Close Menu
AI
Notizie giuridiche Consumatori

Tracking pixel nelle email: profili legali e GDPR

Redazionedi
Indice dei contenuti ⇣

Tracking pixel nelle email: le nuove Linee Guida del Garante Privacy

Con il provvedimento n. 284 del 17 aprile 2026 (doc. web n. 10241943), il Garante per la protezione dei dati personali ha adottato le Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica, in corso di pubblicazione sulla Gazzetta Ufficiale. Gli operatori avranno sei mesi dalla pubblicazione per adeguarsi.

Cosa sono i tracking pixel

I tracking pixel sono immagini trasparenti di dimensioni minime (un solo pixel), non contenute direttamente nell'email ma ospitate su server remoti. Ad ogni apertura del messaggio, un codice HTML genera automaticamente una richiesta al server del mittente, che scarica l'immagine nel client di posta del destinatario. L'operazione, del tutto impercettibile per l'utente, consente al mittente di rilevare l'avvenuta apertura della email e di acquisire dati ulteriori: indirizzo IP, tipo di dispositivo, tempo di consultazione e numero di aperture successive.

Il Garante sottolinea la natura occulta di questi strumenti: il destinatario non è in grado di percepirne la presenza né di distinguerli selettivamente dalle altre immagini contenute nel messaggio.

Il quadro normativo: art. 122 del Codice Privacy e direttiva e-Privacy

Le Linee Guida chiariscono che l'utilizzo dei tracking pixel rientra nella disciplina dell'art. 122 del Codice Privacy (d.lgs. 196/2003), norma di recepimento dell'art. 5, par. 3, della direttiva e-Privacy (2002/58/CE). Il meccanismo del tracking pixel integra infatti una duplice modalità di accesso al terminale dell'utente: l'archiviazione di informazioni nell'apparecchio terminale (l'inserimento del pixel nella email) e l'accesso a informazioni già archiviate (la rilevazione del comportamento dell'utente tramite il pixel).

Il Garante richiama le Linee Guida EDPB 2/2023 sull'ambito di applicazione tecnico dell'art. 5, par. 3, della direttiva e-Privacy, confermando la piena applicabilità di tale disciplina ai pixel di tracciamento nelle email.

Per gli aspetti non coperti dalla direttiva e-Privacy in via speciale, resta applicabile il GDPR (Reg. UE 2016/679), in virtù del rapporto di lex specialis tra le due normative.

I soggetti coinvolti

Le Linee Guida individuano una pluralità di soggetti interessati: il mittente del messaggio, che decide l'impiego dei pixel e ne determina le finalità; il fornitore di servizi di invio email (piattaforme di marketing automation in modalità SaaS); il fornitore di servizi di noleggio di liste di distribuzione; il fornitore della tecnologia di tracciamento; il content creator, che predispone il messaggio promozionale; il destinatario della email.

Ciascuno di essi dovrà definire il proprio ruolo ai fini del GDPR, eventualmente ricorrendo all'istituto della contitolarità del trattamento ex art. 26 del Regolamento.

Obbligo di informativa

Il Garante afferma con chiarezza che l'impiego di tracking pixel nelle email deve essere preventivamente reso noto al destinatario, qualunque sia lo scopo della comunicazione o la natura del mittente (pubblico o privato). In difetto, il trattamento è illecito per violazione dei principi di correttezza e trasparenza (art. 5, par. 1, lett. a) GDPR).

L'informativa può essere resa su più livelli (ad esempio in forma sintetica nel modulo di raccolta dell'indirizzo, con link a informazioni più dettagliate) e attraverso più canali (pop-up, video, chatbot, assistenti virtuali).

Per i trattamenti già in corso alla data di entrata in vigore delle Linee Guida, sarà possibile adempiere all'obbligo informativo utilizzando il primo messaggio utile ovvero il primo momento di discontinuità nella relazione con l'interessato.

Il consenso: regola generale ed eccezioni

L'art. 122 del Codice pone un divieto generalizzato di accesso al terminale dell'utente, salvo che ricorra una delle ipotesi di deroga.

a) Consenso preventivo — libero, specifico, informato e inequivocabile — del destinatario. È la regola generale. In particolare, il consenso è necessario ogniqualvolta i pixel siano utilizzati per misurare individualmente il tasso di apertura delle email a fini promozionali, per adattare la frequenza degli invii o per creare profili commerciali.

b) Eccezioni al consenso — Il Garante individua tre categorie di casi in cui il titolare può legittimamente avvalersi della deroga:

1. Statistiche aggregate e anonimizzate: conteggio globale della percentuale di apertura dei messaggi per migliorare la deliverability e contrastare lo spam, purché siano adottate tecniche di anonimizzazione (pixel univoci non differenziati per ciascun utente, anonimizzazione di IP e dati tecnici).

2. Misure di sicurezza: implementazione di processi di autenticazione, verifica dell'apertura su terminale noto (conferma attivazione account, reset password, esercizio dei diritti privacy).

3. Comunicazioni istituzionali e di servizio obbligatorie: messaggi che il titolare ha l'obbligo giuridico di inoltrare (comunicazioni bancarie, allerte phishing, notifiche di data breach, modifiche contrattuali, campagne istituzionali informative, reminder su scadenze e adempimenti).

Il consenso unico e la revoca granulare

Il Garante introduce un'importante semplificazione: il consenso alla ricezione dei tracking pixel può essere ricompreso in quello più generale alla ricezione delle comunicazioni promozionali, in modo da consentire un unico consenso informato. La richiesta, però, deve essere formulata in modo neutro e senza forzature.

L'utente deve poter revocare il consenso in modo granulare: con revoca totale (cessazione dell'inoltro di tutte le email) oppure con revoca parziale (continuare a ricevere le comunicazioni ma senza tracking pixel).

A tal fine, ogni email dovrà contenere un'icona standardizzata o un link (nel footer del messaggio) che conduca l'utente verso un'area dedicata all'esercizio dei propri diritti.

Privacy by design e by default

Le Linee Guida prescrivono l'adozione di misure conformi all'art. 25 GDPR. In particolare, il Garante suggerisce che il mittente generi un identificativo inintelligibile e non sequenziale associato all'indirizzo email del destinatario, mantenga tale corrispondenza in un layer interno e separato della piattaforma e faccia transitare il conteggio degli eventi di apertura tramite l'identificativo, senza esporre l'indirizzo email nella richiesta tecnica generata dal caricamento del pixel.

Termine di adeguamento

I soggetti tenuti all'applicazione delle Linee Guida dovranno conformarvisi entro sei mesi dalla pubblicazione in Gazzetta Ufficiale.

Provvedimento del 17 aprile 2026, n. 284 — Garante per la protezione dei dati personali, doc. web n. 10241943.

Comunicato stampa del 21 aprile 2026, doc. web n. 10241977.

Sullo stesso argomento
Videosorveglianza privata: sanzioni per chi riprende la strada pubblica
Legge 132/2025 Intelligenza artificiale
Accesso ai dati della cartella clinica: faq del Garante Privacy
Autovelox: immagini e video inviati all’automobilista solo su sua richiesta e persone sempre oscurate
Linee guida in materia di conservazione delle password di accesso ai sistemi informatici
Privacy e scuola: il vademecum del Garante per la protezione dei dati personali