Tracking pixel nelle email: cosa cambia entro ottobre 2026

Le nuove Linee guida del Garante regolano i tracking pixel nelle email. Le imprese devono distinguere statistiche anonime e tracciamento individuale, aggiornare informative e consensi entro il 29 ottobre 2026.

Un’immagine trasparente grande appena un pixel può trasformare una normale email in uno strumento capace di comunicare al mittente quando il messaggio viene visualizzato, quante volte viene riaperto e da quale rete o dispositivo proviene la richiesta. Il meccanismo esiste da decenni ed è diventato una funzione standard delle piattaforme di email marketing, ma il suo impiego ha portato a una valutazione giuridica piuttosto accurata. Con il provvedimento n. 284 del 17 aprile 2026, il Garante per la protezione dei dati personali ha definito regole specifiche per l’uso dei tracking pixel nelle email, imponendo maggiore trasparenza, consenso nei casi di tracciamento individuale e strumenti di revoca realmente granulari.

Le Linee guida sono state pubblicate nella Gazzetta Ufficiale n. 98 del 29 aprile 2026 e concedono 6 mesi per l’adeguamento. Il termine scade quindi il 29 ottobre 2026.

D’altra parte, si è fatto un gran clamore sui cosiddetti cookie banner e da qualche tempo si sta ripensando alla loro effettiva utilità. Anche perché i cookie, come ripetutamente sottolineato, sono soltanto la punta dell’iceberg, quella visibile, quando il browser web rileva invece molti più dati.

Tanta attenzione, insomma, ai siti web “tradizionali” quando in realtà il client di posta è un’app che di fatto integra – essa stessa – un browser web.

Come funziona un tracking pixel

Un tracking pixel è normalmente una risorsa grafica remota richiamata dal codice HTML che compone l’email.

Può trattarsi di un file GIF, PNG o JPEG di dimensioni minime, spesso 1 x 1 pixel, reso trasparente oppure collocato in una parte non visibile dell’email. Il file non risiede nel messaggio: il client di posta deve scaricarlo da un server esterno attraverso una richiesta HTTP o HTTPS. Come abbiamo visto nell’articolo su cos’è un pixel, vi è una correlazione diretta tra il concetto di pixel grafico e tracking pixel.

Il codice può assumere una forma molto semplice, per esempio un elemento HTML img il cui attributo src punta a un indirizzo univoco. L’URL inserito nell’attributo può contenere un identificatore associato al destinatario, alla campagna email e al singolo invio. Quando il programma di posta (o l’applicazione web) richiede la risorsa, il server remoto registra l’evento e lo collega all’utente cui si riferisce l’URL utilizzato.

La richiesta può rivelare la data e l’ora del caricamento, l’indirizzo IP di origine, alcune informazioni contenute nell’header User-Agent, il tipo di client e dati utili a stimare la posizione geografica.

La precisione varia molto: proxy, sistemi di caching, reti aziendali e servizi di protezione della posta possono alterare o nascondere parte delle informazioni. Resta però disponibile l’identificatore inserito nell’URL, che consente spesso di associare il caricamento a uno specifico indirizzo email.

Il Codice Privacy si applica anche alle email

Il passaggio giuridico centrale consiste nell’applicazione dell’articolo 122 del Codice Privacy. La norma disciplina l’archiviazione di informazioni nel terminale di un utente e l’accesso a dati già presenti nel dispositivo. Il suo campo di applicazione non si limita ai cookie lato browser: comprende strumenti diversi quando realizzano operazioni tecnicamente equivalenti.

Secondo il Garante, il caricamento del pixel di tracciamento comporta l’accesso a informazioni provenienti dal terminale, comprese quelle generate dal dispositivo durante la richiesta della risorsa.

La decisione italiana riprende le Linee guida 2/2023 dell’European Data Protection Board (EDPB), adottate nella versione definitiva ad ottobre 2024. Le indicazioni europee avevano espressamente incluso i pixel inseriti nelle email tra le tecnologie soggette all’art. 5, paragrafo 3, della direttiva ePrivacy. L’Autorità italiana applica tale impostazione all’art. 122 del Codice Privacy e la traduce in prescrizioni operative destinate a imprese, Pubbliche Amministrazioni, provider, gestori di newsletter e fornitori di piattaforme per l’invio massivo.

