Píxeles de seguimiento en correos electrónicos: la CNIL aclara el marco legal
Informe jurídico n.º 94 – Abril de 2026.
Píxeles de seguimiento en correos electrónicos: la CNIL aclara el marco legal
El 14 de abril, la CNIL publicó sus recomendaciones sobre los píxeles de seguimiento en los correos electrónicos. La recomendación está dirigida a todas las organizaciones, tanto públicas como privadas, que utilizan píxeles de seguimiento, así como a los proveedores de servicios técnicos que puedan utilizar.
En la práctica, el píxel de seguimiento es una imagen, a menudo de tamaño muy pequeño, que se mostrará en el contenido del correo electrónico a través de un hipervínculo.
La inclusión del píxel constituye una instrucción dada al terminal del usuario para que envíe información específica (identificador de píxel, dirección IP, etc.) a los actores que la depositan.
El píxel permite al remitente del mensaje ver si ha sido abierto o no, y ajustar su comunicación en consecuencia, por ejemplo, en lo que respecta a la frecuencia de envío, el contenido de los mensajes o la actualización de la lista de clientes potenciales.
La CNIL nos recuerda que dicha práctica requiere el consentimiento previo de los destinatarios del correo electrónico, de conformidad con el artículo 5 de la Directiva sobre privacidad electrónica, que se transpuso al artículo 82 de la Ley francesa de protección de datos.
Sin embargo, sí permite una excepción para los correos electrónicos "transaccionales" relacionados con un servicio solicitado por el destinatario, por ejemplo, para identificar a los destinatarios que ya no abren sus correos electrónicos y eliminarlos de las listas de correo.
La excepción también se aplica a los correos electrónicos relacionados con alertas de cuenta, notificaciones sobre eventos como el envío de un paquete, confirmaciones de pedidos y facturas de compra, recordatorios y restablecimientos de contraseñas, alertas de seguridad y notificaciones de violaciones de seguridad, etc.
Salvo estas excepciones, para cualquier dirección recopilada a partir del 14 de abril, fecha de la recomendación de la CNIL, el responsable del tratamiento de datos deberá obtener el consentimiento previo de los destinatarios antes de integrar un píxel de seguimiento en el correo electrónico.
Este consentimiento podría obtenerse, por ejemplo, en el momento de recopilar la dirección o mediante un enlace incrustado en un correo electrónico sin un píxel de seguimiento.
Para las direcciones recabadas antes de esta fecha, se solicita a los responsables que, en un plazo de tres meses, informen claramente a los destinatarios para que puedan presentar objeciones.
Esta publicación está generando reacciones porque está obligando a un gran número de funcionarios a tomar rápidamente medidas de cumplimiento.
¿La autoridad supervisora es más estricta o más indulgente que sus homólogas europeas en este asunto?
Ahora parece ser una de las pocas que indica claramente en qué contexto penalizará el seguimiento de píxeles.
Sin embargo, este tipo de tratamiento de datos ha sido destacado durante años por el Comité Europeo de Protección de Datos (CEPD), y antes por su predecesor, el G29 (véanse en particular las directrices WP118 y 2/2023).
La postura europea es también más estricta que la de la CNIL, ya que menciona una prohibición total de los píxeles de seguimiento en ausencia del consentimiento del destinatario del mensaje.
Las aportaciones recibidas durante la consulta pública sobre el borrador de la recomendación parecen haber llevado a la CNIL a intentar complacer a todos: así, ha evolucionado su postura hacia una mayor flexibilidad en lo que respecta a los correos electrónicos vinculados a un servicio solicitado por el destinatario.
Sin embargo, la implementación de esta postura probablemente resulte compleja.
Agradeceríamos que se aclarara el alcance de la exención para identificar mejor los servicios que se benefician de ella, como los boletines informativos u otras suscripciones, sobre las que aún quedan algunas dudas. La CNIL (Autoridad Francesa de Protección de Datos) indica que prestará apoyo a los responsables del tratamiento de datos, especialmente mediante seminarios web. Se prevé que las auditorías y la imposición de sanciones se produzcan más adelante, si bien la Comisión no ha facilitado más detalles al respecto.

