Saltar al contenido principal
Audact

Cumplimiento de IA con ePrivacy para comunicaciones electrónicas

Última actualización: 8 de abril de 2026 · 8 min de lectura · Revisado por el equipo de compliance de Audact · Directiva 2002/58/CE

La Directiva ePrivacy regula el acto de enviar comunicaciones electrónicas. Se aplica a cada mensaje saliente generado por IA: correo electrónico, SMS, WhatsApp o llamada de voz, independientemente de si lo redactó un humano o una IA.

¿Qué es la Directiva ePrivacy?

La Directiva ePrivacy (2002/58/CE) es la ley principal de la UE que regula la privacidad de las comunicaciones electrónicas. Es lex specialis respecto al RGPD: donde ePrivacy tiene una norma específica, prevalece sobre el RGPD.

En la práctica: ePrivacy regula el envío de la comunicación y el acceso al dispositivo. El RGPD regula el posterior tratamiento de los datos personales recogidos. Requieren cumplimiento separado: el consentimiento del RGPD no satisface automáticamente los requisitos de ePrivacy, y viceversa.

Directiva ePrivacy vs Reglamento ePrivacy: qué cambia para la IA

La Directiva de 2002 (modificada en 2009) es un instrumento legal transpuesto de forma diferente en cada Estado miembro, razón por la que el TDDDG alemán, la Telecommunicatiewet neerlandesa y el PECR del Reino Unido parecen superficialmente similares pero difieren en detalle. El propuesto Reglamento ePrivacy habría reemplazado el mosaico con un texto único directamente aplicable, endureciendo las normas sobre cookies, tráfico máquina a máquina y tratamiento de metadatos. Tras ocho años de bloqueo, la Comisión retiró formalmente el expediente el 11 de febrero de 2025.

Para los desplegadores de IA, la consecuencia práctica es que nada cambia de inmediato: la Directiva sigue en vigor y el mismo régimen impulsado por opt-in sigue aplicándose a la mensajería de IA saliente. Sin embargo, el Paquete Ómnibus Digital propuesto en noviembre de 2025 contiene enmiendas específicas a ePrivacy, en particular sobre la fatiga del consentimiento de cookies y los motivos de interés legítimo para el análisis, que probablemente se materialicen en 2027. Los proveedores de IA deben diseñar su captura de consentimiento hoy para que la base jurídica pueda reasignarse sin volver a recopilar el consentimiento.

Artículos clave para los desplegadores de IA

Artículo 13 — Comunicaciones no solicitadas

Requiere consentimiento previo de opt-in antes de enviar marketing directo mediante sistemas de llamada automatizados, correo electrónico, SMS, fax o cualquier mensajería electrónica. Esto es tecnológicamente neutro: una IA que envía un correo electrónico de marketing se trata de forma idéntica a un humano que lo envía.

  • Chatbot de IA que inicia un mensaje de WhatsApp → consentimiento requerido
  • IA que envía correos electrónicos de marketing → consentimiento requerido
  • Campañas de SMS generadas por IA → consentimiento requerido
  • Llamadas de voz de IA salientes → consentimiento requerido

Artículo 13(2) — Excepción de soft opt-in

Una excepción que permite marketing sin consentimiento nuevo si: (a) la dirección de correo electrónico se obtuvo en el contexto de una venta o servicio, (b) el marketing es para productos/servicios similares, y (c) se proporciona una opción de exclusión fácil en el momento de la recogida y en cada mensaje.

Artículo 5(3) — Cookies y acceso al dispositivo

Requiere consentimiento antes de almacenar o acceder a información en el equipo terminal de un usuario. Para los chatbots de IA, esto se aplica cuando el chatbot coloca cookies de rastreo, no a la conversación en sí.

Consentimiento de cookies y rastreo de IA bajo ePrivacy

El Artículo 5(3) es tecnológicamente neutro: se aplica a cualquier almacenamiento o acceso a información en el equipo terminal de un usuario. Eso cubre las clásicas cookies HTTP, pero también el almacenamiento local del navegador, las bibliotecas de huellas digitales y los SDK que los motores de personalización de IA incorporan en sitios web y aplicaciones móviles. Si los datos se alimentan posteriormente en un modelo de recomendación o en una IA de segmentación conductual, la base jurídica para la lectura o escritura inicial debe seguir siendo un consentimiento válido de grado RGPD, capturado antes de que el script se ejecute. La CNIL, el Garante y la AP neerlandesa han confirmado que 'rechazar todo' debe ser tan fácil como 'aceptar todo'.

Para los agentes de voz o chat de IA, la cuestión de las cookies generalmente se limita a la propiedad web circundante, pero los push web impulsados por IA, la mensajería en la aplicación y los modelos de voz en el dispositivo activan el 5(3) en el momento en que almacenan estado en caché. Audact trata cada decisión de consentimiento como un evento auditable, lo que permite a los clientes demostrar la validez de las cookies incluso cuando cambia la pila frontend.

