Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l'analisi

Tracking pixel nelle e-mail, le linee guida del Garante: cosa devono fare (davvero) i titolari

Home News, attualità e analisi Cyber sicurezza e privacy
Partecipa al dibattito
Indirizzo copiato

Il Garante privacy ha adottato le linee guida sull’uso dei pixel di tracciamento nelle comunicazioni di posta elettronica, chiarendo il quadro normativo e definendo obblighi precisi in materia di informativa, consenso, revoca e privacy by design. Sei mesi dalla pubblicazione in Gazzetta Ufficiale per adeguarsi

Pubblicato il 22 apr 2026
Rosario Palumbo

Giurista d'impresa, Data protection specialist

Pixel tracking impatti privacy
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Il Garante disciplina i tracking pixel come strumenti «occulti», ricondotti all’art.122 e coordinati con il GDPR.
  • Il consenso è la regola; deroghe per statistiche anonimizzate, sicurezza/servizio e messaggi istituzionali; obbligatoria la revoca granulare via link nel footer.
  • Misure tecniche: privacy by design/by default, uso di identificativo inintelligibile, registrazione scelte e ridefinizione ruoli.
Riassunto generato con AI

Il fenomeno non è nuovo, ma la risposta regolatoria lo è: i pixel di tracciamento nelle e-mail circolano da anni nelle strategie di marketing digitale, nelle piattaforme di automazione, nei flussi di comunicazione istituzionale.

Eppure, fino al 17 aprile 2026, nessuna indicazione specifica ne disciplinava l’uso nell’ordinamento italiano. Il Garante ha colmato questo vuoto con un provvedimento che indica, con precisione tecnica e giuridica, gli obblighi di chi utilizza questi strumenti a qualsiasi titolo.

Tracking pixel, il tracciamento nei contenuti che la cyber security dimentica: cosa sono e come difendersi

Cosa sono i tracking pixel e perché sono invasivi

Un tracking pixel è un’immagine, tipicamente trasparente e delle dimensioni di un singolo pixel, non incorporata direttamente nel messaggio ma ospitata su un server remoto.

All’apertura dell’e-mail, un codice HTML inserito nel corpo del messaggio genera automaticamente una richiesta al server del mittente, che ne scarica l’immagine nel client di posta del destinatario.

Questo meccanismo consente di rilevare l’avvenuta apertura e, in funzione della configurazione, di raccogliere informazioni aggiuntive: l’indirizzo IP del destinatario, il tipo di dispositivo utilizzato, il numero di aperture successive, il tempo di consultazione.

Il Garante è esplicito nel qualificare questi strumenti come “occulti” in quanto l’utente non li percepisce, non li identifica, spesso non sa nemmeno che esistano. È questa mancanza di consapevolezza, più che la profilazione in sé, a costituire il nucleo del problema, e a rendere necessario un intervento che richiami con forza il principio di correttezza di cui all’art. 5, par. 1, lett. a) del GDPR.

Vale precisare, come fa il provvedimento, che il meccanismo si attiva solo se il client di posta dell’utente ha abilitata la funzione di download automatico delle immagini.

Chi imposta la lettura in formato solo testo non riceverà il pixel. Tuttavia, questa non è una misura selettiva perché disabilita tutte le immagini indistintamente, non i soli tracker, e in ogni caso non può essere considerata una soluzione di sistema né un’alternativa agli obblighi che gravano sui titolari.

Tracking pixel nelle e-mail: il quadro normativo

Il presupposto giuridico centrale delle Linee Guida è la riconducibilità dei tracking pixel alla disciplina dell’art. 122 del Codice privacy, che recepisce la direttiva e-Privacy (2002/58/CE, come modificata dalla direttiva 2009/136/CE).

La norma vieta, salvo eccezioni, l’archiviazione di informazioni nel terminale dell’utente o l’accesso a informazioni già archiviate senza previo consenso informato.

Il Garante chiarisce che il pixel rientra in questa fattispecie sotto un duplice profilo: costituisce al tempo stesso un’archiviazione di informazioni nel terminale (l’inserimento del pixel nella e-mail) e un successivo accesso a informazioni già archiviate (la rilevazione dell’apertura tramite quel pixel).

Rispetto al GDPR, il rapporto è di genus a species. La direttiva e-Privacy, in quanto lex specialis, prevale sulle disposizioni generali del Regolamento per gli aspetti specificamente disciplinati, mentre il GDPR continua ad applicarsi come cornice regolatoria generale per tutti i profili non coperti dalla direttiva.