La CNIL (Autoridad Francesa de Protección de Datos) ha publicado un documento modelo diseñado para ayudar a los Delegados de Protección de Datos (DPD) a elaborar informes sobre sus actividades. Si bien este informe no es obligatorio según el RGPD, la CNIL lo considera una buena práctica para supervisar el cumplimiento y para la comunicación de los DPD.
El 28 de abril, la CNIL también aprobó el código de conducta propuesto por la Alliance du Commerce, destinado a brindar asistencia concreta a los minoristas franceses del sector de la ropa y el calzado para que cumplan con los requisitos del RGPD.
El objetivo de esta guía es reforzar la protección de datos en las ventas y la distribución, tanto en tiendas físicas como online.
Este es el primer código nacional y el tercer código sectorial aprobado por la CNIL (Autoridad Francesa de Protección de Datos), tras los códigos europeos CISPE (2021), dedicado a la computación en la nube, y EUCROF (2024), relativo a los ensayos clínicos en el sector sanitario. En Europa se han implementado alrededor de quince códigos, que pueden consultarse en esta infografía.
En su decreto del 24 de abril de 2026, el gobierno optó por definir las modalidades técnicas del Archivo Nacional de Cuentas Fraudulentas (FNC-RF), destinado a reforzar la lucha contra el fraude bancario, haciendo caso omiso de las recomendaciones de la CNIL en materia de seguridad.
Este archivo, compartido a través del Banco de Francia entre entidades financieras, contiene los números IBAN de las cuentas sospechosas de fraude.
La arquitectura aprobada por el gobierno presenta, según la CNIL, una exposición máxima a los riesgos, debido al intercambio de copias completas y sincronizadas de datos en texto plano con los proveedores de servicios de pago y sus subcontratistas.
El 17 de abril, la DGSI (Dirección General de Seguridad Interior) publicó una nota advirtiendo sobre los riesgos asociados al uso de aplicaciones y soluciones extranjeras en el entorno laboral. «Además de una mayor exposición a riesgos de ciberseguridad, estas herramientas, a menudo desarrolladas por empresas no europeas, pueden plantear riesgos legales, de seguridad, de confidencialidad, de dependencia o de interrupción del servicio».
La nota presenta varios casos que deberían animar a todos los usuarios a ser prudentes con la información que comparten y el acceso que conceden.
El 30 de abril, el Consejo de Estado francés publicó su decisión sobre el principio de respuesta gradual para ARCOM, sucesor de Hadopi, y anuló varios aspectos del decreto del 5 de marzo de 2010 por considerarlos una violación del derecho a la privacidad. El sistema tenía como objetivo combatir la piratería de música y películas en redes P2P. Atendiendo a una petición de cuatro grupos defensores de los derechos digitales, el Consejo de Estado extrajo las conclusiones necesarias de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 30 de abril de 2024, que especifica que no puede realizarse una vinculación repetida entre la identidad y las obras descargadas sin una supervisión independiente.
La decisión de Anthropic de no hacer público Mythos, su último modelo de inteligencia artificial (IA), debido a los riesgos de ciberseguridad que conlleva, ha provocado numerosas reacciones.
Mythos es capaz, sin duda, de identificar de forma muy eficaz las vulnerabilidades en el código informático.
En una nota publicada el jueves 23 de abril, el Consejo de Inteligencia Artificial y Tecnología Digital (CIANum) hace un llamamiento a "no ceder ante el pánico generalizado" y formula varias observaciones:
"Adoptar la IA para lograr el cumplimiento normativo: los actores públicos y privados que no se esfuercen continuamente por comprender e integrar estos nuevos usos se quedarán rápidamente rezagados."
Mantener la participación humana en las etapas clave: si bien la IA es una valiosa ayuda para desarrollar, corregir y probar software, prescindir por completo de la experiencia humana ahora mismo parece garantizar el fracaso.
Anticipar nuevas vulnerabilidades e implementar los parches correspondientes supone un reto importante, sobre todo porque muchos jugadores ya están desbordados.