Exenciones B2B bajo ePrivacy para comunicaciones de IA

El tratamiento B2B es la parte más fragmentada de ePrivacy. La Directiva permite a los Estados miembros permitir el marketing directo a personas jurídicas por exclusión, pero no lo exige. El PECR del Reino Unido exime a los suscriptores corporativos del estricto opt-in para llamadas en vivo y faxes (pero no para SMS o correo electrónico a empleados individuales). Francia permite igualmente el marketing por exclusión a direcciones profesionales siempre que el mensaje se relacione con el trabajo del destinatario. Alemania adopta la postura opuesta: el §7 UWG requiere consentimiento expreso previo incluso para el correo electrónico B2B, con excepciones muy estrechas.

Para los sistemas de IA saliente, la regla operativa es simple: una bandera global de 'exención B2B' no cumple por diseño. El motor de políticas debe resolver el país del destinatario, el canal y la naturaleza del mensaje antes de cada envío, y registrar esa decisión para el regulador. Audact lanza estas normas por jurisdicción de forma predeterminada.

B2B vs B2C

B2C siempre requiere opt-in. El tratamiento B2B varía según el Estado miembro: algunos (por ejemplo, el Reino Unido, Francia) permiten contactar direcciones de correo electrónico corporativas por exclusión para productos relacionados con el negocio. Otros (por ejemplo, Alemania) aplican normas más estrictas. El Motor de políticas de Audact gestiona estas diferencias por país automáticamente.

Aplicación y sanciones

Aplicado por autoridades nacionales (generalmente Autoridades de Protección de Datos). Dado que ePrivacy es una Directiva, no un Reglamento, las multas varían según el Estado miembro:

  • Alemania (TDDDG): Hasta €300.000
  • Reino Unido (PECR): Multas bajo PECR, con sanciones más altas posibles cuando las infracciones se superponen con el RGPD
  • Países Bajos: La APD neerlandesa advirtió a 50 organizaciones en abril de 2025 por infracciones de cookies
  • Francia (CNIL): Aplicación estricta, bloquea cookies antes del consentimiento, prohíbe los patrones oscuros

El CEPD ha confirmado que las infracciones de ePrivacy pueden tenerse en cuenta en las multas del RGPD cuando la misma autoridad aplica ambos.

Reglamento ePrivacy — ¿qué pasó?

El Reglamento ePrivacy independiente fue retirado formalmente por la Comisión Europea el 11 de febrero de 2025 tras años de negociaciones fallidas. En su lugar, las enmiendas específicas a ePrivacy son ahora parte del Paquete Ómnibus Digital (propuesto en noviembre de 2025), actualmente en negociación con acuerdo político esperado para finales de 2026.

Cómo ayuda Audact

  • Verificación del consentimiento: El Motor de políticas valida el estado de opt-in antes de que se envíe cualquier comunicación de IA saliente
  • Normas por país: Requisitos de consentimiento y exclusión específicos de la jurisdicción aplicados automáticamente
  • Registro de evidencia: Cada verificación de consentimiento se registra con evidencia criptográfica para auditorías de reguladores
  • Validación de soft opt-in: Verificación automática de que se cumplen las condiciones del Artículo 13(2) antes de permitir las comunicaciones

Preguntas frecuentes

¿Se aplica ePrivacy a los mensajes generados por IA?

Sí. ePrivacy es tecnológicamente neutro: una IA que envía un correo electrónico, SMS o mensaje de WhatsApp de marketing se trata de forma idéntica a un humano que lo envía.

¿El consentimiento del RGPD satisface ePrivacy?

No. ePrivacy es lex specialis y requiere cumplimiento separado. El consentimiento del RGPD no satisface automáticamente el requisito de opt-in previo de ePrivacy.

¿Qué hay del marketing saliente B2B?

B2C siempre requiere opt-in. Las normas B2B varían según el Estado miembro: algunos permiten la exclusión para direcciones corporativas, otros (por ejemplo, Alemania) aplican normas más estrictas.

¿Llega el Reglamento ePrivacy?

El Reglamento independiente fue retirado en febrero de 2025. Las enmiendas específicas a ePrivacy son ahora parte del Paquete Ómnibus Digital, actualmente en negociación.

Comparar leyes de compliance de IA de la UE

LeyPlazoA quién afectaSanción
Ley de IA de la UE Art. 502 ago 2026Todos los desplegadores de IA en la UE€7,5M / 1,5% de facturación
NL Telecomwet1 jul 2026Marketing saliente a consumidores de los Países Bajos€900K / 10% de facturación
RGPDEn vigorCualquier tratante de datos personales de la UE€20M / 4% de facturación
DSAEn vigor (feb 2024)Intermediarios y VLOP6% de facturación global
ePrivacyEn vigorRemitentes de comunicaciones electrónicasVaría según Estado miembro

Recursos de compliance relacionados

Aviso legal: Esta página es solo para fines informativos y no constituye asesoramiento jurídico. Consulte a un abogado cualificado para sus obligaciones de compliance específicas.

← Volver al inicio