Il Garante per la protezione dei dati personali ha recentemente adottato, con il Provvedimento n. 284 del 17 aprile 2026, delle nuove Linee guida sull’utilizzo dei “tracking pixel” nelle email, introducendo obblighi stringenti di trasparenza e concedendo agli operatori del settore sei mesi di tempo per l’adeguamento.
Cosa sono i tracking pixel e come funzionano
I tracking pixel sono minuscole immagini, tipicamente di 1×1 pixel e trasparenti, che vengono inserite nei messaggi di posta elettronica risultando del tutto invisibili all’utente. Quando il destinatario apre l’email e il client scarica le immagini, un codice HTML invia automaticamente e in modo silente una richiesta a un server esterno. Questo trasferimento di dati permette di raccogliere preziose informazioni tecniche, come la conferma di apertura del messaggio, l’indirizzo IP, il tipo di dispositivo utilizzato e gli orari di accesso. L’Autorità ha evidenziato l’estrema invasività di queste tecnologie, scoperte essere utilizzate in quasi tutte le email (promozionali e di servizio) per misurare l’audience, verificare la corretta ricezione o personalizzare le comunicazioni, spesso senza alcuna consapevolezza da parte dell’utente.
Il nodo del consenso preventivo
Inquadrando l’uso di questi strumenti nell’ambito dell’articolo 122 del Codice Privacy, il Garante ha stabilito una regola generale inequivocabile: nei casi ordinari, l’impiego dei pixel richiede un consenso preventivo, libero, specifico e informato da parte del destinatario. L’utilizzo occulto di tali sistemi costituisce infatti una violazione del principio di correttezza e trasparenza.
Nuovi obblighi: Informativa multilivello e revoca granulare
Per garantire la massima trasparenza, le aziende dovranno fornire un’informativa chiara, che potrà essere strutturata in forma “multilivello”, sfruttando anche interazioni multicanale come pop-up, assistenti virtuali o informative sintetiche in fase di registrazione. Per i trattamenti già in corso, l’informativa andrà fornita con il primo messaggio utile inviato all’utente. Un’importante innovazione riguarda la gestione del consenso: gli utenti dovranno poter revocare l’autorizzazione al tracciamento in modo “granulare”. Ciò significa che dovranno avere la libertà di disattivare esclusivamente i pixel (ad esempio tramite un apposito link nel footer del messaggio), continuando regolarmente a ricevere le email. In nessun caso, sottolinea il Garante, la revoca potrà limitare la fruibilità del servizio principale.
Eccezioni e Privacy by Design
Il Garante ha previsto specifiche deroghe in cui non è richiesto il consenso preventivo. L’uso dei pixel rimane libero per finalità di sicurezza (come la verifica di apertura di un reset password), per comunicazioni istituzionali con obbligo giuridico, o per conteggi statistici legati alla corretta ricezione delle email (deliverability), a patto che i dati vengano rigorosamente anonimizzati. L’Autorità raccomanda inoltre l’adozione di misure di privacy by design: anziché utilizzare l’indirizzo email in chiaro, i mittenti dovrebbero generare e associare a ogni utente un identificativo inintelligibile e non sequenziale per contare le aperture, riducendo drasticamente il rischio di identificazione in rete.
Sei mesi per mettersi in regola
Le direttive impattano un vasto ecosistema di soggetti: dai mittenti ai fornitori di servizi di invio email, fino ai content creator, che dovranno definire le proprie responsabilità in ottica di accountability. Tutti gli attori coinvolti avranno a disposizione sei mesi di tempo a partire dalla pubblicazione delle Linee Guida in Gazzetta Ufficiale per mappare i trattamenti, aggiornare le informative e implementare i nuovi meccanismi di raccolta e revoca del consenso.
Scarica il pdf
Scopri di più da Glam Aura: Fashion Privacy & Data Protection
Abbonati per ricevere gli ultimi articoli inviati alla tua e-mail.