El Comité Nacional Consultivo de Ética para las Ciencias de la Vida y la Salud (CCNE) y el Comité Nacional Consultivo de Ética para la Tecnología Digital (CCNEN) publicaron el 7 de abril un dictamen conjunto dedicado a las neurotecnologías digitales y las interfaces cerebro-máquina.
El dictamen subraya que el desarrollo de estas tecnologías "plantea importantes cuestiones éticas, en particular en lo que respecta a la dignidad, la autonomía, la libertad de pensamiento, la protección de la privacidad y la equidad".
Las preguntas específicas se refieren al uso de datos neuronales, aplicaciones no médicas, posibles efectos sobre la identidad y el comportamiento, y la protección de niños y adolescentes.
Los comités formulan una serie de recomendaciones que exigen una especial vigilancia en lo que respecta al uso de las neurotecnologías digitales.
instituciones y organismos europeos
El 7 de mayo, tras un intento inicial fallido, los legisladores europeos llegaron a un acuerdo. Acuerdo sobre la "Ley Ómnibus de IA", cuyo objetivo es modificar y simplificar la normativa europea sobre inteligencia artificial.
Las empresas tendrán hasta finales de 2027 para cumplir con las normas relativas a la IA de alto riesgo, mientras que los proveedores de máquinas con IA estarán explícitamente exentos de ciertas obligaciones.
Al mismo tiempo, la Ley Ómnibus introduce una nueva prohibición relativa a las prácticas de IA relacionadas con la generación de contenido sexual e íntimo no consentido o pornografía infantil.
El proceso de aprobación formal está en marcha, con el objetivo de publicar los cambios finales en agosto.
En un contexto en el que un número creciente de países pretende limitar el acceso de los menores a las redes sociales, la Comisión Europea adoptó una recomendación el 29 de abril instando a los Estados miembros a acelerar el despliegue de la aplicación europea de verificación de edad y a que esté disponible antes de finales de año.
La Comisión ha elaborado un plan maestro para esta aplicación, que se presenta como respetuosa con la privacidad y permite a los usuarios demostrar que son mayores de edad sin revelar su edad exacta, identidad ni ninguna otra información personal.
Sin embargo, según se informa, un consultor de ciberseguridad ha identificado fallos de seguridad que podrían poner en peligro el lanzamiento de la aplicación a nivel nacional.
El 29 de abril, la Comisión Europea concluyó, de forma preliminar, que las plataformas de Instagram y Facebook de Meta infringían el Reglamento de Servicios Digitales (DSA, por sus siglas en inglés) al no identificar, evaluar ni mitigar diligentemente los riesgos asociados al acceso a sus servicios por parte de menores de 13 años.
En su reunión plenaria del 22 de abril, el CEPD adoptó directrices relativas al tratamiento de datos personales con fines de investigación científica.
El Comité también ha creado un grupo de trabajo encargado de acelerar la finalización de las directrices sobre anonimización.
Asimismo, adoptó dos dictámenes sobre dos conjuntos de criterios de certificación de Europrivacy con vistas a su aprobación como sellos europeos de protección de datos, uno de los cuales está destinado a servir como herramienta para las transferencias.
En su anterior sesión plenaria, el CEPD publicó otro documento importante: para facilitar el cumplimiento del RGPD por parte de las organizaciones y reforzar la coherencia en toda Europa, elaboró un modelo de evaluación de impacto en la protección de datos (EIPD). Este documento está abierto a comentarios hasta el 9 de junio.
El Tribunal de Justicia de la Unión Europea dictaminó el 21 de abril que, al adoptar una ley que estigmatiza y margina a las personas LGBTI+, Hungría ha violado el derecho de la Unión Europea.
El Tribunal también señala que el título de la ley equipara a estas personas con las condenadas por pedofilia, "una asimilación que probablemente aumente la estigmatización de las primeras y fomente comportamientos de odio hacia ellas".
Finalmente, el Tribunal especifica que esta ley infringe el RGPD en la medida en que modificó la ley sobre antecedentes penales con el fin de ampliar el acceso a la información relativa a las personas condenadas por pedofilia.
