Il Garante per la Protezione dei Dati Personali ha adottato, con provvedimento n. 284 del 17 aprile 2026, le prime Linee Guida nazionali in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica. Il provvedimento chiarisce il quadro normativo applicabile, individua le ipotesi in cui il consenso degli utenti non è necessario, stabilisce gli obblighi di informativa e introduce la revoca granulare del consenso. I soggetti tenuti all’adeguamento hanno sei mesi dalla pubblicazione in Gazzetta Ufficiale.
1. Un tracciamento invisibile
Aprire una e-mail può bastare per essere tracciati. Non è un’ipotesi teorica: è ciò che accade ogni giorno, in modo del tutto invisibile, ogni volta che un messaggio di posta elettronica contenente un tracking pixel viene visualizzato sul proprio dispositivo. Il Garante per la Protezione dei Dati Personali ha deciso di regolamentare questo fenomeno con il provvedimento n. 284 del 17 aprile 2026, adottando le prime Linee Guida nazionali in materia.
Un pixel di tracciamento è un’immagine di dimensioni microscopiche — 1×1 pixel, trasparente e invisibile all’occhio umano — inserita nel codice HTML di un messaggio e-mail. L’immagine non è fisicamente contenuta nel messaggio: risiede su un server remoto del mittente. Quando il destinatario apre l’e-mail e il client di posta carica le immagini, viene automaticamente inviata una richiesta HTTP a quel server. In risposta, il server trasmette il pixel al dispositivo dell’utente e, in questo preciso istante, registra: l’avvenuta apertura del messaggio, l’indirizzo IP del destinatario, il tipo di dispositivo e client di posta utilizzato, la data e l’ora, il numero di aperture successive. Il destinatario non vede nulla, non riceve alcun avviso, non esprime alcun consenso. È questo il problema che l’Autorità intende affrontare.
Le Linee Guida sono il frutto di una specifica attività ispettiva svolta nei mesi precedenti: l’Autorità ha condotto accertamenti conoscitivi, nell’ottobre 2025 e nel febbraio 2026, presso un provider di servizi e-mail e una piattaforma di marketing automation. I risultati hanno confermato che i pixel di tracciamento vengono utilizzati nella pressoché totalità delle comunicazioni, indifferentemente in newsletter, campagne promozionali, e-mail transazionali e messaggi istituzionali, senza distinzione alcuna in base al dispositivo o al client dell’utente.
2. La norma applicabile: art. 122 del Codice Privacy
Dal punto di vista giuridico, il Garante qualifica l’inserimento di un pixel nel corpo di un’e-mail e la lettura dei dati di ritorno come operazioni di accesso al terminale dell’utente, soggette all’art. 122 del d.lgs. 196/2003 (Codice Privacy), che recepisce la direttiva 2002/58/CE (direttiva e-Privacy). In quanto lex specialis rispetto al GDPR per il settore delle comunicazioni elettroniche, tale norma prevale sulle disposizioni regolamentari generali per le fattispecie che disciplina specificamente. I principi del GDPR — trasparenza, informativa, privacy by design e by default — rimangono tuttavia pienamente applicabili come cornice regolatoria generale.
Il comma 2-bis dell’art. 122 sancisce un divieto generalizzato di accedere alle informazioni archiviate nel terminale dell’utente, salvo che non ricorra una delle tre deroghe previste dalla norma: il consenso preventivo dell’utente; la necessità del trattamento per effettuare la trasmissione di una comunicazione elettronica; la necessità per la fornitura di un servizio esplicitamente richiesto dall’utente. Su questo schema di regola-deroga si fonda l’intera architettura del provvedimento.
3. Quando il consenso non è necessario
Il Garante individua tre specifiche ipotesi in cui i titolari del trattamento possono legittimamente impiegare tracking pixel senza acquisire il consenso degli utenti. Si tratta di un elenco esemplificativo, elaborato “allo stato attuale delle conoscenze” e suscettibile di aggiornamento.
Misurazione statistica aggregata con anonimizzazione. Se il pixel serve a calcolare la percentuale globale di apertura dei messaggi senza consentire misurazioni riferite a singoli individui, e vengono adottate idonee tecniche di anonimizzazione — pixel identici per tutti i destinatari di una stessa campagna, anonimizzazione dell’indirizzo IP e dei dati tecnici correlati — il consenso non è necessario. Il Garante richiama in proposito il Parere WP29 n. 05/2014, che ammette la compatibilità dell’anonimizzazione con le finalità originarie del trattamento, a condizione che il processo produca informazioni genuinamente anonime.
Processi di autenticazione e sicurezza. Quando il pixel è funzionale a verificare che un messaggio critico — conferma di attivazione di un account, reset di password, risposta a una richiesta di esercizio dei diritti in materia di dati personali — sia stato aperto sul terminale riconducibile all’utente interessato, il suo utilizzo risponde a esigenze di sicurezza e di corretta fornitura del servizio richiesto dall’utente, configurando una delle deroghe previste dall’art. 122 del Codice.
Messaggi istituzionali o di servizio con obbligo giuridico di invio. Il Garante riconosce la deroga anche per le comunicazioni rispetto alle quali il mittente ha un obbligo giuridico di invio e rileva l’effettiva presa di conoscenza da parte del destinatario: notifiche di incidenti di sicurezza, comunicazioni relative a modifiche contrattuali, campagne istituzionali informative, reminder su scadenze contributive, avvisi su misure antifrode. In tutti questi casi, il carattere cogente dell’invio e il beneficio diretto per il destinatario giustificano l’esonero dal consenso.
