NEWS

 

Tracking pixel nelle e-mail: il banco di prova del consenso digitale nelle Linee guida del Garante

Con il provvedimento n. 284 del 17 aprile 2026 adottato ai sensi dell'art. 154-bis, comma 1, lett. a) del Codice e pubblicato nella Gazzetta Ufficiale n. 98 del 29 aprile 2026, il Garante per la protezione dei dati personali interviene per la prima volta in modo organico sull'uso dei pixel di tracciamento ("tracking pixel") nelle comunicazioni di posta elettronica.

L'intervento colma un'evidente lacuna regolatoria: a fronte di una prassi divenuta pressoché universale – come accertato dall'Autorità nelle ispezioni conoscitive condotte nei mesi di ottobre 2025 e febbraio 2026 presso un provider e una piattaforma di marketing automation – mancava finora una disciplina dedicata, paragonabile a quella già introdotta per i cookie con le Linee guida del 10 giugno 2021 (provv. n. 231/2021, in G.U. n. 163 del 9 luglio 2021, doc. web n. 9677876). La cornice è ora delineata, e i soggetti tenuti dispongono di un termine di sei mesi dalla pubblicazione in Gazzetta Ufficiale, vale a dire fino al 29 ottobre 2026, per allineare sistemi, informative e flussi di consenso.

I tracking pixel sono immagini di dimensioni minime – tipicamente trasparenti e di un solo pixel – non incorporate nel corpo dell'e-mail ma ospitate su server remoti. All'apertura del messaggio, un comando HTML innesca una richiesta automatica al server del mittente: l'immagine viene scaricata dal client di posta dell'utente e archiviata nella memoria del terminale. La stringa di richiesta tecnica che ne consegue veicola informazioni sull'avvenuta apertura, sull'indirizzo IP, sul dispositivo, sul tempo di consultazione e sul numero di aperture successive, oltre a parametri ulteriori (user ID, message ID, time stamp, token di sicurezza). Il Garante sottolinea, con considerazione di particolare rilievo nell'economia del provvedimento, che il profilo di maggiore criticità non risiede tanto nel contenuto delle inferenze ricavabili, quanto nel "carattere nascosto" del marcatore: la pervasività del pixel deriva, prima di ogni altra cosa, dalla mancata consapevolezza del destinatario, in violazione del principio di correttezza di cui all'art. 5, par. 1, lett. a), del Regolamento (UE) 2016/679.

Il punto qualificante delle Linee guida è la qualificazione tecnico-giuridica delle operazioni effettuate per il tramite del pixel. L'inserimento del marcatore nell'e-mail integra un'archiviazione di informazioni nel terminale dell'utente; la successiva lettura dei dati di ritorno costituisce accesso a informazioni archiviate. Entrambe le operazioni rientrano nella fattispecie dell'art. 122 del Codice (d.lgs. 196/2003), norma di recepimento della direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE. In coerenza con quanto già affermato dall'EDPB nelle Linee guida 2/2023 del 7 ottobre 2024 sull'ambito di applicazione tecnico dell'art. 5, par. 3, della direttiva e-Privacy, il Garante ribadisce che la disciplina e-Privacy, in quanto lex specialis, prevale sulle disposizioni del GDPR, ai sensi del considerando 173 e dell'art. 95 del Regolamento. Il GDPR resta tuttavia pienamente operativo come cornice generale, in particolare per i principi di correttezza e trasparenza, per i requisiti di validità del consenso (artt. 4, punto 11), e 7), per gli obblighi informativi (artt. 12 ss.) e per la privacy by design e by default (art. 25). La doppia chiave di lettura – e-Privacy/GDPR – è del resto coerente con il considerando 30 del Regolamento, espressamente richiamato dal Garante, che riconosce nel monitoraggio mediante identificativi online uno strumento idoneo, da solo o in combinazione con altri dati, alla profilazione e all'identificabilità dell'interessato.

Le Linee guida individuano una pluralità di figure che a vario titolo intervengono nella catena del trattamento: il mittente del messaggio, il fornitore di servizi di emailing in modalità SaaS, il fornitore di liste in noleggio, il fornitore della tecnologia di tracciamento, il content creator e infine il destinatario. La definizione caso per caso dei rispettivi ruoli – titolare, contitolare ex art. 26 GDPR, responsabile ex art. 28 GDPR – rappresenta un esercizio di accountability ai sensi dell'art. 5, par. 2 del Regolamento, e impone una rigorosa mappatura contrattuale. Si tratta di un punto sul quale i DPO dovranno esercitare particolare attenzione: la diffusione di catene complesse, in cui il committente affida a terzi sia la piattaforma di invio sia la tecnologia di tracciamento, rende cruciale evitare aree grigie nell'attribuzione delle responsabilità.

