Il Garante per la protezione dei dati personali, con il Provvedimento n. 284 del 17 aprile 2026, pubblicato nella Gazzetta Ufficiale n. 98 del 29 aprile 2026, ha adottato le Linee Guida sull’utilizzo dei tracking pixel nelle comunicazioni di posta elettronica.

Si tratta di un intervento importante per imprese, enti, professionisti, gestori di CRM, piattaforme di email marketing, provider di servizi di invio massivo e organizzazioni che utilizzano newsletter, DEM, email promozionali o comunicazioni automatizzate.

Il tema non riguarda solo il marketing. Riguarda anche il modo in cui le aziende raccolgono, conservano e utilizzano informazioni sui destinatari delle proprie comunicazioni email. Per questo motivo l’adeguamento non deve essere trattato come una semplice modifica tecnica della piattaforma, ma come una verifica privacy vera e propria.

Che cosa sono i tracking pixel nelle email?

I tracking pixel sono elementi grafici invisibili o quasi invisibili inseriti all’interno delle email. Spesso si tratta di immagini trasparenti di dimensioni minime, caricate da un server remoto quando il destinatario apre il messaggio.

Quando il client di posta scarica l’immagine, il sistema può trasmettere al mittente o al fornitore della piattaforma alcune informazioni. Tra queste possono rientrare l’avvenuta apertura dell’email, il numero di visualizzazioni, l’orario di apertura, il dispositivo utilizzato, alcuni dati tecnici del client di posta e, in determinati casi, ulteriori elementi collegati all’indirizzo IP o agli identificativi associati al messaggio.

Il destinatario, nella maggior parte dei casi, non vede nulla. Proprio questo aspetto rende il tema delicato: il tracciamento può avvenire senza una reale percezione da parte dell’interessato.

Perché il Garante interviene sui pixel di tracciamento?

Le Linee Guida richiamano l’attenzione sul carattere occulto di questi strumenti. Una tecnologia che consente di sapere se una persona ha aperto una comunicazione, quante volte l’ha visualizzata o con quale dispositivo l’ha consultata non può essere trattata come un semplice dettaglio tecnico.

Il Garante qualifica l’uso dei tracking pixel nelle email come attività soggetta all’art. 122 del Codice Privacy. Questa norma disciplina l’archiviazione di informazioni nell’apparecchio terminale dell’utente e l’accesso a informazioni già archiviate.

In pratica, il ragionamento è simile a quello già noto per cookie e altri strumenti di tracciamento: se una tecnologia accede al terminale dell’utente o produce un monitoraggio del suo comportamento, il titolare deve verificare se occorre il consenso oppure se ricorre una deroga ammessa dalla normativa.

Quali comunicazioni sono coinvolte?

L’ambito è ampio. Il provvedimento riguarda le email commerciali e promozionali, ma anche altre tipologie di messaggi nelle quali possono essere inseriti strumenti di tracciamento.

Rientrano nel perimetro, ad esempio, newsletter periodiche, campagne DEM, comunicazioni inviate tramite piattaforme di marketing automation, messaggi gestiti da CRM, email transazionali, follow-up automatici, comunicazioni di servizio e messaggi informativi inviati da enti o organizzazioni.

Questo non significa che tutte queste comunicazioni siano illecite. Significa però che l’organizzazione deve sapere se usa tracking pixel, per quali finalità li usa, con quali strumenti tecnici, su quale base giuridica e con quali informazioni rese agli interessati.

Quando serve il consenso?

Nei casi ordinari, quando il tracking pixel viene usato per finalità di tracciamento individuale, marketing, profilazione, misurazione della performance commerciale o personalizzazione delle campagne, il consenso dell’interessato diventa centrale.

Il consenso deve essere preventivo, libero, specifico, informato e inequivocabile. Non basta quindi nascondere una frase generica dentro una privacy policy. L’utente deve capire che nelle email potranno essere presenti strumenti di tracciamento e deve poter compiere una scelta consapevole.

Il Garante chiarisce anche che, in una logica di semplificazione, il consenso al tracciamento tramite pixel può essere ricompreso nel consenso più generale alla ricezione delle comunicazioni promozionali, purché la richiesta sia formulata in modo chiaro, neutro e privo di forzature.

Questo punto è importante. Non serve moltiplicare caselle e consensi inutili se il risultato è solo confondere l’utente. Serve invece una formula chiara, completa e verificabile.

Quando possono esserci deroghe al consenso?

Il consenso non è sempre obbligatorio. Le Linee Guida prevedono possibili deroghe, ma vanno valutate con attenzione.

Una deroga può riguardare, ad esempio, attività statistiche realmente anonime, nelle quali il titolare misura il tasso globale di apertura dei messaggi senza effettuare misurazioni personalizzate sui singoli destinatari. In questi casi servono tecniche effettive di anonimizzazione e non semplici dichiarazioni formali.

Altre ipotesi possono riguardare finalità di sicurezza, come messaggi legati all’autenticazione, alla conferma di attivazione di un account, alla gestione di una password o ad altri processi necessari per proteggere l’utente.

Il Garante considera anche le comunicazioni istituzionali o di servizio che il titolare deve inviare per obbligo giuridico o per finalità di tutela del destinatario, come notifiche su incidenti di sicurezza, modifiche contrattuali rilevanti, informative sul trattamento dei dati personali, scadenze o adempimenti.

La regola pratica è semplice: non bisogna chiamare “tecnico” ciò che in realtà serve a profilare o misurare il comportamento commerciale del destinatario. Una deroga va motivata e documentata.

Informativa chiara: cosa deve sapere l’interessato?

L’utente deve essere informato prima o comunque in modo adeguato sull’utilizzo dei tracking pixel. L’informativa deve spiegare la presenza dello strumento, le finalità del tracciamento, le categorie di dati trattati, i soggetti coinvolti, la base giuridica e le modalità per esercitare i diritti.

