Tracking pixel:

le nuove Linee Guida del Garante

Con il Provvedimento del 17 aprile 2026, il Garante per la protezione dei dati personali ha adottato le nuove Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica, introducendo un intervento destinato ad avere un impatto molto rilevante sull’intero ecosistema dell’e-mail marketing, della marketing automation e delle comunicazioni elettroniche.

Il documento affronta un tema che si è progressivamente trasformato in una prassi tecnica quasi scontata: l’utilizzo di strumenti di tracciamento incorporati nelle e-mail, spesso attivati automaticamente dalle piattaforme di invio senza una reale consapevolezza né da parte degli utenti né, in molti casi, delle stesse organizzazioni che li utilizzano.

L’aspetto più importante delle nuove Linee Guida è che il Garante modifica radicalmente l’approccio interpretativo finora adottato da buona parte del mercato. Il tracking pixel non viene più trattato come una funzionalità tecnica accessoria utile a misurare l’efficacia delle campagne, ma come uno strumento di tracciamento che incide direttamente sulla sfera privata dell’utente e che, proprio per questo motivo, ricade nella disciplina dell’art. 122 del Codice Privacy, ossia nella normativa ePrivacy relativa all’accesso alle informazioni presenti nel terminale dell’interessato.

L’impatto operativo è molto ampio. A partire da newsletter commerciali, coinvolge piattaforme CRM, workflow automatici, sistemi di marketing automation, e-mail transazionali, servizi di sicurezza, notifiche operative e più in generale tutte le comunicazioni elettroniche che incorporano meccanismi di tracciamento.

Contenuti dell'approfondimento

Cosa sono i tracking pixel

Dal punto di vista tecnico, i tracking pixel sono immagini di dimensioni minime, spesso completamente invisibili, inserite all’interno di e-mail HTML e ospitate su server remoti.

Quando il destinatario apre il messaggio, il client di posta scarica automaticamente il contenuto remoto e genera una richiesta verso il server del mittente o del provider tecnologico utilizzato. Attraverso questo scambio il sistema può raccogliere una serie di informazioni associate all’apertura dell’e-mail, tra cui:

  • data e ora di apertura;
  • indirizzo IP;
  • dispositivo utilizzato;
  • client di posta;
  • numero di visualizzazioni;
  • identificativi associati al destinatario o alla campagna.

 

Poiché i tracciatori sono di regola univoci per singolo destinatario, è possibile ricondurre ciascuna apertura a uno specifico utente e monitorarne i comportamenti successivi

Nella pratica consentono al mittente di sapere non soltanto se l’e-mail è stata aperta, ma anche come il destinatario ha interagito con il messaggio e, in molti casi, di collegare tali informazioni a uno specifico soggetto identificato o identificabile (N.B.: il pixel viene scaricato soltanto se l’utente ha abilitato il download automatico delle immagini).

Le Linee Guida sottolineano che il carattere particolarmente invasivo del tracking pixel deriva dalla sua natura occulta. L’utente legge un’e-mail senza sapere che l’apertura del messaggio genera automaticamente una comunicazione verso soggetti terzi e produce informazioni utilizzabili per monitorare il suo comportamento.

Il Garante collega questo elemento direttamente ai principi di correttezza e trasparenza del GDPR, evidenziando come la mancata consapevolezza dell’interessato rappresenti il principale profilo di criticità del trattamento.

Perché il Garante è intervenuto

Uno degli aspetti più significativi rilevati dal Garante riguarda il fatto che il tracking risulta spesso attivo di default nelle piattaforme di invio e-mail.  

Il destinatario non vede né percepisce la presenza delle immagini, ed è proprio questa invisibilità a connotarli come strumenti di tracciamento occulto.

In molti casi:

  • le organizzazioni non distinguono tra statistiche aggregate e monitoraggio individuale;
  • il tracciamento viene effettuato automaticamente anche per comunicazioni non promozionali;
  • i sistemi di opt-out non consentono una revoca selettiva;
  • l’utente non riceve informazioni adeguate sul funzionamento dei pixel.

Il problema riguarda l’assenza di una governance effettiva del trattamento.

Le nuove Linee Guida si inseriscono inoltre in un contesto europeo caratterizzato da crescente attenzione verso le tecnologie di tracciamento. Non a caso il Garante richiama gli orientamenti dell’EDPB sull’art. 5(3) della Direttiva ePrivacy e si colloca in continuità con la posizione assunta dalla CNIL francese nel marzo 2026.

Il quadro normativo: ePrivacy e GDPR

Uno dei chiarimenti più importanti riguarda il rapporto tra normativa ePrivacy e GDPR.

Come scritto nei paragrafi precedenti, il tracking pixel ricade innanzitutto nell’ambito dell’art. 122 del Codice Privacy, norma che recepisce in Italia la Direttiva ePrivacy.

Secondo il Garante:

  • l’inserimento del pixel nell’e-mail comporta un’interazione con il terminale del destinatario;
  • il caricamento dell’immagine genera una lettura di informazioni;
  • tale attività rientra nella disciplina speciale prevista per gli strumenti di tracciamento.

