Il modello costruito dal Garante Privacy con le Linee Guida sui cookie nel 2021 per “salvare” gli analytics dal consenso è oggi sempre più sotto pressione. A metterlo in discussione, oltre all’evoluzione europea, lo stesso provvedimento del Garante sui tracking pixel del 2026.
Il vero tema si è ormai spostato ben oltre i cookie: pixel invisibili, server-side tracking e identificazione distribuita stanno ridefinendo il confine tra misurazione tecnica e sorveglianza comportamentale.
Indice degli argomenti
Analytics, tracking e profilazione sempre meno separabili
Per anni il dibattito sui cookie si è concentrato quasi esclusivamente sui banner: colori dei pulsanti, opt-in, opt-out, consenso granulare, dark pattern. Nel frattempo, però, il contesto tecnologico è cambiato molto più rapidamente delle categorie giuridiche utilizzate per descriverlo. E proprio su questo terreno emerge ora una frattura sempre più evidente tra l’approccio italiano e quello europeo.
L’Italia continua infatti a rappresentare una sorta di eccezione regolatoria nel panorama UE. Le Linee guida cookie e altri strumenti di tracciamento adottate dal Garante Privacy nel 2021 hanno consolidato una soluzione pragmatica già anticipata negli anni precedenti: i cookie analytics possono essere assimilati ai cookie tecnici e quindi utilizzati senza consenso, purché rispettino determinate condizioni di minimizzazione.
Si tratta di un’impostazione che ha avuto un enorme impatto operativo sul mercato digitale italiano, perché ha consentito a migliaia di siti di continuare a utilizzare strumenti statistici senza dipendere integralmente dal consenso dell’utente.
Ma a distanza di alcuni anni quella costruzione appare sempre più isolata rispetto all’evoluzione europea, che tende invece a leggere analytics, tracking e profilazione come fenomeni sempre meno separabili.
L’origine dell’“eccezione italiana”
Le Linee guida del 2021 hanno introdotto una distinzione destinata poi a diventare centrale nella prassi italiana: i cookie analytics possono essere equiparati ai cookie tecnici quando utilizzati per mere statistiche aggregate e adottando misure che riducano significativamente il potere identificativo dello strumento.
In particolare, il Garante ha individuato alcune condizioni essenziali: gli analytics devono essere utilizzati esclusivamente per produrre statistiche aggregate, devono operare con riferimento a un singolo sito o una singola applicazione, devono prevedere il mascheramento di almeno una parte significativa dell’indirizzo IP e non devono consentire alla terza parte di combinare le informazioni raccolte con altri trattamenti o di trasmetterle a ulteriori soggetti.
L’obiettivo era evitare che strumenti di web analytics a basso impatto venissero assimilati automaticamente alla profilazione pubblicitaria.
La soluzione italiana nasceva infatti anche da un’esigenza pratica. Dopo il GDPR e soprattutto dopo il progressivo irrigidimento interpretativo dell’ePrivacy, il rischio concreto era che qualsiasi strumento di misurazione del traffico online finisse per richiedere consenso preventivo, con effetti pesanti sulla misurazione delle performance, sull’analisi dei servizi digitali e sulla stessa sostenibilità operativa di molte realtà online.
Il Garante italiano ha quindi tentato una mediazione: riconoscere che non tutte le attività di analytics hanno la stessa invasività e che alcune configurazioni minimizzate possono essere considerate funzionalmente assimilabili ai cookie tecnici.
Una soluzione che ha avuto il merito di introdurre una logica di proporzionalità, ma che sembra ormai difficile da sostenere nel contesto tecnologico attuale.
L’approccio europeo: il focus è il tracking
Negli ultimi anni il dibattito europeo si è progressivamente spostato dalla nozione di cookie alla nozione più ampia di tracciamento.
Le Linee guida EDPB sull’articolo 5(3) della direttiva ePrivacy insistono infatti su un principio fondamentale, ovverossia che ciò che rileva è l’accesso a informazioni memorizzate nel terminale dell’utente o la capacità di raccogliere informazioni dal dispositivo, non la tecnologia utilizzata per farlo.