Il Garante ammette informative multilivello e formule sintetiche, purché non diventino vaghe. Una frase breve nel modulo di iscrizione alla newsletter, collegata a una spiegazione più completa nella privacy policy o nella cookie policy, può essere una soluzione corretta se il contenuto è davvero comprensibile.

Per i trattamenti già in corso, le organizzazioni devono usare il primo invio utile o il primo momento di discontinuità per colmare eventuali carenze informative. Rimandare senza una ragione concreta non è una scelta prudente.

Revoca granulare: un punto da non sottovalutare

Uno degli aspetti più pratici delle Linee Guida riguarda la revoca del consenso.

L’utente deve poter revocare il consenso in modo semplice. Non solo: deve poter scegliere se non ricevere più le comunicazioni oppure se continuare a riceverle senza tracking pixel.

Questo è il concetto di revoca granulare. Il classico link “disiscriviti” può non essere più sufficiente se l’unica alternativa offerta all’utente è uscire completamente dalla lista. Il destinatario deve poter rifiutare il tracciamento senza perdere necessariamente la possibilità di ricevere comunicazioni utili o richieste.

Per le aziende questo comporta una verifica concreta della piattaforma utilizzata. Non tutte le soluzioni di email marketing, CRM o automation consentono una gestione granulare del consenso. Prima di dichiarare la conformità, quindi, bisogna controllare le funzioni effettive dello strumento.

Privacy by design e misure tecniche

Le Linee Guida richiamano anche i principi di privacy by design e privacy by default previsti dall’art. 25 del Regolamento (UE) 2016/679.

Questo significa che la conformità non si esaurisce con una frase nell’informativa. Il sistema deve essere progettato per ridurre i rischi per gli interessati.

Tra le misure tecniche suggerite rientrano l’utilizzo di identificativi non intelligibili e non sequenziali, la separazione tra identificativo tecnico e indirizzo email, la minimizzazione dei dati trasmessi e la limitazione delle informazioni accessibili ai fornitori.

L’obiettivo è evitare che l’indirizzo email o altri dati direttamente identificativi circolino inutilmente nella richiesta tecnica generata dal caricamento del pixel.

Entro quando adeguarsi?

I soggetti interessati hanno 6 mesi dalla pubblicazione delle Linee Guida in Gazzetta Ufficiale per conformarsi. Poiché la pubblicazione è avvenuta il 29 aprile 2026, il termine indicativo per l’adeguamento è il 29 ottobre 2026.

Questo periodo non dovrebbe essere visto come una scadenza lontana. Le attività da svolgere possono richiedere tempo, soprattutto se l’organizzazione usa più piattaforme, più database, fornitori esterni, campagne automatizzate e liste acquisite in momenti diversi.

Che cosa dovrebbero fare le aziende?

La prima attività consiste nel verificare se nelle email inviate dall’organizzazione sono presenti tracking pixel. La verifica deve riguardare newsletter, campagne promozionali, messaggi automatici, CRM, piattaforme SaaS, sistemi di marketing automation e fornitori esterni.

Dopo questa mappatura, l’azienda deve individuare le finalità del tracciamento. Misurare aperture aggregate e anonime non è la stessa cosa che tracciare il comportamento di un singolo destinatario per modificare campagne, frequenza di invio o profili commerciali.

Serve poi controllare informative, moduli di raccolta del consenso, privacy policy, contratti con fornitori, nomine a responsabile del trattamento, registro dei trattamenti, procedure di revoca e misure tecniche adottate.

Un altro punto da non trascurare riguarda la documentazione delle scelte. In base al principio di accountability, il titolare deve poter dimostrare perché usa determinati strumenti, su quale base giuridica li fonda e come garantisce i diritti degli interessati.

Perché conviene intervenire subito?

L’errore più comune sarebbe trattare il provvedimento come un problema solo del fornitore della piattaforma email. Non è così. Il provider mette a disposizione lo strumento, ma il mittente che decide finalità, destinatari e modalità di utilizzo resta coinvolto nella valutazione privacy.

Chi usa Mailchimp, Brevo, HubSpot, ActiveCampaign, CRM aziendali, plugin WordPress per newsletter o sistemi interni di invio email deve verificare le impostazioni reali. Alcune funzioni di tracciamento possono essere attive di default, senza che l’azienda ne abbia piena consapevolezza.

La soluzione non è eliminare qualsiasi attività di email marketing. La soluzione è governarla correttamente, rendendo trasparenti i trattamenti, raccogliendo il consenso quando necessario, permettendo la revoca selettiva e riducendo al minimo i dati trattati.

MODI SRL supporta le aziende nell’adeguamento privacy

MODI SRL affianca imprese, enti e organizzazioni nella verifica degli adempimenti privacy previsti dal Regolamento (UE) 2016/679, dal Codice Privacy e dai provvedimenti del Garante per la protezione dei dati personali.

Il supporto può riguardare la verifica delle piattaforme di email marketing e CRM, l’aggiornamento delle informative, la revisione dei moduli di consenso, la gestione della revoca granulare, il controllo dei contratti con i fornitori, l’aggiornamento del registro dei trattamenti e la definizione di misure tecniche coerenti con i principi di privacy by design e privacy by default.

Per consultare il Provvedimento del Garante, cliccare qui.

Per l’infografica a disposizione, cliccare qui.

Per maggiori informazioni o per richiedere una verifica della conformità privacy delle comunicazioni email, è possibile contattare MODI SRL al Numero Verde 800300333, tramite WhatsApp al numero 0415412700, dalla chat presente nella home page del sito oppure tramite il modulo contatti disponibile su www.modiq.it.