 

La conseguenza giuridica è molto rilevante, il consenso preventivo deve essere la regola.

Il GDPR continua naturalmente ad applicarsi, ma in una fase successiva e con riferimento:

  • alla validità del consenso;
  • agli obblighi informativi;
  • ai diritti dell’interessato;
  • alla sicurezza;
  • alla responsabilizzazione del titolare.

 

Le Linee Guida chiariscono quindi che il framework normativo corretto è composto da una doppia lettura:

  • ePrivacy per la liceità dell’accesso al terminale;
  • GDPR per la gestione del trattamento dei dati personali derivanti dal tracking.

 

Per il Garante il tracking pixel è uno strumento che impartisce istruzioni al terminale dell’utente e genera un flusso automatico di informazioni verso il mittente o verso soggetti terzi.

Questa interpretazione è coerente con gli orientamenti europei più recenti e comporta conseguenze operative:

  • il legittimo interesse non può essere utilizzato automaticamente come base giuridica;
  • l’attivazione di default del tracking diventa problematica;
  • molte configurazioni standard degli ESP devono essere riviste;
  • il consenso deve essere acquisito prima dell’attivazione del pixel, salvo deroghe (al netto di informative chiare e precise).

A chi sono destinate le Linee Guida

Le Linee Guida si rivolgono a tutti i soggetti, privati o pubblici, che intervengono nelle operazioni di utilizzo dei pixel di tracciamento nelle e-mail.

L’impiego di tracking pixel può coinvolgere una pluralità di soggetti, ciascuno dei quali può intervenire a diverso titolo nelle operazioni di trattamento. Le Linee Guida dedicano specifica attenzione a questo profilo, effettuando una ricognizione delle diverse figure che possono venire in rilievo nell’ecosistema del tracciamento via e-mail e richiamando l’attenzione sulla necessità che tali soggetti provvedano, caso per caso a definire con chiarezza i rispettivi ruoli privacy in conformità alla normativa applicabile.

In particolare, le Linee Guida individuano le seguenti figure:

  • il mittente del messaggio, che determina le finalità dell’uso dei pixel;
  • il fornitore di servizi di invio e-mail (spesso in modalità SaaS), che agisce generalmente su mandato e secondo le istruzioni del mittente;
  • il fornitore di servizi di noleggio di liste di distribuzione, che invia comunicazioni a contatti presenti nelle proprie liste per conto del committente;
  • il fornitore della tecnologia di tracciamento, il cui ruolo diviene rilevante anche in caso di compartecipazione agli aspetti decisionali;
  • il content creator, che nel caso di e-mail promozionali si occupa di predisporre il messaggio curando anche l’ottimizzazione grafica.

 

Il ruolo e la qualificazione di ciascun soggetto coinvolto andranno valutati alla luce delle concrete modalità operative adottate.

Quando il consenso è obbligatorio

Le Linee Guida individuano come scenario tipico di obbligatorietà del consenso tutte le ipotesi in cui il tracking consenta:

  • l’identificazione del destinatario;
  • la misurazione individuale delle aperture;
  • l’analisi del comportamento;
  • attività di profilazione;
  • personalizzazione delle comunicazioni;
  • ottimizzazione delle campagne sulla base delle interazioni osservate.

 

In concreto, questo significa che il consenso sarà normalmente necessario per:

  • newsletter commerciali;
  • DEM;
  • workflow di nurturing;
  • lead scoring;
  • sistemi di marketing automation;
  • campagne che analizzano open rate individuali.

 

Risulta chiaro il richiamo a scenari in cui il dato relativo all’apertura dell’e-mail venga utilizzato per modificare frequenza, contenuti o modalità delle comunicazioni commerciali.

Le deroghe previste dal Garante

Si prevedono alcune eccezioni alla regola generale del consenso, ma il loro ambito applicativo è piuttosto circoscritto.

La prima deroga riguarda le statistiche aggregate e anonime. Il consenso può non essere richiesto quando il tracking viene utilizzato esclusivamente per finalità statistiche aggregate, senza possibilità di identificare il singolo utente e adottando misure tecniche che impediscano la riconducibilità individuale del dato.

Il Garante richiama espressamente:

  • l’utilizzo di pixel identici per tutti i destinatari;
  • l’anonimizzazione dei dati tecnici;
  • l’assenza di identificativi personalizzati.

 

La seconda deroga riguarda le finalità di sicurezza e autenticazione, ad esempio:

  • conferma account;
  • reset password;
  • verifica accessi;
  • gestione delle credenziali.

 

In questi casi il tracking viene considerato necessario per la sicurezza del servizio richiesto dall’utente.

Infine, il Garante ammette l’esenzione per alcune comunicazioni istituzionali o obbligatorie, come:

  • notifiche di sicurezza;
  • comunicazioni bancarie;
  • reminder su obblighi contrattuali;
  • comunicazioni funzionali essenziali.

Informativa e trasparenza: cosa cambia

Il Garante chiarisce espressamente che l’informativa sull’utilizzo dei tracking pixel è sempre obbligatoria, anche nei casi in cui il consenso non sia richiesto.

