Se la tua piattaforma email misura chi apre i tuoi messaggi, devi chiedere il consenso: il Garante Privacy detta le nuove regole per newsletter e DEM

Busta email digitale trasparente con pixel luminoso al centro che emette flussi di dati verso schermate HUD di tracciamento.

Le piattaforme di email marketing promettono metriche sempre più precise sull'apertura dei messaggi, ma il Garante Privacy ricorda che ogni misurazione individuale passa dal terminale dell'utente. Il punto di equilibrio si trova nella trasparenza dell'informativa e in un consenso davvero granulare, capace di distinguere iscrizione e tracciamento. Riusciranno aziende, editori e creator a riprogettare i propri flussi senza svuotare l'efficacia delle campagne?

Il 17 aprile 2026 il Garante per la protezione dei dati personali ha adottato le prime Linee Guida italiane sui tracking pixel nelle comunicazioni di posta elettronica. Si tratta del provvedimento n. 284, in corso di pubblicazione in Gazzetta Ufficiale, accompagnato dal comunicato stampa del 21 aprile 2026. L'intervento colma un vuoto regolatorio significativo: fino a oggi i pixel di tracciamento, pur ampiamente diffusi nelle email di aziende, editori, content creator e pubbliche amministrazioni, non disponevano di una disciplina dedicata, a differenza di quanto previsto per i cookie dalle Linee Guida del 2021.

📬 Cosa sono i tracking pixel e perché il Garante li definisce occulti

I tracking pixel sono immagini trasparenti delle dimensioni di un solo pixel, ospitate su server remoti e inserite all'interno del corpo dei messaggi di posta elettronica. Quando il destinatario apre l'email, un codice HTML attiva automaticamente una richiesta al server del mittente: l'immagine viene scaricata dal client di posta e archiviata nella memoria del terminale dell'utente. Questo processo, di per sé invisibile, consente di raccogliere informazioni significative.

  • l'evento dell'avvenuta apertura del messaggio, inclusa data, orario e numero di letture successive
  • l'indirizzo IP del destinatario e il tipo di dispositivo utilizzato
  • identificativi univoci come pixel ID, user ID, message ID e delivery ID
  • il client di posta o il browser impiegato per la lettura

Il Garante li definisce strumenti occulti proprio per questa caratteristica: il destinatario non li percepisce, dato che la dimensione e la trasparenza li rendono invisibili. Il punto critico, sottolinea l'Autorità, non è tanto l'inferenza comportamentale che il titolare può ricavare, quanto la mancata consapevolezza del destinatario rispetto a un sistema di monitoraggio che si attiva al solo gesto di aprire un messaggio.

⚖️ La cornice normativa: l'art. 122 del Codice Privacy

Il Garante chiarisce che la disciplina applicabile non è il solo GDPR, ma in primo luogo l'art. 122 del Codice Privacy, che recepisce la direttiva e-Privacy. La logica seguita è la stessa già consolidata per i cookie: l'archiviazione di informazioni nel terminale dell'utente e il successivo accesso a tali informazioni sono consentiti solo a fronte del consenso preventivo dell'interessato, salvo specifiche deroghe.

L'Autorità richiama in proposito le Linee Guida EDPB 2/2023 sull'ambito tecnico dell'art. 5 par. 3 della direttiva e-Privacy, che hanno espressamente ricondotto i tracking pixel al perimetro della norma. La direttiva e-Privacy opera come lex specialis rispetto al GDPR: dove una disposizione di settore è più specifica, prevale sulle regole generali del Regolamento, che tuttavia continua a fornire la cornice di principi entro cui collocare l'intero trattamento.

🔍 Le finalità rilevate dagli accertamenti ispettivi

Le Linee Guida si fondano su un'attività istruttoria condotta nelle giornate del 6-8 ottobre 2025 e del 9-11 febbraio 2026, presso un provider di servizi email e una piattaforma di marketing automation. Dagli accertamenti è emerso che i tracking pixel vengono impiegati nella quasi totalità dei casi, per finalità eterogenee.

