguimiento por píxeles sea de bajo riesgo. Significa que el diseño del consentimiento y la analítica pueden variar según la jurisdicción. Para campañas europeas, el modelo operativo más seguro es asumir que el seguimiento individual de apertura necesita un consentimiento claro y explícito.

Para más información, consulta los resúmenes de Global Policy Watch y iubenda.

¿Qué pasa con el seguimiento de clics?

Los píxeles de apertura son los que llaman la atención. Pero, ¿qué pasa con los enlaces dentro de tu email?

Las guías francesa e italiana se centran principalmente en los píxeles de seguimiento de apertura. El seguimiento de clics no se aborda tan explícitamente.

Sin embargo, el seguimiento de clics a menudo funciona reemplazando el enlace original con un enlace de redirección controlado por la plataforma de email. Cuando el destinatario hace clic, la plataforma puede registrar al destinatario, la campaña, la marca de tiempo, la URL de destino, detalles del dispositivo y, a veces, la ubicación derivada de la IP antes de enviar a la persona a la página final.

Eso significa que el seguimiento de clics aún puede crear datos de comportamiento sobre un destinatario identificable. Incluso si la guía actual de 2026 es más explícita sobre los píxeles, los equipos de privacidad deberían revisar el seguimiento de clics bajo los mismos principios de ePrivacy y GDPR:

  • ¿Es necesario el seguimiento, o solo útil para análisis?
  • ¿Está el destinatario claramente informado?
  • ¿Está el clic vinculado a una persona nombrada o identificable?
  • ¿Se necesita consentimiento para análisis de marketing, puntuación de leads o automatización?
  • ¿Puede la campaña funcionar con enlaces normales en su lugar?

Para un enfoque conservador en la UE, trata el seguimiento de apertura y el seguimiento de clics como análisis de compromiso que deberían estar cubiertos por una elección clara de consentimiento para el seguimiento.

¿También se cubren los parámetros UTM?

Aquí es donde se vuelve un poco más confuso.

Los parámetros UTM son más complejos que los píxeles abiertos o el seguimiento de clics basado en redireccionamientos. Un enlace básico a nivel de campaña como ?utm_source=newsletter&utm_campaign=july_update generalmente identifica la campaña, no al destinatario individual. Si el sitio web no usa cookies, no almacena un identificador de dispositivo y solo utiliza los valores UTM para análisis agregados anónimos, el riesgo para la privacidad es menor.

Eso no significa que los enlaces UTM estén automáticamente fuera de la ley. Las directrices francesas e italianas de 2026 se centran principalmente en los píxeles de seguimiento de correo electrónico, pero las reglas anteriores de ePrivacy ya cubrían el almacenamiento de información en, o el acceso a información desde, el dispositivo de un usuario. El Comité Europeo de Protección de Datos también ha dicho que el seguimiento por URL puede entrar dentro del Artículo 5(3) de la Directiva ePrivacy. En lenguaje sencillo: los reguladores aún pueden considerar los enlaces de seguimiento bajo el marco existente de la “ley de cookies”, incluso cuando no se usa una cookie.

La pregunta clave es si la configuración UTM es realmente una medición anónima de campaña o un seguimiento a nivel de destinatario. Los parámetros estilo UTM se vuelven de mayor riesgo cuando incluyen un ID de destinatario, hash de correo electrónico, ID de CRM, puntuación de lead o cualquier valor que permita conectar la visita o clic con una persona. Incluso los UTM solo de campaña pueden convertirse en parte de un problema de consentimiento si la página de destino los combina con cookies de análisis, fingerprinting, datos de usuario conectado o píxeles publicitarios.

La regla práctica

Los UTM solo de campaña para reportes agregados anónimos no son lo mismo que rastrear la apertura o clic de un destinatario nombrado, pero aún así deben ser documentados y revisados. Los UTM específicos de destinatario deben tratarse como seguimiento de interacción y estar cubiertos por una estrategia clara de consentimiento.

Por qué las tasas de apertura son menos confiables de todos modos

Aquí está el problema: incluso si el consentimiento no fuera un problema, el seguimiento de aperturas ya no es la señal confiable que solía ser.

El cambio legal no es la única razón para replantear el seguimiento de aperturas. Las tasas de apertura se han vuelto menos confiables porque los clientes de correo modernos y las herramientas de privacidad pueden precargar imágenes, hacer solicitudes de imágenes a través de proxy, bloquear imágenes o ocultar detalles de la red.

Eso significa que una “apertura” puede no significar siempre que una persona leyó el mensaje, y una apertura faltante puede no significar siempre que el mensaje fue ignorado.

Para la combinación de correspondencia de Outlook basada en relaciones, las mejores señales a menudo provienen de:

  • respuestas
  • respuestas directas de clientes
  • reuniones agendadas
  • formularios enviados
  • documentos devueltos
  • finalización de procesos de negocio
  • tendencias de cancelación de suscripción o quejas

Esos resultados suelen ser más significativos que intentar inferir la intención a partir de un píxel oculto.

Cómo SecureMailMerge maneja el seguimiento

Entonces, ¿dónde encaja SecureMailMerge en todo esto?

SecureMailMerge no soporta el seguimiento de aperturas ni el seguimiento de clics.

Eso significa:

  • no se inserta ningún píxel de seguimiento invisible en tu correo electrónico
  • no se genera ninguna imagen única de seguimiento de apertura por destinatario
  • no se reescriben enlaces a través de un redireccionamiento de seguimiento
  • SecureMailMerge no recopila análisis de aperturas, clics, dispositivos o ubicaciones
  • no se crea un perfil de compromiso del destinatario dentro de SecureMailMerge

Esto es intencional. SecureMailMerge está diseñado para usuarios de Microsoft 365 que quieren enviar campañas de combinación de correspondencia personalizadas desde Outlook mientras mantienen los datos de la campaña bajo su propio flujo de trabajo de Microsoft 365.

