Per molti anni i tracking pixel sono stati uno degli strumenti più utilizzati nell’email marketing e, allo stesso tempo, uno dei meno discussi sotto il profilo giuridico. Quasi tutte le principali piattaforme consentono infatti di sapere se un destinatario ha aperto un messaggio, quante volte lo ha consultato, da quale dispositivo e, in alcuni casi, anche da quale area geografica.
Queste informazioni sono state spesso considerate semplici statistiche di marketing. Le nuove Linee guida del Garante per la protezione dei dati personali, adottate nell’aprile 2026, cambiano però radicalmente prospettiva, chiarendo che il tracking pixel non costituisce soltanto uno strumento di analisi delle performance di una campagna, ma rappresenta una tecnologia di tracciamento che ricade nell’ambito dell’art. 122 del Codice Privacy, norma che recepisce l’art. 5, paragrafo 3, della direttiva e-Privacy.
Si tratta di un chiarimento destinato ad avere un impatto significativo su tutte le organizzazioni che utilizzano newsletter, piattaforme di marketing automation o sistemi di invio massivo di e-mail. In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon.
Indice
- 1. Cosa sono i tracking pixel
- 2. La vera novità: il pixel viene assimilato agli altri strumenti di tracciamento
- 3. Quando il consenso diventa obbligatorio
- 4. Le eccezioni
- 5. Informativa e revoca: non basta più il link di disiscrizione
- 6. Gli impatti per le organizzazioni
- 7. Conclusioni
- Ti interessano questi contenuti?
1. Cosa sono i tracking pixel
Dal punto di vista tecnico il tracking pixel è una piccolissima immagine, generalmente trasparente e invisibile all’utente, ospitata su un server remoto.
Quando il destinatario apre l’e-mail e il client di posta scarica le immagini contenute nel messaggio, viene effettuata una richiesta al server del mittente. Attraverso tale richiesta possono essere raccolte diverse informazioni, tra cui l’avvenuta apertura del messaggio, l’orario, l’indirizzo IP, il dispositivo utilizzato e altri identificativi tecnici.
Il Garante sottolinea come questo meccanismo operi normalmente senza che l’interessato abbia una reale percezione della sua esistenza, rendendo il trattamento particolarmente invasivo sotto il profilo della tutela della riservatezza. In materia, abbiamo pubblicato la seconda edizione del Manuale operativo del D.P.O. – Aggiornato a Regolamento AI Act, Legge AI e Direttiva NIS2, disponibile su Shop Maggioli e su Amazon.
Manuale operativo del D.P.O.
La guida definitiva per il Data Protection Officer nell’era dell’Intelligenza Artificiale e della Direttiva NIS2. Aggiornata alla Legge 132/2025.L’entrata in vigore dell’AI Act (Reg. UE 2024/1689) e della Legge Italiana sull’AI (L. 132/2025) ha trasformato radicalmente il ruolo del DPO. Oggi, proteggere i dati non basta più: il professionista deve governare l’intersezione tra algoritmi, accountability e cybersicurezza. Questo manuale offre la soluzione operativa per non farsi trovare impreparati di fronte al nuovo ecosistema normativo digitale, evitando il rischio di sanzioni e garantendo una compliance integrata. I Punti di Forza del Manuale Analisi dell’AI Act e L. 132/2025: Approfondimento completo sull’impatto dell’Intelligenza Artificiale sui principi di trasparenza e privacy by design. Integrazione con la Direttiva NIS2: Guida pratica al coordinamento tra protezione dati e sicurezza delle reti (D.Lgs. 138/2024). Governance Multidisciplinare: Strategie per la collaborazione tra DPO, CISO, RTD e la nuova figura dell’AI Ethics Officer. Formulario Operativo di 25 Modelli: Schemi pronti all’uso, inclusa la valutazione d’impatto sui diritti fondamentali (FRIA) e la policy aziendale sull’AI. Giurisprudenza Aggiornata: Analisi delle recenti sentenze della Corte di Giustizia UE e degli orientamenti EDPB (Parere 28/2024). A chi si rivolge Avvocati e Consulenti Legali: Per la gestione del contenzioso e della consulenza stragiudiziale. Data Protection Officer (DPO): Sia in ambito pubblico che privato. Responsabili della Transizione Digitale (RTD): Per la compliance nella Pubblica Amministrazione. CISO e Responsabili IT: Per l’integrazione della sicurezza informatica. Dirigenti e Funzionari PA: Coinvolti nei processi di innovazione tecnologica.
Michele Iaselli | Maggioli Editore 2026
29.45 €
2. La vera novità: il pixel viene assimilato agli altri strumenti di tracciamento
L’aspetto più importante delle Linee guida non consiste tanto nell’introduzione di nuovi obblighi, quanto nella qualificazione giuridica del tracking pixel.
Secondo il Garante, infatti, il pixel comporta un accesso alle informazioni presenti sul terminale dell’utente oppure l’archiviazione di informazioni sul medesimo terminale, ricadendo quindi nell’ambito applicativo dell’art. 122 del Codice Privacy.
Ciò significa che, salvo specifiche eccezioni, il suo utilizzo richiede il consenso preventivo dell’interessato, esattamente come accade per molti cookie e altri strumenti di tracciamento disciplinati dalla normativa e-Privacy.