  • garantire la corretta deliverability dei messaggi
  • contrastare lo spam e identificare attività di phishing
  • misurare audience e performance delle campagne
  • personalizzare la comunicazione in base agli interessi rilevati
  • soddisfare esigenze tecniche di formattazione

Il loro impiego riguarda in modo trasversale comunicazioni promozionali, newsletter editoriali, DEM, email transazionali ed email di servizio, senza distinzioni significative legate al canale di fruizione (web, client, app) o al dispositivo.

🛑 Le tre deroghe al consenso individuate dal Garante

L'Autorità riconosce che in alcune ipotesi il consenso specifico al pixel non è necessario. Si tratta di tre situazioni delimitate.

  • conteggi statistici aggregati che misurano la percentuale globale di apertura, a condizione di utilizzare pixel univoci uguali per tutti i destinatari della stessa campagna e di anonimizzare indirizzo IP e altri dati tecnici
  • misure di sicurezza connesse a processi di autenticazione, conferma di attivazione di un account, gestione delle richieste di modifica password o esercizio dei diritti GDPR, incluso il diritto alla portabilità
  • messaggi istituzionali o di servizio di natura cogente, come avvisi di phishing, modifiche contrattuali, notifiche di incidenti di sicurezza, reminder su scadenze contributive e campagne informative pubbliche

In tutti gli altri casi il consenso preventivo, libero, specifico, informato e inequivocabile diventa il presupposto di liceità. Vale in particolare per la misurazione individuale del tasso di apertura, l'adattamento di oggetto e frequenza in base al comportamento del singolo, l'interruzione automatica degli invii dopo un certo numero di mancate aperture e la creazione di profili commerciali basati su gusti e preferenze inferite.

📋 Informativa multilivello e gestione della revoca

Il Garante consente forme di informativa multilivello, con una versione sintetica al momento della raccolta dell'indirizzo email e una versione estesa raggiungibile via link, anche all'interno della cookie policy quando presente. Sono ammessi canali alternativi e combinati: pop-up informativi, video, chatbot, assistenti vocali. Per i trattamenti già in corso, l'informativa può essere fornita con il primo invio utile successivo all'entrata in vigore.

Sul fronte del consenso, l'Autorità ammette di ricomprendere il consenso al pixel in quello più generale alla ricezione di comunicazioni promozionali, in una logica di semplificazione e di contrasto alla consent fatigue. La condizione è che la richiesta sia formulata in modo neutro e privo di forzature, nel rispetto della libera manifestazione di volontà. La revoca, di contro, deve restare agevole e granulare: l'utente deve poter revocare l'intero consenso, oppure solo la parte relativa al tracciamento, mantenendo l'iscrizione alla newsletter. Il Garante suggerisce un'icona standardizzata o un link nel footer di ogni messaggio che conduca a un'area dedicata alla gestione delle preferenze.

👥 Soggetti coinvolti e ripartizione delle responsabilità

Le Linee Guida individuano una pluralità di soggetti che intervengono nella catena del trattamento. Mittente del messaggio, fornitore di servizi di emailing in modalità SaaS, fornitore di liste di distribuzione in noleggio, fornitore della tecnologia di tracciamento e content creator dovranno definire caso per caso i rispettivi ruoli, in applicazione del principio di accountability ex art. 5 par. 2 GDPR e, se ne ricorrono i presupposti, della disciplina sulla contitolarità del trattamento ex art. 26 GDPR.

Le piattaforme di email marketing utilizzate in Italia dovranno adeguare configurazioni e flussi di consenso alle nuove indicazioni, mentre i titolari del trattamento dovranno rivedere informative, moduli di iscrizione, footer e procedure di revoca. L'allineamento al provvedimento si inserisce in una direzione regolatoria europea coerente, che vede già la francese CNIL muoversi su raccomandazioni analoghe.

#trackingpixel #emailmarketing #garanteprivacy #newsletter #eprivacy

Articoli correlati

Torna in alto