In concreto, questo significa che gli obblighi di informativa (artt. 12 ss. GDPR), i requisiti del consenso (artt. 4, n. 11) e 7 GDPR), e i principi di privacy by design e by default (art. 25 GDPR) si applicano in combinato disposto con l’art. 122 del Codice.

La catena dei soggetti coinvolti

Le Linee Guida individuano una pluralità di figure soggettive che a diverso titolo partecipano alle operazioni di utilizzo dei pixel di tracciamento. Ciascuno dovrà, in applicazione del principio di accountability (art. 5, par. 2, GDPR), definire il proprio ruolo e, ove necessario, regolare i rapporti con gli altri soggetti coinvolti anche ai sensi dell’art. 26 GDPR sulla contitolarità.

Il provvedimento distingue tra:

  • il mittente del messaggio, titolare delle finalità e delle scelte sul tracciamento;
  • il fornitore di servizi di invio email (provider SaaS di marketing automation), che agisce su mandato e secondo le istruzioni del committente;
  • il fornitore di servizi di noleggio liste, che gestisce autonomamente database propri e invia per conto del committente;
  • il fornitore della tecnologia di tracciamento, rilevante anche ai fini del considerando 78 GDPR in materia di privacy by design;
  • il content creator, quando coinvolto nella predisposizione del messaggio promozionale;
  • il destinatario, il cui indirizzo potrebbe essere stato acquisito in vari modi come tramite registrazione di account, transazione commerciale, soft spam ex art. 130, par. 4 del Codice.

Gli obblighi di informativa: trasparenza e modalità semplificate

L’impiego dei pixel di tracciamento non è vietato in assoluto, ma è condizionato a una previa informativa chiara e trasparente.

Analogamente a quanto previsto per i cookie, il provvedimento ammette e anzi incoraggia modalità semplificate e multilivello: una sintesi nel modulo di raccolta dell’indirizzo email, accompagnata da un link a un’informativa più dettagliata (eventualmente integrata nella cookie policy esistente).

Il Garante cita espressamente tra i canali utilizzabili i video, i pop-up informativi, le interazioni vocali, gli assistenti virtuali, i chatbot. L’obiettivo è la massima fruibilità senza cadere nella ridondanza.

Per i trattamenti già in corso alla data di entrata in vigore delle Linee Guida, l’adempimento dell’obbligo informativo potrà avvenire con il primo invio utile o nel primo momento di discontinuità nella relazione con l’interessato.

Consenso come regola, deroghe come eccezioni tipiche

L’art. 122 del Codice pone un divieto generalizzato di utilizzo di strumenti di tracciamento nel terminale dell’utente, salvo non ricorra una delle tre condizioni derogatorie:

  1. il consenso preventivo, libero, specifico e informato dell’interessato;
  2. la necessità del trattamento per effettuare la trasmissione di una comunicazione elettronica;
  3. la necessità per la fornitura di un servizio online espressamente richiesto dall’utente.

Le linee guida identificano le situazioni in cui il titolare può legittimamente avvalersi della deroga al consenso:

Statistiche aggregate con anonimizzazione

Quando il pixel è utilizzato esclusivamente per misurare la percentuale globale di apertura, senza misurazioni personalizzate, e i dati correlati (IP, client, user agent) vengono anonimizzati, il trattamento può essere ricondotto all’eccezione tecnica.

Il Garante suggerisce in questo caso l’impiego di pixel non univoci, identici per tutti i destinatari della stessa campagna, in linea con il Parere WP29 05/2014 sulle tecniche di anonimizzazione.

Misure di sicurezza e autenticazione

Il pixel può essere utilizzato per verificare che un messaggio, ad esempio relativo alla conferma di attivazione di un account, alla gestione di una richiesta di modifica password o all’esercizio di diritti ex GDPR, sia stato aperto su un terminale noto come appartenente all’utente.

In questi casi, la funzione di sicurezza si sovrappone a quella di fornitura del servizio e giustifica la deroga.

Messaggi istituzionali e di servizio a carattere cogente

Comunicazioni che il titolare ha l’obbligo giuridico di inviare, quali notifiche di incidenti di sicurezza, avvisi di phishing, modifiche contrattuali o dei termini di servizio, scadenze contributive, campagne istituzionali informative, possono impiegare pixel di tracciamento senza previo consenso, in ragione della loro natura cogente e del beneficio che ne deriva per il destinatario, singolarmente o come membro di una collettività.