Si bien dicho acceso puede ser lícito en determinadas circunstancias, el Tribunal considera que "la ley no proporciona una definición suficientemente precisa ni de las personas autorizadas a acceder a los datos ni de las condiciones de acceso necesarias para ofrecer garantías adecuadas a los derechos y libertades de las personas cuyos datos están en juego".
Noticias procedentes de los países miembros de la Unión Europea.
En Bélgica, la autoridad de protección de datos (APD) ha advertido a dos personas que se aseguren de que su cámara de vigilancia ya no grabe en vías públicas.
La cámara se había instalado como medida disuasoria contra los pinchazos en los neumáticos.
La APD determinó que filmar la vía pública era ilegal según la Ley de Cámaras de Vigilancia, y recalcó que las imágenes grabadas infringían el derecho a la privacidad y el derecho a la protección de datos del denunciante y su familia debido al procesamiento frecuente de sus datos personales derivado de la ubicación de la cámara.
La Agencia Española de Protección de Datos (APD) ha multado con 200.000 euros a una empresa de servicios de transporte por obligar a sus empleados a utilizar cuatro aplicaciones de seguimiento en sus teléfonos personales con fines laborales.
La APD también multó a una universidad con 160.000 euros por no obtener el consentimiento válido de los estudiantes para verificar su identidad durante los exámenes en línea mediante un sistema que utiliza reconocimiento facial.
La Autoridad Italiana de Protección de Datos (APD) ha impuesto una multa de 6.624.000 euros a Poste Italiane SpA y de 5.877.000 euros a Postepay SpA por el tratamiento ilegal de los datos personales de millones de usuarios.
Las aplicaciones de BancoPosta y Postepay exigían, como condición obligatoria para el uso de los servicios, que los usuarios autorizaran la monitorización de un conjunto de datos contenidos en los dispositivos móviles, con el fin de detectar cualquier software malicioso.
La APD constató que el alcance de la vigilancia era excesivo en relación con los fines de prevención del fraude, y también señaló deficiencias en la información proporcionada a los usuarios, la ausencia de una evaluación de impacto (IAPD), la falta de medidas de seguridad y de una política de retención de datos adecuadas, así como irregularidades en la designación del responsable del tratamiento de datos.
El ministro neerlandés de Economía Digital y Soberanía está trabajando en la creación de un "kit de emergencia digital" para ayudar a las administraciones públicas y a los ciudadanos a hacer frente por sí mismos en caso de un desastre digital, como un apagón nacional de internet.
El país sigue dependiendo peligrosamente de las empresas tecnológicas estadounidenses para su infraestructura esencial, desde el alojamiento en la nube hasta los sistemas tributarios.
El gobierno quiere que los ciudadanos puedan satisfacer sus necesidades de forma independiente durante 72 horas sin necesidad de internet, teléfono ni métodos de pago digitales.
El gobierno británico confirmó el 23 de abril que los historiales médicos de 500.000 participantes en uno de los programas científicos más importantes del Reino Unido, el Biobanco del Reino Unido, se habían puesto a la venta en línea en el sitio web de Alibaba. Si bien la información comprometida no incluía nombres, direcciones, datos de contacto ni números de teléfono, sí podía incluir sexo, edad, mes y año de nacimiento, estatus socioeconómico, hábitos de vida y mediciones de muestras biológicas. No se trató de un ciberataque, sino de una descarga masiva de datos por parte de una organización debidamente acreditada. La base de datos es accesible para los investigadores. La dirección del Biobanco declaró que, desde el incidente, ha implementado medidas para limitar el tamaño de los archivos descargados y monitorear las exportaciones de archivos sospechosos.
El gobierno británico confirmó el 23 de abril que los historiales médicos de 500.000 participantes en uno de los programas científicos más importantes del Reino Unido, el Biobanco del Reino Unido, se habían puesto a la venta en línea en el sitio web de Alibaba. Si bien la información comprometida no incluye nombres, direcciones, datos de contacto ni números de teléfono, sí puede incluir sexo, edad, mes y año de nacimiento, estatus socioeconómico, hábitos de vida y mediciones de muestras biológicas.