Il GDPR continua naturalmente ad applicarsi per tutti gli ulteriori aspetti del trattamento (base giuridica, informativa, esercizio dei diritti, accountability), ma la disciplina speciale della direttiva e-Privacy prevale nella regolazione dell’utilizzo del pixel.
3. Quando il consenso diventa obbligatorio
Le Linee guida individuano numerose situazioni nelle quali il consenso è necessario.
Ciò avviene, ad esempio, quando il dato relativo all’apertura dell’e-mail viene utilizzato per valutare il comportamento del singolo destinatario, modificare automaticamente il contenuto delle comunicazioni successive, segmentare gli utenti in base al livello di engagement, interrompere o intensificare le campagne marketing, dedurre interessi e preferenze oppure costruire profili commerciali.
In tutti questi casi il tracking non è più una semplice misurazione tecnica della campagna, ma diventa uno strumento di analisi comportamentale riferibile a persone identificate o identificabili.
Di conseguenza, il consenso dovrà possedere tutti i requisiti previsti dal GDPR: essere libero, specifico, informato, inequivocabile e prestato prima dell’attivazione del tracciamento.
4. Le eccezioni
Le Linee guida non vietano l’utilizzo dei tracking pixel.
Esistono infatti alcune ipotesi nelle quali il consenso può non essere richiesto, purché il trattamento rispetti i principi di necessità e proporzionalità.
Tra queste rientrano, ad esempio, le statistiche realmente aggregate e anonime, alcune esigenze di sicurezza informatica, le verifiche di deliverability e altre funzionalità strettamente necessarie al funzionamento del servizio.
La valutazione, tuttavia, dovrà essere particolarmente rigorosa e documentata, evitando di qualificare come “statistica” un’attività che, nella realtà, consente di seguire il comportamento del singolo destinatario.
5. Informativa e revoca: non basta più il link di disiscrizione
Un altro elemento di particolare interesse riguarda la gestione delle preferenze dell’utente.
Il Garante chiarisce infatti che l’interessato deve essere informato in modo trasparente circa la presenza dei tracking pixel, le finalità perseguite e gli effetti derivanti dal trattamento.
Ancora più significativa è la previsione relativa alla revoca del consenso.
L’utente deve poter interrompere il tracciamento senza essere costretto necessariamente a cancellarsi dalla newsletter. In altre parole, l’iscrizione alle comunicazioni e il consenso al monitoraggio delle aperture devono poter diventare due scelte distinte.
Si tratta di un principio coerente con il requisito della granularità del consenso previsto dal GDPR e destinato a incidere concretamente sulla progettazione dei centri preferenze adottati dalle piattaforme di e-mail marketing.
6. Gli impatti per le organizzazioni
Le conseguenze operative sono tutt’altro che marginali.
Le organizzazioni dovranno verificare le informative privacy, riesaminare le basi giuridiche utilizzate, aggiornare i moduli di raccolta del consenso, configurare correttamente le piattaforme di invio delle newsletter e verificare se le attività di segmentazione automatica siano compatibili con le nuove indicazioni del Garante.
Occorrerà inoltre rivalutare i rapporti contrattuali con i fornitori delle piattaforme di e-mail marketing, definendo con precisione i rispettivi ruoli privacy e le responsabilità nel trattamento dei dati personali.
7. Conclusioni
Le Linee guida del Garante sui tracking pixel non rappresentano un semplice aggiornamento delle regole dell’e-mail marketing. Segnano, piuttosto, un cambio di paradigma nel modo in cui viene concepita la relazione tra organizzazioni e destinatari delle comunicazioni digitali. Per anni il monitoraggio delle aperture delle e-mail è stato percepito come una pratica quasi neutra, una funzionalità tecnica incorporata nelle piattaforme di marketing e raramente oggetto di una reale valutazione giuridica. Oggi questa impostazione non è più sostenibile.
Il messaggio dell’Autorità è chiaro: conoscere il comportamento di una persona all’interno della propria casella di posta significa entrare in una sfera della sua vita digitale che merita la stessa tutela riconosciuta ad altri strumenti di tracciamento. Non è quindi il pixel, in sé, a essere messo sotto accusa, ma l’idea che il monitoraggio possa avvenire senza una scelta realmente consapevole dell’interessato.
Per le imprese, gli enti pubblici e il terzo settore la sfida non consiste soltanto nell’aggiornare informative, banner o moduli di consenso. Occorre ripensare il modo in cui vengono progettate le campagne di comunicazione, distinguendo ciò che è davvero necessario per garantire il funzionamento del servizio da ciò che risponde esclusivamente a esigenze di profilazione e ottimizzazione commerciale. È un esercizio di accountability che coinvolge non solo gli uffici legali e i DPO, ma anche i responsabili marketing, gli sviluppatori e i fornitori delle piattaforme di e-mail marketing.
In fondo, le nuove Linee guida ricordano un principio che attraversa l’intero GDPR: la tecnologia non è mai neutrale. Anche la più piccola immagine invisibile contenuta in un’e-mail può trasformarsi in uno strumento di osservazione sistematica del comportamento umano. E quando questo accade, la tutela dei dati personali non può limitarsi a rincorrere l’innovazione, ma deve tornare a svolgere la sua funzione originaria: garantire che il progresso tecnologico non si traduca nella progressiva erosione della libertà di chi comunica.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scrivi un commento
Accedi per poter inserire un commento