Questo comporta per molte organizzazioni la necessità di rivedere:

  • privacy policy;
  • informative marketing;
  • moduli di raccolta dati;
  • preference center;
  • workflow di onboarding.

 

Le informative dovranno descrivere in modo chiaro:

  • l’esistenza del tracking;
  • le finalità perseguite;
  • i dati raccolti;
  • i soggetti coinvolti;
  • i diritti esercitabili;
  • le modalità di revoca.

 

Le Linee Guida ammettono modelli multilivello e approcci multicanale, ma il Garante insiste sul fatto che l’informazione debba essere realmente comprensibile e accessibile.

Questo punto è particolarmente importante perché molte informative oggi utilizzate trattano il tracking e-mail in modo estremamente generico o addirittura non lo menzionano affatto.

Il tema centrale: la revoca granulare

Probabilmente il profilo più innovativo e più complesso riguarda la revoca granulare del consenso.

Il Garante richiede che l’utente possa:

  • interrompere integralmente le comunicazioni;
  • oppure continuare a ricevere le e-mail senza essere tracciato.

 

Questo requisito ha un impatto operativo enorme perché molte piattaforme di e-mail marketing non sono state progettate per distinguere tra:

  • consenso al marketing;
  • consenso al tracking.

 

In numerosi casi il tracking rappresenta infatti una funzionalità intrinsecamente collegata all’invio dell’e-mail.

Le organizzazioni dovranno quindi valutare:

  • la capacità tecnica delle piattaforme utilizzate;
  • la configurabilità dei workflow;
  • la gestione separata delle preferenze;
  • i meccanismi di opt-out selettivo;
  • la possibilità di inviare comunicazioni prive di pixel.

 

Il Garante specifica inoltre che il rifiuto del tracking non può determinare limitazioni del servizio o penalizzazioni per l’utente.

Questo principio è particolarmente rilevante perché impedisce modelli di consenso forzato o meccanismi di conditionality non proporzionati.

Privacy by design e misure tecniche richieste

Le Linee Guida contengono anche indicazioni tecniche molto precise, richiamando direttamente il principio di privacy by design.

Il Garante raccomanda l’adozione di misure che riducano la circolazione degli identificativi personali nei flussi tecnici, suggerendo:

  • identificativi opachi;
  • identificativi non sequenziali;
  • separazione dei layer contenenti dati identificativi;
  • minimizzazione delle informazioni trasmesse.

 

L’obiettivo è limitare il rischio che l’indirizzo e-mail dell’utente venga esposto direttamente nei processi di caricamento del pixel.

Questo punto è particolarmente importante perché molte implementazioni attualmente diffuse:

  • utilizzano identificativi facilmente riconducibili al destinatario;
  • espongono l’indirizzo e-mail nei parametri URL;
  • mantengono correlazioni immediate tra tracking e identità dell’utente.

Tempistiche di adeguamento e i prossimi passi

Le nuove Linee Guida del Garante prevedono un periodo di adeguamento di sei mesi dalla pubblicazione in Gazzetta Ufficiale, fissando il termine ultimo al 29 ottobre 2026.

Per i trattamenti già in essere alla data di entrata in vigore delle Linee Guida (29 aprile 2026), il Garante ammette un adeguamento progressivo degli obblighi informativi. In particolare, l’informativa relativa all’utilizzo dei tracking pixel potrà essere fornita:

  • con il primo messaggio utile inviato all’interessato;
  • oppure nel primo momento di discontinuità della relazione eventualmente esistente.

 

In concreto, le società dovranno valutare almeno i seguenti profili:

  1. Mappatura degli utilizzi correnti: quali strumenti di tracciamento sono in uso, per quali finalità e con il coinvolgimento di quali fornitori terzi? La risposta non è sempre immediata, specie nelle realtà in cui il processo di invio e-mail coinvolge più piattaforme o soggetti.
  2. Verifica delle basi giuridiche: ogni utilizzo andrà qualificato alla luce delle esenzioni previste dalle Linee Guida, con valutazioni che dipendono strettamente dalle modalità tecniche adottate e dai flussi di dati in essere.
  3. Aggiornamento dell’informativa: le modalità e i tempi di adempimento variano a seconda che i trattamenti siano già in corso o di nuova implementazione, e richiedono un’attenta calibrazione.
  4. Implementazione dei meccanismi di revoca granulare: il disegno di un sistema di revoca che sia al tempo stesso conforme alle indicazioni del Garante e operativamente sostenibile richiede una valutazione tecnica e giuridica integrata.
  5. Revisione dei contratti con i fornitori: la corretta qualificazione dei ruoli privacy nella catena di invio, titolare, responsabile, contitolare, ha implicazioni significative in termini di responsabilità e governance che dipendono dalle specifiche dinamiche contrattuali in essere.
  6. Coordinamento a livello europeo: per chi opera in più mercati o si avvale di fornitori europei, la disomogeneità degli approcci nazionali rende ancora più necessaria una strategia di compliance integrata e coerente.

Cerchi supporto per l’adempimento normativo?

Translate »