In tutti gli altri casi, e in particolare quando il pixel è funzionale alla profilazione individuale, alla personalizzazione delle campagne in base ai tassi di apertura, alla costruzione di profili commerciali, il consenso preventivo è obbligatorio e non sostituibile.

Acquisizione e gestione del consenso: il principio della revoca granulare

Il Garante introduce una soluzione di semplificazione rilevante. Il consenso alla ricezione dei pixel di tracciamento può essere ricompreso nel consenso più generale alla ricezione di comunicazioni promozionali, evitando richieste plurime che si porterebbero in fenomeni di consent fatigue.

La condizione è che la richiesta sia formulata in modo neutro, senza forzature, e che l’interessato sia adeguatamente informato anche dell’esistenza del tracciamento.

L’elemento di novità più significativo riguarda la revoca, che deve essere garantita anche in forma granulare, il che significa che l’utente deve poter scegliere tra la cessazione totale delle comunicazioni (il classico link “disiscriviti”) e la sola cessazione del tracciamento, continuando a ricevere le e-mail prive di pixel.

Questa facoltà dovrà essere resa accessibile attraverso un link o un’icona standardizzata, collocata nel footer di ogni e-mail, che conduca l’utente a un’area dedicata all’esercizio dei suoi diritti.

Il titolare è tenuto a registrare tutte le scelte espresse dall’interessato, anche ai fini della dimostrazione in caso di controversia, in applicazione dell’art. 7, par. 1 del GDPR. L’accesso al servizio non potrà in alcun modo essere condizionato o limitato per chi rifiuti il tracciamento. Il Garante è esplicito su questo punto.

Privacy by design e by default: l’identificativo inintelligibile

L’art. 25 GDPR riceve applicazione concreta in una misura tecnica specifica che il Garante raccomanda ai titolari.

Anziché associare direttamente l’indirizzo e-mail del destinatario all’evento di apertura rilevato dal pixel, il mittente dovrebbe generare un identificativo inintelligibile e non sequenziale, da associare internamente all’indirizzo di posta elettronica in un layer separato della piattaforma.

La richiesta tecnica generata dal caricamento del pixel transiterà sull’identificativo, non sull’indirizzo e-mail, riducendo l’esposizione del dato in rete e minimizzando il rischio di identificabilità.

Si tratta di una misura che non elimina il tracciamento ma lo rende più rispettoso del principio di minimizzazione, rendendo più difficile l’intercettazione o il riutilizzo del dato durante il transito.

Tracking pixel nelle e-mail: cosa cambia in concreto

Per i titolari che inviano comunicazioni commerciali con pixel di tracciamento, l’adeguamento richiede interventi su più livelli: revisione delle informative (con inserimento esplicito del riferimento ai pixel di tracciamento), verifica dei flussi di consenso per le nuove acquisizioni, implementazione di un meccanismo di revoca granulare accessibile da ogni messaggio, adozione, ove tecnicamente praticabile, della misura dell’identificativo inintelligibile.

Per i fornitori di piattaforme di marketing automation e di servizi di e-mail management, il provvedimento solleva ulteriori questioni in materia di definizione dei ruoli (titolare, responsabile, contitolare), che dovranno essere riconsiderati alla luce della catena soggettiva delineata dalle linee guida.

La posta in gioco non è trascurabile, i tracking pixel sono presenti, come accertato dagli stessi sopralluoghi ispettivi del Garante condotti tra ottobre 2025 e febbraio 2026, nella sostanziale totalità delle campagne di comunicazione digitale. La compliance, stavolta, non può aspettare.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Rosario Palumbo
Giurista d'impresa, Data protection specialist

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • CEREBRO indagini patrimoniali Garante privacy

  • IL PARERE

    CEREBRO, il sistema investigativo per le indagini patrimoniali che piace al Garante privacy

    10 Set 2025

    di Tania Orrù

    Condividi
  • Sextortion la GUIDA COMPLETA; Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

  • DSA e social

    Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

    23 Dic 2025

    di Tania Orrù

    Condividi
  • security skill gap sfide e soluzioni

  • l'approfondimento

    Investire nella formazione conviene: così si allevano i talenti

    25 Giu 2025

    di Alessia Valentini

    Condividi
  • Caso Lusha e sovranità dei dati: la minaccia invisibile; La cyber security entra dentro bilanci, governance e business continuity: i costi degli attacchi

  • scandalo dossier

    Caso Lusha e sovranità dei dati: la minaccia invisibile

    28 Apr 2025

    di Angelo Jannone

    Condividi
0
Lascia un commento, la tua opinione conta.x