No se trató de un ciberataque, sino de una descarga masiva de datos por parte de una organización debidamente acreditada. La base de datos es, en efecto, accesible para los investigadores.
La dirección del biobanco indicó que, desde el incidente, han implementado medidas para limitar el tamaño de los archivos descargados y supervisar las exportaciones de archivos sospechosos.
El 21 de abril, la Federación de Consumidores de América (CFA, por sus siglas en inglés) presentó una demanda colectiva contra Meta, alegando que la empresa no estaba protegiendo a sus usuarios de los anuncios fraudulentos en Facebook e Instagram, en contra de sus compromisos, y que se estaba beneficiando de estos anuncios a expensas de sus usuarios.
La CFA busca obtener una indemnización por daños y perjuicios, la restitución de las ganancias ilícitas y medidas cautelares en beneficio de los consumidores en Washington, D.C.
Está surgiendo una dinámica global a favor de la soberanía digital, desde Canadá hasta la Unión Europea y la costa del Pacífico, un tema central de la reciente Cumbre Mundial IAPP 2026 celebrada en Washington, D.C. «Durante varios talleres, los participantes buscaron clarificar y matizar el debate sobre la soberanía digital, al tiempo que ofrecían sus puntos de vista sobre cómo el contexto geopolítico actual influirá en este debate en los próximos años».
01.net detalla los últimos proyectos de IA de Anthropic.
El 14 de abril, la empresa publicó una página dedicada a la verificación de identidad para su programa LLM Claude. Ciertas funciones, acciones de seguridad o "verificaciones de integridad de la plataforma" ahora requieren una identificación oficial y una selfie en directo.
Este anuncio llega apenas unas semanas después de una filtración que indicaba que Anthropic detecta palabrotas, insultos y expresiones de frustración en los mensajes, y los registra como señales de sentimiento negativo por parte del usuario. "Si a esto le sumamos el nuevo requisito del pasaporte y la selfie, el panorama es desconcertante. Anthropic sabe lo que dices cuando te desahogas".
El sábado 19 de abril, Palantir publicó en X un resumen de 22 puntos de La República Tecnológica, una especie de credo geopolítico de esta empresa cuyo negocio principal es proporcionar software de vigilancia y análisis de datos a ejércitos occidentales, servicios de inteligencia y agencias de inmigración (incluida Francia).
Según este manifiesto, la supervivencia de las democracias liberales depende ahora del poder del software, el "desarme" de Alemania y Japón después de 1945 fue un error histórico, la era de la disuasión nuclear está llegando a su fin y debe ser reemplazada por una nueva disuasión basada en la inteligencia artificial.
La investigadora Chiara Gallese informa sobre una vulnerabilidad relacionada con un agente de IA operado por la empresa Meta.
Este agente presuntamente actuó sin instrucciones humanas, revelando datos confidenciales de la empresa y de los usuarios a empleados no autorizados.
Según se informa, Meta clasificó este incidente como "Sev 1", el segundo nivel más alto de gravedad en términos de seguridad. El investigador señala que, por un lado, algunos de los agentes de IA de Meta están ignorando las instrucciones de supervisión humana, mientras que, al mismo tiempo, Meta está adquiriendo plataformas que permiten a los agentes de IA comunicarse entre sí (Moltbook).
Los riesgos persistirán mientras la supervisión humana no se convierta en un requisito arquitectónico estricto de los sistemas de IA con agentes: hoy en día, la verificación humana se considera una preferencia y no una limitación de los sistemas de IA autónomos.
La Dirección de Señales de Australia (ACSC), junto con varios socios internacionales, entre ellos la NSA, recomendó en una publicación del 1 de mayo una adopción cautelosa de los servicios de IA con capacidad de agente.
El documento subraya que, en las infraestructuras críticas, la autonomía de los agentes aumenta los riesgos de error, escalada imprevista y compromiso de las cadenas de acción.
La recomendación principal es limitar la autonomía, registrar las acciones, controlar el acceso y definir medidas de seguridad antes de cualquier despliegue operativo de IA con capacidad de gestión de agentes.