4. L’obbligo di informativa: nessuna eccezione
Indipendentemente dalla base giuridica applicabile — consenso o deroga — il Garante afferma con chiarezza che l’utilizzo di tracking pixel impone in ogni caso l’obbligo di rendere un’adeguata informativa agli interessati, in ossequio al principio di trasparenza di cui all’art. 5, par. 1, lett. a), del GDPR e agli artt. 12 e seguenti del medesimo Regolamento. Un trattamento che avviene all’insaputa del destinatario è contrario al principio di correttezza, a prescindere dalla questione del consenso.
L’informativa può essere fornita su più livelli e attraverso canali diversi: una menzione sintetica nel modulo di iscrizione alla newsletter, con rimando a un’informativa dettagliata eventualmente incorporata nella cookie policy; canali video, pop-up, chatbot, interazioni vocali. Per i trattamenti già in corso, è sufficiente inserire l’informativa nel primo invio utile successivo all’entrata in vigore delle Linee Guida.
5. Il consenso e la revoca granulare
Per tutti i casi in cui non sia applicabile una delle deroghe descritte — in primo luogo per le campagne promozionali con analisi individualizzata dei comportamenti di apertura, per la profilazione degli interessi degli utenti e per l’adattamento della frequenza degli invii in base ai tassi di apertura — il consenso preventivo è obbligatorio. Il consenso deve essere informato, libero, specifico ed inequivocabile, ai sensi degli artt. 122 del Codice e 4, punto 11), e 7 del GDPR.
Il Garante ammette che il consenso al tracciamento tramite pixel possa essere ricompreso nel consenso, più generale, alla ricezione delle comunicazioni promozionali, evitando così richieste plurime che si traducono in fenomeni di consent fatigue. La condizione è che la richiesta sia formulata in modo neutro e privo di forzature, e che l’utente sia pienamente informato del fatto che le comunicazioni conterranno pixel di tracciamento.
L’elemento di maggiore originalità del provvedimento è l’introduzione della revoca granulare del consenso. L’utente deve poter scegliere non soltanto tra ricevere o non ricevere le e-mail, ma anche tra accettare o rifiutare il solo tracciamento tramite pixel, continuando a ricevere le comunicazioni desiderate prive di marcatori. Ogni e-mail dovrà contenere — tipicamente nel footer — un link verso un’area dedicata all’esercizio dei diritti, nella quale l’utente possa optare per la disiscrizione completa o per la sola cessazione del tracciamento. Chi sceglie di non essere tracciato non può subire alcuna limitazione del servizio ricevuto.
6. Le misure tecniche e il termine per l’adeguamento
Le Linee Guida formulano anche un’indicazione tecnica specifica, riconducibile al principio di privacy by design di cui all’art. 25 del GDPR. Il Garante suggerisce che il mittente generi, per ciascun destinatario, un identificativo inintelligibile e non sequenziale, da associare all’indirizzo e-mail in un layer interno e separato della piattaforma. In questo modo, il conteggio delle aperture avverrà tramite l’identificativo, senza che l’indirizzo e-mail transiti in chiaro sulla rete durante il caricamento del pixel, riducendo il rischio di intercettazione e minimizzando i dati circolanti.
I soggetti tenuti all’adeguamento — mittenti di e-mail, provider di piattaforme di marketing automation, fornitori di servizi di emailing, gestori di liste di distribuzione — hanno sei mesi dalla pubblicazione delle Linee Guida in Gazzetta Ufficiale per conformarsi. Il termine è definito “congruo” dall’Autorità in considerazione della potenziale complessità degli adeguamenti tecnici e organizzativi richiesti, che per le organizzazioni di maggiori dimensioni possono includere la revisione dei sistemi di generazione dei pixel, l’aggiornamento dei moduli di consenso, la rinegoziazione dei contratti con i fornitori di tecnologia di tracciamento e la formazione del personale.
7. Cosa fare concretamente
Per i responsabili della protezione dei dati delle organizzazioni che inviano comunicazioni e-mail, le priorità operative sono chiare. In primo luogo, è necessario mappare tutti i flussi e-mail in uso, identificando quelli che impiegano tracking pixel e le finalità per cui vengono utilizzati. In secondo luogo, è necessario verificare se per ciascun flusso sussistono le condizioni per applicare una delle deroghe al consenso: il pixel viene usato per una misurazione aggregata anonimizzata? È funzionale a processi di sicurezza o autenticazione? La comunicazione è istituzionale con obbligo giuridico di invio?
Per i trattamenti che non rientrano nelle deroghe, occorre strutturare il consenso, aggiornare le informative e implementare la funzionalità di revoca granulare. Per tutti, indistintamente, è necessario informare gli utenti dell’utilizzo dei pixel, aggiornare il Registro delle attività di trattamento e documentare le scelte operate ai fini dell’accountability.
Il principio di fondo del provvedimento è semplice e non ammette eccezioni: nessuno può essere osservato nella propria casella di posta senza saperlo. Le Linee Guida non vietano i tracking pixel; li disciplinano. La differenza, per chi è già in regola con le pratiche di anonimizzazione e trasparenza, può essere minima. Per chi invece ha finora operato in assenza di qualsiasi presidio informativo o consensuale, il tempo per adeguarsi è iniziato a decorrere.
){kind=link}