Las hojas de cálculo de destinatarios se procesan localmente en tu computadora dentro de la experiencia del complemento. Los correos electrónicos se envían desde tu buzón, y las respuestas permanecen en Outlook. Esto es útil para comunicación interna, avisos a clientes, actualizaciones transaccionales, facturas, certificados, mensajes sensibles a cumplimiento y otros envíos donde los píxeles de seguimiento serían innecesarios o indeseables.

Aprende más sobre el manejo de datos del producto en la guía de seguridad informática de SecureMailMerge.

¿Los acuses de recibo de Outlook son lo mismo que los píxeles de seguimiento?

No. Los acuses de recibo de Outlook y los píxeles de seguimiento ocultos son diferentes.

Un acuse de recibo es una función estándar del correo electrónico donde el cliente de correo del destinatario puede preguntar si desea enviar una confirmación de vuelta al remitente. El destinatario o su organización a menudo pueden rechazarlo o desactivarlo. Es un comportamiento visible controlado por el sistema de correo electrónico.

Un píxel de seguimiento suele ser invisible. Se carga como una imagen remota y puede identificar al destinatario sin una solicitud directa en el cliente de correo.

SecureMailMerge puede usar las opciones estándar de Outlook, como los acuses de recibo, cuando son compatibles con Microsoft 365 y el sistema de correo del destinatario. Eso no es lo mismo que agregar seguimiento con píxeles de terceros o redirección de enlaces. Para una comparación más profunda, consulta Email Tracking vs Outlook Read Receipts Explained.

Lista de verificación práctica para remitentes de correo electrónico en Europa

¿No sabes por dónde empezar? Aquí tienes una lista rápida que puedes revisar hoy.

Si tu organización envía correos electrónicos de marketing o boletines a destinatarios europeos, revisa tu sistema de correo ahora:

  1. Verifica si tu plataforma inserta píxeles de seguimiento de apertura por defecto.
  2. Verifica si los enlaces se reescriben a través de dominios de seguimiento.
  3. Separa el consentimiento para la suscripción al correo del consentimiento para el análisis de interacción cuando sea necesario.
  4. Revisa las automatizaciones existentes que usan aperturas, clics, puntuaciones de clientes potenciales o segmentos de interacción.
  5. Prefiere informes agregados y anonimizados cuando no sea necesario el seguimiento individual.
  6. Actualiza los avisos de privacidad y formularios de registro para que los destinatarios entiendan qué se mide.
  7. Conserva la prueba del consentimiento y facilita la retirada.
  8. Consulta con asesoría legal cómo afectan Francia, Italia y tus países objetivo a tus campañas.

Este artículo es información general, no asesoría legal. La implementación correcta depende de tu audiencia, propósito, lenguaje de consentimiento, flujos de datos, proveedores y las normas nacionales de ePrivacy.

Preguntas frecuentes

¿Los píxeles de seguimiento de apertura de correo electrónico requieren consentimiento en Europa?

A menudo, sí. En 2026, la CNIL de Francia y el Garante de Italia consideraron que el seguimiento individual de apertura de correos electrónicos mediante píxeles generalmente requiere consentimiento previo cuando se utiliza para análisis de marketing o seguimiento conductual.

¿Es esta una nueva ley GDPR?

No. La orientación aplica los principios existentes de ePrivacy y GDPR a los píxeles de seguimiento en correos electrónicos. La ley no es nueva, pero las expectativas de los reguladores ahora son más claras.

¿El consentimiento para el boletín también cubre el seguimiento de aperturas?

No necesariamente. La CNIL de Francia es especialmente clara en que el consentimiento para recibir un boletín no significa automáticamente consentimiento para rastrear si la persona lo abrió.

¿Está prohibido el seguimiento de clics?

La orientación de 2026 es más explícita sobre los píxeles de seguimiento de apertura que sobre el seguimiento de clics. Sin embargo, el seguimiento de clics aún puede identificar a los destinatarios y medir su comportamiento, por lo que debe revisarse bajo los principios de ePrivacy y GDPR.

¿SecureMailMerge rastrea aperturas o clics?

No. SecureMailMerge no inserta píxeles de seguimiento de apertura ni reescribe enlaces para seguimiento de clics. Se enfoca en la combinación de correspondencia de Outlook, personalización, adjuntos, programación y envío desde Microsoft 365.

¿Existe una herramienta de correo electrónico compatible con CNIL sin píxeles de seguimiento?

La obligación de consentimiento de la CNIL se activa por el seguimiento de apertura y clics, por lo que una herramienta que no añade ninguno de los dos lo evita. SecureMailMerge no inserta píxeles de apertura ni reescribe enlaces, lo que significa que no hay seguimiento basado en píxeles para el que se requiera un consentimiento separado. Aún debes gestionar el consentimiento de marketing y los avisos de privacidad para el envío en sí, pero no aplica el paso adicional de consentimiento para píxeles.

¿Qué herramienta de correo electrónico cumple con las reglas del Garante de Italia sin seguimiento de apertura?

Se aplica el mismo principio. Las reglas del Garante del 28 de octubre de 2026 se dirigen a los píxeles que identifican quién abrió un mensaje. SecureMailMerge envía desde tu propio buzón de Microsoft 365 sin seguimiento de apertura ni clics, por lo que no crea los datos de compromiso a nivel de destinatario que esas directrices regulan.