Sul piano dell'informativa, il Garante – in continuità con l'approccio già seguito per i cookie – favorisce l'adozione di forme agevolate e multilivello. L'informazione potrà essere fornita in forma sintetica nel modulo di raccolta dell'indirizzo, con rinvio mediante link a contenuti più dettagliati anche all'interno della cookie policy esistente, e potrà avvalersi di canali multipli (pop-up, video, chatbot, assistenti virtuali). Resta fermo l'onere di responsabilizzazione del titolare, che dovrà valutare la concreta idoneità delle modalità prescelte sotto il profilo della completezza, della chiarezza espositiva e dell'efficacia.

Per i trattamenti già in corso, l'informativa potrà essere veicolata con il primo invio utile o nel primo momento di discontinuità della relazione con l'interessato.

Il comma 2-bis dell'art. 122 sancisce un divieto generalizzato di accesso al terminale dell'utente, salvo il ricorrere di una delle ipotesi tassative previste dal comma 1: il consenso preventivo dell'utente – che deve essere libero, specifico, informato e inequivocabile, ai sensi dell'art. 4, punto 11) GDPR; la necessità del trattamento ai fini della trasmissione della comunicazione elettronica; la stretta necessità per la fornitura di un servizio della società dell'informazione esplicitamente richiesto dall'utente. È su questa griglia regola-deroga che si articola l'intera architettura del provvedimento.

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Allo stato attuale delle conoscenze – e con espressa riserva di aggiornamento – il Garante individua tre ipotesi concrete in cui i titolari possono legittimamente impiegare tracking pixel senza acquisire il consenso. La prima è la misurazione statistica aggregata orientata al miglioramento della deliverability e al contrasto dello spam, a condizione che il pixel sia univoco per la campagna (uguale per tutti i destinatari) e che indirizzo IP e altri dati tecnici siano anonimizzati conformemente al Parere WP29 n. 05/2014 sulle tecniche di anonimizzazione. La seconda è l'impiego del pixel come misura di sicurezza nei processi di autenticazione, attivazione di account, gestione di richieste di modifica password o esercizio dei diritti dell'interessato (compresa la portabilità): qui la verifica dell'effettiva apertura sul terminale legittimo dell'utente esplica una funzione di sicurezza accessoria al servizio richiesto. La terza, di particolare rilievo per i soggetti pubblici e per i settori regolati (banche e intermediari in primis), riguarda i messaggi istituzionali o di servizio caratterizzati da un obbligo giuridico di inoltro – modifiche contrattuali, comunicazioni di sicurezza, notifiche di incidenti, allerte antifrode, scadenze contributive – per i quali il riscontro dell'effettiva presa di conoscenza concorre alla tutela dell'interessato medesimo.

Quando non ricorra una delle ipotesi di deroga, il consenso è dovuto. Il Garante affronta tuttavia, con apprezzabile pragmatismo, la questione della duplicazione fra consenso al messaggio promozionale e consenso al pixel. La stretta correlazione finalistica e l'esigenza di evitare meccanismi di pressione sull'interessato consentono, in linea di principio, di ricomporre i due consensi in un'unica manifestazione di volontà, purché formulata in modo neutro e privo di forzature. Si tratta di una soluzione sensibile alla logica di semplificazione e coerente con la giurisprudenza dell'EDPB sul principio del consenso libero e specifico: l'unicità del consenso non deve diventare scappatoia per pacchetti opachi, ma punto di equilibrio tra esigenze di chiarezza e tutela effettiva.

Se l'ammissibilità del consenso unitario costituisce un'apertura, il Garante chiede in compenso che la revoca sia granulare. L'interessato deve poter scegliere, in ogni momento, fra tre opzioni: continuare a ricevere comunicazioni con tracciamento, continuare a riceverle senza tracciamento, ovvero cessare del tutto la ricezione. A questo fine, ogni e-mail deve recare – tipicamente nel footer – un'icona standardizzata o un link che conduca a un'area dedicata all'esercizio dei diritti. Il rifiuto del solo tracciamento non può comportare alcuna limitazione del servizio. È quanto emerge anche dal confronto, ormai esplicito nel dibattito europeo, con la Raccomandazione della CNIL francese del 12 marzo 2026: entrambe le autorità impongono un meccanismo di opt-out raggiungibile dal footer, ma il Garante italiano si spinge oltre, costruendo la granularità come autonomo diritto dell'interessato, distinto dal diritto di disiscrizione.

