Argomenti

Tracking pixel email: linee guida del Garante, consenso obbligatorio

Pubblicato il

Il Garante per la protezione dei dati personali ha adottato, con il provvedimento n. 284 del 17 aprile 2026, delle Linee guida in materia di utilizzo dei tracking pixel nelle comunicazioni di posta elettronica.

Il testo, in corso di pubblicazione nella Gazzetta Ufficiale, interviene su uno strumento molto diffuso nelle comunicazioni digitali e chiarisce i principali obblighi applicabili ai soggetti che lo utilizzano.

I tracking pixel sono immagini di dimensioni minime, spesso trasparenti e non percepibili dal destinatario, inserite nelle email per rilevare l’apertura del messaggio.

In base alla ricostruzione del Garante, il loro impiego consente di raccogliere informazioni sull’interazione dell’utente con la comunicazione, come l’avvenuta apertura dell’email, il numero di aperture successive e, in alcuni casi, ulteriori dati tecnici collegati al dispositivo o alla connessione utilizzata.

Secondo l’Autorità, il profilo di maggiore criticità non riguarda soltanto la possibilità di elaborare informazioni sui comportamenti dell’utente, ma anche il fatto che il tracciamento possa avvenire senza una piena consapevolezza del destinatario. Per questo motivo, il provvedimento richiama con forza i principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679 (GDPR).

Il riferimento all’articolo 122 del Codice privacy  

Uno dei chiarimenti più rilevanti contenuti nelle Linee guida riguarda l’inquadramento normativo dei tracking pixel.

Il Garante riconduce infatti il loro utilizzo all’articolo 122 del Codice privacy (d.lgs. n. 196/2003), norma che disciplina l’archiviazione di informazioni nel terminale dell’utente e l’accesso a informazioni già archiviate.

Inquadramento tecnico-giuridico e conseguenze sul piano della liceità

Il provvedimento chiarisce che il meccanismo tecnico dei tracking pixel integra una forma di accesso al terminale dell’utente e di monitoraggio delle sue operazioni.

Ne consegue che, nei casi ordinari, l’impiego di tali strumenti richiede il consenso preventivo dell’interessato, che deve essere libero, specifico, informato e inequivocabile.

L’adozione delle Linee guida si inserisce nel solco già tracciato dal Garante in materia di cookie e altri strumenti di tracciamento, ma applica tali principi a un contesto specifico, quello della posta elettronica, che presenta particolari profili di riservatezza.

Informativa, deroghe e revoca del consenso  

Il Garante ribadisce che chi utilizza tracking pixel deve fornire agli interessati un’informativa chiara e trasparente, anche con modalità semplificate e su più livelli.

Obblighi informativi

L’informazione sull’uso di questi strumenti deve essere resa in modo effettivo, prima o comunque in modo coerente con le regole di trasparenza previste dagli articoli 12 e seguenti del GDPR.

Ipotesi di deroga al consenso

Le Linee guida precisano, tuttavia, che il consenso non è richiesto in ogni caso. Il provvedimento richiama alcune ipotesi di deroga, da valutare in concreto, tra le quali rientrano:

  • le esigenze tecniche strettamente necessarie;
  • finalità di sicurezza, come alcune verifiche legate all’autenticazione dell’utente;
  • specifiche comunicazioni istituzionali o di servizio;
  • misurazioni statistiche aggregate, a condizione che siano adottate tecniche idonee a impedire rilevazioni personalizzate.

Fuori da queste ipotesi, il consenso resta il presupposto ordinario di liceità.

Revoca del consenso e controllo dell’utente

Le Linee guida si soffermano inoltre sulla necessità di garantire una revoca semplice e anche granulare. In pratica, l’utente deve poter scegliere se interrompere del tutto la ricezione delle email oppure continuare a riceverle senza essere sottoposto al tracciamento tramite pixel.

Privacy by design e sei mesi per l’adeguamento  

Un altro punto centrale del provvedimento riguarda l’adozione di misure di privacy by design e by default, ai sensi dell’articolo 25 del GDPR.

Misure tecniche suggerite

Il Garante suggerisce soluzioni tecniche idonee a ridurre il rischio di identificazione degli utenti e a limitare la circolazione dei dati personali, come l’uso di identificativi non intelligibili e separati dagli indirizzi email.

Soggetti destinatari

Le indicazioni si rivolgono a una platea ampia di operatori: fornitori di servizi della società dell’informazione, provider di posta elettronica, gestori di piattaforme per l’invio massivo di email e, più in generale, tutti i soggetti che, a qualsiasi titolo, utilizzano tracking pixel nelle comunicazioni elettroniche.

Termine di adeguamento

NOTA BENE: Per consentire l’adeguamento dei sistemi e dei trattamenti già in essere, il Garante ha previsto un termine di sei mesi dalla pubblicazione delle Linee guida nella Gazzetta Ufficiale.

Il provvedimento assume quindi rilievo operativo immediato per imprese, enti pubblici e fornitori di servizi digitali, chiamati a verificare basi giuridiche, informative, meccanismi di revoca e misure tecniche adottate nei propri processi di email communication.

Allegati

Ricevi GRATIS la nostra newsletter

Ogni giorno sarai aggiornato con le notizie più importanti, documenti originali, anteprime e anticipazioni, informazioni sui contratti e scadenze.

Richiedila subito