Per molto tempo il mercato ha ragionato infatti in termini di categorie relativamente stabili, quali quelle dei cookie tecnici, degli analytics, dei cookie di profilazione ed advertising. Oggi, però, queste distinzioni sono molto meno nette.
Le autorità europee guardano sempre più alla finalità concreta del trattamento, alla capacità identificativa dello strumento, all’inserimento del dato in ecosistemi pubblicitari o di osservazione comportamentale e alla possibilità di correlazione con altri dataset.
Si tratta di una lettura sostanziale del tracking, ed è proprio questa impostazione a rendere l’approccio italiano sempre più peculiare.
Se il criterio decisivo diventa la capacità effettiva di osservazione comportamentale, allora anche strumenti formalmente “statistici” possono assumere una natura molto diversa rispetto a quella originariamente immaginata.
L’anomalia italiana: analytics “salvati”, pixel equiparati al tracking invasivo
La tensione interna all’approccio italiano emerge ancora più chiaramente nel recente provvedimento del Garante Privacy del 17 aprile 2026 dedicato ai tracking pixel.
Nel documento, l’Autorità afferma che i tracking pixel integrano una forma di accesso alle informazioni presenti nel terminale dell’utente e consentono attività di monitoraggio riconducibili all’articolo 122 del Codice Privacy. Il loro utilizzo richiede quindi, nella generalità dei casi, un consenso preventivo, libero e informato.
L’aspetto più interessante del provvedimento, tuttavia, è il criterio sostanziale adottato dal Garante.
L’Autorità descrive infatti i tracking pixel come strumenti capaci di raccogliere informazioni relative all’apertura del messaggio, al dispositivo utilizzato, all’indirizzo IP, all’orario di consultazione e ai comportamenti del destinatario. Ciò che rende questi strumenti particolarmente invasivi è, appunto, la loro capacità di osservare il comportamento dell’utente in maniera invisibile e continuativa.
Questa lettura è quindi molto vicina all’approccio sviluppato dall’EDPB e da numerose autorità europee, per le quali, come già detto, ciò che conta è l’effettiva funzione di tracking e non il nome attribuito allo strumento.
Oggi, molti dei moderni strumenti di analytics raccolgono eventi, metadata, informazioni sul dispositivo e pattern comportamentali non molto diversi da quelli acquisiti tramite tracking pixel. In alcuni casi, piattaforme di web analytics, strumenti di email tracking e sistemi pubblicitari convergono persino nelle stesse infrastrutture tecnologiche, alimentando meccanismi integrati di attribution, marketing automation e behavioral analysis.
La distinzione tradizionale tra analytics “tecnici” e tracking “invasivo” rischia quindi di diventare sempre più fragile sul piano tecnologico e sempre più esposta a una tensione interpretativa interna al sistema.
Come potrebbero evolvere i controlli del Garante privacy
Formalmente, l’Autorità non ha modificato la propria posizione, e continua infatti a riconoscere la possibilità di assimilare determinati analytics ai cookie tecnici quando sottoposti a misure di minimizzazione adeguate. Tuttavia, il criterio sostanziale utilizzato nel provvedimento sui pixel appare significativamente diverso.
Il vero impatto di questa evoluzione interpretativa potrebbe emergere soprattutto nelle future attività ispettive del Garante e nei controlli da remoto sui sistemi di tracking utilizzati dalle imprese.
Se nelle Linee guida del 2021 l’attenzione era ancora concentrata prevalentemente sulla categoria dello strumento utilizzato e sulle misure di minimizzazione adottate, il provvedimento sui tracking pixel sembra suggerire un approccio molto più sostanziale e tecnologicamente neutro.
È quindi probabile che, nei controlli concreti, l’Autorità guardi sempre meno alla qualificazione formale attribuita al cookie o alla piattaforma analytics e sempre più alla funzione effettivamente svolta all’interno dell’ecosistema digitale dell’impresa.
