Tracking pixel nelle email: il Garante Privacy detta le nuove regole per marketing, newsletter e comunicazioni digitali
Il Garante per la protezione dei dati personali ha adottato le nuove Linee guida sull’utilizzo dei tracking pixel nelle comunicazioni di posta elettronica, con il provvedimento n. 284 del 17 aprile 2026, attualmente in corso di pubblicazione in Gazzetta Ufficiale. L’intervento mira a rafforzare la trasparenza e il controllo degli utenti sull’utilizzo di tecnologie di tracciamento inserite nei messaggi email.
I tracking pixel sono immagini di dimensioni minime, spesso trasparenti e non percepibili dal destinatario, inserite all’interno delle email e ospitate su server remoti. Al momento dell’apertura del messaggio, il sistema può rilevare informazioni sull’avvenuta consultazione dell’email, sul numero di aperture, sul dispositivo utilizzato e, in alcuni casi, su ulteriori dati tecnici riconducibili al destinatario.
La novità è particolarmente rilevante per imprese, enti, piattaforme digitali, provider di posta elettronica, gestori di servizi di email marketing, CRM e strumenti di marketing automation. Secondo il Garante, infatti, l’utilizzo dei pixel di tracciamento rientra nella disciplina dell’art. 122 del Codice Privacy, relativa alle tecnologie che accedono alle informazioni presenti nei dispositivi degli utenti o che consentono il monitoraggio del comportamento online. Nei casi ordinari, il loro impiego richiede quindi un consenso preventivo, libero, specifico e informato.
Il punto centrale delle Linee guida è il superamento della logica del tracciamento “invisibile”. L’utente deve sapere se una comunicazione email contiene strumenti in grado di rilevare l’apertura del messaggio o altre informazioni connesse alla sua interazione. L’informativa dovrà essere chiara, comprensibile e facilmente accessibile, anche attraverso modalità multilivello o multicanale, purché il titolare sia in grado di dimostrare la completezza, l’efficacia e la fruibilità delle informazioni rese.
Le Linee guida distinguono tuttavia tra diverse ipotesi di utilizzo. Il consenso può non essere necessario quando il trattamento rientra nelle deroghe previste dall’art. 122 del Codice Privacy, ad esempio per finalità tecniche strettamente necessarie, esigenze di sicurezza o conteggi statistici globali delle aperture, purché non vi siano misurazioni personalizzate e siano adottate tecniche idonee di anonimizzazione.
Diverso è il caso in cui il tracking pixel venga utilizzato per misurare il comportamento del singolo destinatario, valutare la performance di campagne promozionali, modificare contenuti e frequenza degli invii in base all’interesse manifestato o costruire profili commerciali. In queste ipotesi, il Garante richiede la preventiva acquisizione del consenso, che dovrà essere raccolto preferibilmente al momento dell’acquisizione dell’indirizzo email.
Particolarmente significativo è anche il tema della revoca del consenso. L’utente dovrà poter modificare le proprie scelte in modo agevole e anche granulare: potrà quindi revocare il consenso alla ricezione delle comunicazioni oppure scegliere di continuare a ricevere le email, ma senza tracking pixel. Il Garante richiama espressamente la possibilità di inserire nei messaggi un link o un’icona nel footer, collegati a un’area dedicata alla gestione delle preferenze.
La conformità non si esaurisce però nell’informativa e nel consenso. Le organizzazioni dovranno ripensare i propri processi secondo i principi di privacy by design e privacy by default, riducendo il rischio di identificabilità degli utenti e limitando la circolazione dei dati personali. Tra le misure suggerite vi è l’utilizzo di identificativi non intelligibili e non sequenziali, mantenendo la corrispondenza con l’indirizzo email in un livello separato della piattaforma.
Per le attività già in corso, il Garante riconosce la necessità di un periodo di adeguamento. I soggetti interessati avranno 6 mesi dalla pubblicazione delle Linee guida in Gazzetta Ufficiale per conformarsi alle nuove indicazioni. Il termine riguarda fornitori di servizi digitali, soggetti che offrono servizi online accessibili al pubblico, provider di posta elettronica, gestori di piattaforme per invio massivo di email e, più in generale, tutti coloro che utilizzano tracking pixel nelle comunicazioni elettroniche.
La portata del provvedimento è quindi ampia. Non riguarda soltanto le newsletter promozionali, ma tutte le comunicazioni email che incorporano strumenti di tracciamento, incluse comunicazioni informative, istituzionali o di servizio, quando il pixel consente di acquisire dati sul comportamento del destinatario. Per questo motivo, l’adeguamento richiederà un lavoro coordinato tra funzioni privacy, marketing, IT, compliance e fornitori esterni.
Per le imprese, la questione non è solo documentale. Occorrerà verificare le piattaforme utilizzate, aggiornare informative e moduli di raccolta del consenso, distinguere tra misurazioni anonime e tracciamenti individuali, predisporre meccanismi di revoca selettiva, documentare le scelte effettuate e rivedere i rapporti con fornitori e responsabili del trattamento.
Le Linee guida del Garante segnano così un passaggio importante nella regolazione del marketing digitale: l’efficacia delle campagne non può più essere misurata attraverso strumenti occulti o non adeguatamente comunicati all’utente. Il tracciamento via email resta possibile, ma solo entro un quadro di trasparenza, consapevolezza, accountability e reale controllo da parte dell’interessato.
Potrebbe interessare anche
Licenziamento pubblicato online: il Garante richiama i limiti della trasparenza amministrativa
30 Aprile 2026