Sul versante delle misure tecniche e organizzative ex art. 25 del Regolamento, le Linee guida formulano un'indicazione operativa di rilievo: il mittente dovrebbe generare, per ciascun destinatario, un identificativo inintelligibile e non sequenziale, da associare all'indirizzo di posta elettronica in un layer interno e separato della piattaforma di invio. In tal modo l'indirizzo non transita nella richiesta tecnica generata dal caricamento del pixel: la corrispondenza tra evento di apertura e identità del destinatario resta confinata in un'area protetta, riducendo l'esposizione dei dati e il rischio di re-identificazione. È, di fatto, la trasposizione del principio di minimizzazione (art. 5, par. 1, lett. c) sul piano architetturale.

Per i trattamenti già in essere, il provvedimento ammette che l'informativa sia resa con il primo invio utile o nel primo momento di discontinuità disponibile, e impone l'implementazione di un meccanismo di revoca granulare improntato alla massima riconoscibilità, visibilità e facilità d'uso. Si tratta di un regime transitorio, destinato a essere progressivamente assorbito dalla regola ordinaria della preventiva acquisizione del consenso unitario per i nuovi trattamenti.

Le Linee guida sono atto regolatorio e non sanzionatorio in sé, ma fissano un parametro di legittimità destinato a orientare l'attività ispettiva e il successivo enforcement dell'Autorità. Le condotte difformi possono integrare violazioni dell'art. 122 del Codice e delle disposizioni del GDPR richiamate (artt. 5, 7, 12 ss., 25), con conseguente esposizione alle sanzioni amministrative pecuniarie di cui all'art. 83 del Regolamento e alle norme nazionali del Codice.

Al Data Protection Officer si pone, da subito, una checklist operativa stringente: censire tutti i flussi e-mail in uso e i pixel attivi, distinguendo per finalità (deliverability, sicurezza, marketing, profilazione); ricostruire la catena di responsabilità contrattuale con provider, piattaforme di marketing automation, fornitori di tecnologia di tracciamento e content creator; rivedere informative, moduli di iscrizione e cookie policy in chiave di trasparenza multilivello; riprogettare i flussi di consenso – privilegiando, ove possibile, il consenso unitario neutro – e implementare il pannello di revoca granulare nel footer; verificare, lato tecnico, l'adozione di identificativi opachi e di layer separati di associazione; aggiornare il registro dei trattamenti e, quando ne ricorrano i presupposti, la valutazione d'impatto.

Il provvedimento, in conclusione, si colloca in una direzione di marcia europea coerente, segnata dalla convergenza con il modello francese, e completa l'opera di tutela inaugurata con le Linee guida cookie del 2021. Le linee guida hanno il merito di tradurre principi consolidati in indicazioni operative dettagliate, lasciando al titolare un margine di scelta responsabile, ma fissando una cornice non aggirabile: la trasparenza, prima ancora che il consenso, è il cuore della disciplina.

Per il sistema italiano della protezione dei dati, e per i DPO chiamati a presidiarla, si apre un semestre denso di adeguamenti tecnici, contrattuali e organizzativi, che metterà alla prova non solo la conformità formale ma anche la maturità progettuale dei titolari del trattamento. Chi saprà tradurre la privacy by design in scelte architetturali concrete – identificativi opachi, layer separati, meccanismi di revoca granulare effettivi – non solo eviterà il rischio sanzionatorio, ma costruirà un capitale di fiducia che, nell'ecosistema digitale, è ormai un asset competitivo a tutti gli effetti.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di  diritto digitale e tutela dei dati presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente del Comitato Scientifico dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - X : @infomicheleias1

 

Articoli correlati

Prev La relazione delle attività del Data Protection Officer: la CNIL pubblica linee guida e modello operativo
Next Mercati digitali, privacy e dati personali entrano nel perimetro dell’intervento Antitrust

Galleria Video

Privacy Day Forum 2025: il servizio dell'Ansa

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza