Il Garante per la protezione dei dati personali ha adottato, con il provvedimento n. 284 del 17 aprile 2026, delle Linee guida in materia di utilizzo dei tracking pixel nelle comunicazioni di posta elettronica.
Il testo, in corso di pubblicazione nella Gazzetta Ufficiale, interviene su uno strumento molto diffuso nelle comunicazioni digitali e chiarisce i principali obblighi applicabili ai soggetti che lo utilizzano.
I tracking pixel sono immagini di dimensioni minime, spesso trasparenti e non percepibili dal destinatario, inserite nelle email per rilevare l’apertura del messaggio.
In base alla ricostruzione del Garante, il loro impiego consente di raccogliere informazioni sull’interazione dell’utente con la comunicazione, come l’avvenuta apertura dell’email, il numero di aperture successive e, in alcuni casi, ulteriori dati tecnici collegati al dispositivo o alla connessione utilizzata.
Secondo l’Autorità, il profilo di maggiore criticità non riguarda soltanto la possibilità di elaborare informazioni sui comportamenti dell’utente, ma anche il fatto che il tracciamento possa avvenire senza una piena consapevolezza del destinatario. Per questo motivo, il provvedimento richiama con forza i principi di liceità, correttezza e trasparenza previsti dal Regolamento (UE) 2016/679 (GDPR).
Uno dei chiarimenti più rilevanti contenuti nelle Linee guida riguarda l’inquadramento normativo dei tracking pixel.
Il Garante riconduce infatti il loro utilizzo all’articolo 122 del Codice privacy (d.lgs. n. 196/2003), norma che disciplina l’archiviazione di informazioni nel terminale dell’utente e l’accesso a informazioni già archiviate.
Il provvedimento chiarisce che il meccanismo tecnico dei tracking pixel integra una forma di accesso al terminale dell’utente e di monitoraggio delle sue operazioni.
Ne consegue che, nei casi ordinari, l’impiego di tali strumenti richiede il consenso preventivo dell’interessato, che deve essere libero, specifico, informato e inequivocabile.
L’adozione delle Linee guida si inserisce nel solco già tracciato dal Garante in materia di cookie e altri strumenti di tracciamento, ma applica tali principi a un contesto specifico, quello della posta elettronica, che presenta particolari profili di riservatezza.
Il Garante ribadisce che chi utilizza tracking pixel deve fornire agli interessati un’informativa chiara e trasparente, anche con modalità semplificate e su più livelli.
L’informazione sull’uso di questi strumenti deve essere resa in modo effettivo, prima o comunque in modo coerente con le regole di trasparenza previste dagli articoli 12 e seguenti del GDPR.
Le Linee guida precisano, tuttavia, che il consenso non è richiesto in ogni caso. Il provvedimento richiama alcune ipotesi di deroga, da valutare in concreto, tra le quali rientrano:
Fuori da queste ipotesi, il consenso resta il presupposto ordinario di liceità.
Le Linee guida si soffermano inoltre sulla necessità di garantire una revoca semplice e anche granulare. In pratica, l’utente deve poter scegliere se interrompere del tutto la ricezione delle email oppure continuare a riceverle senza essere sottoposto al tracciamento tramite pixel.
Un altro punto centrale del provvedimento riguarda l’adozione di misure di privacy by design e by default, ai sensi dell’articolo 25 del GDPR.
Il Garante suggerisce soluzioni tecniche idonee a ridurre il rischio di identificazione degli utenti e a limitare la circolazione dei dati personali, come l’uso di identificativi non intelligibili e separati dagli indirizzi email.
Le indicazioni si rivolgono a una platea ampia di operatori: fornitori di servizi della società dell’informazione, provider di posta elettronica, gestori di piattaforme per l’invio massivo di email e, più in generale, tutti i soggetti che, a qualsiasi titolo, utilizzano tracking pixel nelle comunicazioni elettroniche.
Il provvedimento assume quindi rilievo operativo immediato per imprese, enti pubblici e fornitori di servizi digitali, chiamati a verificare basi giuridiche, informative, meccanismi di revoca e misure tecniche adottate nei propri processi di email communication.
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".