Tech
Legal

Tracking pixel nelle email, il Garante privacy detta le nuove regole

Laura Biarella
22 April 2026
Tracking pixel nelle email, il Garante privacy detta le nuove regole

App
Device
Italia
Privacy

Basta tracciamenti invisibili nelle email senza che gli utenti ne siano consapevoli. Il Garante per la protezione dei dati personali ha adottato le Linee guida sull’uso dei tracking pixel nelle comunicazioni di posta elettronica, un provvedimento destinato a incidere in modo significativo sul digital marketing, sulle newsletter e sui servizi di email delivery. L’obiettivo è rafforzare trasparenza, controllo e tutela dei dati personali, imponendo il consenso preventivo in tutti i casi ordinari e fissando sei mesi di tempo agli operatori per adeguarsi dopo la pubblicazione in Gazzetta Ufficiale.

Cosa sono i tracking pixel e perché sono considerati invasivi

I tracking pixel sono immagini trasparenti di dimensioni minime, spesso pari a un solo pixel, inserite nelle email e ospitate su server remoti. Quando il destinatario apre il messaggio, il pixel viene scaricato automaticamente, consentendo al mittente di sapere se e quando l’email è stata letta, quante volte è stata aperta e da quale dispositivo, oltre a raccogliere informazioni tecniche come l’indirizzo IP.

Secondo il Garante, si tratta di strumenti particolarmente insidiosi perché operano in modo occulto: l’utente, nella maggior parte dei casi, non percepisce la loro presenza né è consapevole del tracciamento in corso. Una caratteristica che li rende più invasivi rispetto ad altri strumenti di monitoraggio online.

Consenso come regola generale

Le Linee guida chiariscono che l’uso dei tracking pixel rientra nell’ambito dell’articolo 122 del Codice privacy, norma che disciplina l’accesso alle informazioni presenti nei dispositivi degli utenti e il monitoraggio delle loro attività online, in attuazione della direttiva e‑Privacy e in coordinamento con il GDPR.

La regola è netta:

  • consenso preventivo, libero, specifico e informato, prima di inserire pixel di tracciamento nelle email;
  • informativa chiara e comprensibile, fornita anche in forma semplificata ma facilmente accessibile;
  • possibilità di revoca del consenso in qualsiasi momento, anche in modo selettivo.

L’Autorità ribadisce che l’assenza di consapevolezza dell’utente rende il trattamento illecito, anche quando il contenuto della comunicazione sia di per sé legittimo.

 

Eccezioni: sicurezza, statistiche aggregate e comunicazioni di servizio

Il provvedimento individua anche specifiche deroghe al consenso, da applicare in modo rigoroso e proporzionato. Tra queste rientrano:

  • finalità di sicurezza informatica (ad esempio per verificare l’apertura di email di conferma o prevenire frodi e phishing);
  • misurazioni statistiche aggregate e anonime, come il semplice conteggio complessivo delle aperture, a condizione che non sia possibile identificare i singoli destinatari;
  • comunicazioni istituzionali o di servizio obbligatorie, quando l’effettiva presa visione del messaggio è necessaria per tutelare l’utente o la collettività.

In tutti questi casi, resta comunque fermo l’obbligo di informare correttamente gli interessati.

Privacy by design e controllo dell’utente

Uno degli aspetti centrali delle Linee guida è il richiamo alle misure di privacy by design e by default. Il Garante invita i titolari del trattamento a limitare al minimo i dati raccolti, riducendo il rischio di identificazione degli utenti e separando gli identificativi tecnici dagli indirizzi email.

Particolare enfasi è posta sulla revoca “granulare” del consenso: l’utente deve poter scegliere se continuare a ricevere le email senza tracciamento o interrompere del tutto le comunicazioni, senza subire penalizzazioni o limitazioni del servizio.

Sei mesi per adeguarsi

Le Linee guida si rivolgono a un’ampia platea di soggetti:

  • fornitori di servizi della società dell’informazione,
  • provider di posta elettronica,
  • piattaforme di email marketing e marketing automation,
  • enti pubblici e privati che inviano comunicazioni via email.

Per consentire l’adeguamento tecnico e organizzativo, il Garante per la protezione dei dati personali ha previsto un periodo transitorio di sei mesi dalla pubblicazione in Gazzetta Ufficiale, entro il quale tutti i soggetti interessati dovranno conformarsi alle nuove indicazioni.

Un cambio di passo per il digital marketing e la PA

Il provvedimento rappresenta un punto di svolta nel rapporto tra comunicazione digitale e tutela della privacy. Per il settore del marketing, delle newsletter e delle comunicazioni istituzionali si apre una fase di profonda revisione delle pratiche di tracciamento, fondata su responsabilizzazione, trasparenza e rispetto dei diritti digitali.

Per gli utenti, invece, si rafforza il diritto a sapere chi li traccia, come e perché, restituendo maggiore controllo su una tecnologia finora quasi invisibile.

chiudi
Indietro
Preferiti
share