Elementi come la granularità degli eventi raccolti, l’integrazione con piattaforme pubblicitarie, la correlazione con altri dataset, l’utilizzo di sistemi di attribution o marketing automation e la possibilità di osservare il comportamento dell’utente nel tempo potrebbero assumere un peso decisivo nella qualificazione dello strumento.
Si pensi, ad esempio, a sistemi analytics collegati a piattaforme advertising, a configurazioni server-side integrate con CRM e customer journey tracking oppure a strumenti utilizzati simultaneamente per statistiche, attribuzione delle conversioni e personalizzazione delle campagne.
In questi casi, il rischio per le imprese è che la mera presenza di misure tecniche di minimizzazione (come il masking dell’IP) non venga più considerata sufficiente per sostenere la natura “tecnica” dello strumento.
Il limite tecnico dell’IP masking
Proprio uno dei pilastri dell’approccio del Garante italiano, cioè proprio il mascheramento dell’indirizzo IP, mostra quanto rapidamente il quadro tecnologico sia cambiato.
Nel 2021 l’anonimizzazione parziale dell’IP rappresentava ancora un elemento considerato significativo per ridurre la capacità identificativa di uno strumento analytics. Attualmente, però, l’indirizzo IP è soltanto uno dei moltissimi elementi utilizzabili per il singling out dell’utente.
Fingerprint del browser, risoluzione dello schermo, timezone, lingua del dispositivo, pattern di navigazione, eventi comportamentali, identificatori server-side e correlazioni probabilistiche consentono spesso livelli di riconoscibilità elevati anche in assenza dell’IP completo.
Per questo motivo molte autorità tendono sempre più a guardare al contesto complessivo del trattamento e non soltanto alla presenza di specifiche misure tecniche di minimizzazione.
La questione che si pone è dunque riconoscere chi è in grado di osservare stabilmente il comportamento dell’utente, non più soltanto capire chi lo identifica direttamente.
Proprio sotto questo profilo, analytics, advertising e tracking iniziano sempre più a convergere.
La crisi della nozione di “cookie tecnico”
L’impressione è che il vero tema giuridico sia ormai la stessa sopravvivenza delle categorie tradizionali del web tracking.
La nozione di “cookie tecnico” nasce in un internet essenzialmente funzionale, costruito attorno alla gestione della sessione, all’autenticazione, alla memorizzazione di preferenze e al bilanciamento del carico.
Il web contemporaneo è invece un ambiente di osservazione continua, nel quale anche strumenti apparentemente neutri partecipano spesso a sistemi complessi di raccolta e valorizzazione del dato comportamentale.
Mantenere una categoria privilegiata di analytics esenti dal consenso sta diventando sempre più difficile da giustificare, soprattutto se le autorità europee continueranno a privilegiare un approccio sostanziale basato sulla reale capacità di tracking.
Non a caso il dibattito europeo si sta progressivamente spostando dai cookie agli identificatori, dagli identificatori ai segnali e dai segnali alle inferenze. E la posizione italiana rischia di essere sempre più isolata.
Impatti concreti sulle imprese: il rischio della “falsa tecnicità” degli analytics
L’approccio italiano agli analytics ha prodotto negli anni un effetto collaterale molto concreto: molte imprese hanno progressivamente assimilato il concetto di “analytics equiparabili ai tecnici” all’idea che qualsiasi strumento di misurazione possa essere installato senza consenso.
Nella pratica operativa, infatti, questa promiscuità tecnologica rende sempre più difficile sostenere la natura “tecnica” dello strumento, soprattutto se si pensa che molte implementazioni contemporanee di analytics non si limitano alla mera produzione di statistiche aggregate. Al contrario, consentono la raccolta di eventi granulari, l’associazione tra sessioni, la ricostruzione del comportamento di navigazione e l’interoperabilità con piattaforme terze. In alcuni casi, i dati vengono trasferiti all’interno di ecosistemi più ampi nei quali advertising, analytics e profilazione condividono la stessa infrastruttura tecnologica.
I rischi regolatori per le imprese
Nel perpetrare questi comportamenti il rischio regolatorio per le imprese è duplice.
Da un lato, c’è il rischio di una qualificazione errata dello strumento utilizzato, con conseguente illegittimità dell’installazione senza consenso ai sensi dell’articolo 122 del Codice Privacy. Dall’altro, emerge un problema più profondo di accountability: molte organizzazioni continuano a classificare come “tecnici” strumenti che, nella realtà operativa, partecipano a dinamiche di osservazione comportamentale ben più ampie.
Il recente provvedimento del Garante sui tracking pixel sembra rafforzare proprio questa lettura sostanziale. Se ciò che rileva è la concreta capacità dello strumento di monitorare l’utente e raccogliere informazioni comportamentali, allora anche molte implementazioni analytics oggi diffuse sul mercato potrebbero essere sottoposte a un vaglio molto più rigoroso rispetto al passato.
Per le imprese questo implica che non sarà più sufficiente verificare la categoria formale attribuita al cookie o allo strumento utilizzato. Diventerà invece necessario analizzare l’intero ecosistema tecnologico nel quale quel dato viene raccolto, correlato, condiviso e valorizzato.
Anche fuori dall’Europa il focus è sul tracking comportamentale
L’evoluzione del dibattito internazionale conferma ulteriormente questa tendenza.
Negli Stati Uniti, ad esempio, normative come il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA) non costruiscono il sistema attorno alla distinzione tra cookie tecnici, analytics e profilazione. L’attenzione si concentra piuttosto sulla condivisione dei dati, sulla behavioral advertising e sull’utilizzo delle informazioni personali all’interno di ecosistemi commerciali e pubblicitari.
Anche altri ordinamenti extraeuropei sembrano muoversi nella stessa direzione.
La Lei Geral de Proteção de Dados brasiliana (LGPD), ad esempio, privilegia una lettura focalizzata sulla finalità del trattamento e sull’impatto per gli interessati, mentre normative asiatiche come la Personal Information Protection Law cinese (PIPL) dedicano crescente attenzione ai sistemi automatizzati di profilazione e raccomandazione algoritmica più che alla classificazione tecnica degli strumenti di tracciamento utilizzati.
Pur con approcci differenti, emerge una tendenza comune: il focus regolatorio tende progressivamente a spostarsi dalla tecnologia utilizzata alla capacità concreta di osservazione del comportamento dell’utente, alla circolazione dei dati personali e all’integrazione dei dati in ecosistemi pubblicitari e predittivi.
Questo rende ancora più evidente l’isolamento progressivo dell’approccio italiano, che continua a preservare una categoria di analytics “depotenziati” assimilabili ai cookie tecnici mentre il dibattito internazionale si sposta sempre più verso la capacità concreta di osservazione comportamentale.
Verso una revisione dell’approccio italiano?
È improbabile che il modello italiano del 2021 venga abbandonato nel breve periodo. La sua forza sta infatti nella praticabilità operativa e nella volontà di evitare una burocratizzazione totale della misurazione digitale.
Tuttavia, è evidente che la traiettoria europea ed extra-europea sta andando altrove, con le autorità e l’EDPB sempre più orientate verso una lettura tecnologicamente neutra del tracking e che guardano alla capacità reale di raccogliere, correlare e sfruttare informazioni comportamentali.
Sebbene, almeno sul piano teorico, il Garante continui a riconoscere la possibilità di assimilare determinati analytics ai cookie tecnici quando sottoposti a misure di minimizzazione adeguate, proprio il suo recente provvedimento sui tracking pixel smentisce di fatto questa impostazione.
È quindi possibile che la vera evoluzione dell’approccio italiano emerga non tanto da un cambiamento formale delle Linee guida del 2021, quanto piuttosto dalle future attività ispettive e dai controlli concreti sui sistemi di tracking adottati dalle imprese.
In questa evoluzione la distinzione italiana tra analytics “buoni” e tracking “cattivo” sembra sempre più incompatibile e destinata a non sopravvivere, in un’economia digitale che è ormai infrastruttura di osservazione.