Il tema non riguarda soltanto le newsletter pubblicitarie. I pixel possono comparire nelle conferme d’ordine, negli avvisi bancari, nei messaggi di attivazione di un account, nelle comunicazioni istituzionali, nei sistemi di assistenza e persino nelle email inviate per segnalare un incidente informatico. La liceità non dipende quindi dall’etichetta attribuita al messaggio, ma dalla funzione concreta svolta dal tracciamento, dal grado di identificabilità del destinatario e dalla quantità di dati condivisa con il mittente.

L’informativa è obbligatoria anche quando non serve il consenso

Le Linee guida distinguono con chiarezza consenso e trasparenza. Il destinatario deve sapere che il messaggio contiene risorse capaci di produrre dati, per quali finalità vengono usate, quali informazioni possono essere raccolte, chi le riceve e per quanto tempo sono conservate.

L’informativa può seguire un modello multilivello. Una prima comunicazione sintetica può rinviare a una pagina più dettagliata, purché il destinatario riceva le informazioni prima che inizi il trattamento. Il Garante ammette anche canali ulteriori, come finestre informative, chatbot o assistenti virtuali. Una frase generica inserita nell’informativa privacy del sito difficilmente risolve ogni problema: il collegamento con il trattamento effettuato nelle email deve risultare riconoscibile.

Per i rapporti già attivi, il titolare può integrare le informazioni attraverso il primo messaggio utile oppure in occasione di una discontinuità nella relazione, per esempio il rinnovo di un servizio o l’aggiornamento delle preferenze. L’impresa deve comunque documentare la scelta e verificare che il pixel non inizi a operare prima dell’acquisizione del consenso, quando richiesto.

Le eccezioni: statistiche anonime, sicurezza e comunicazioni obbligatorie

Il Garante ammette l’uso senza consenso quando il pixel serve a calcolare statistiche aggregate e realmente anonime.

Non basta chiamare “statistico” un trattamento che conserva identificatori individuali: le condizioni indicate comprendono infatti l’impiego di pixel standardizzati, uguali per tutti i destinatari, e l’anonimizzazione degli altri dati tecnici, come indirizzo IP e informazioni sul client.

Un singolo URL comune può permettere di contare i caricamenti complessivi, ma occorre evitare l’uso di parametri, token o segmenti di percorso che consentano di risalire alla persona. Anche i log del server richiedono attenzione: se conservano IP completi, timestamp precisi e altri elementi combinabili con gli elenchi di invio, l’anonimato rischia di essere soltanto “di facciata”. Una mitigazione concreta consiste nel troncare gli indirizzi IP, ridurre la precisione temporale, eliminare rapidamente i log grezzi e produrre aggregati solo oltre una soglia minima di destinatari.

Un’altra deroga riguarda alcune funzioni di sicurezza legate all’autenticazione. Un pixel può concorrere alla conferma dell’attivazione di un account, alla gestione di un cambio password o alla rilevazione di anomalie direttamente connesse a un’operazione richiesta dall’utente. La necessità deve essere reale: non si può trasformare una verifica di sicurezza in una raccolta riutilizzata successivamente per marketing o profilazione.

L’Autorità considera inoltre i messaggi istituzionali o di servizio che il titolare deve inviare in forza di un obbligo giuridico, come certe comunicazioni bancarie, notifiche relative a violazioni di sicurezza o campagne informative pubbliche. Il pixel deve però risultare funzionale alla specifica finalità e operare a beneficio del destinatario.

Marketing, profilazione e consenso granulare

Il consenso diventa necessario quando il sistema misura l’apertura da parte del singolo destinatario, confronta il comportamento tra campagne, modifica la frequenza degli invii o costruisce segmenti basati sull’interazione. Rientrano nella stessa area le automazioni che assegnano punteggi ai contatti, avvisano un commerciale dopo l’apertura di un messaggio oppure classificano una persona come attiva, inattiva o interessata a uno specifico prodotto.

Le Linee guida consentono di inserire il consenso al tracciamento nella richiesta più generale relativa alle comunicazioni promozionali, purché la formulazione resti chiara, neutra e comprensibile. Non si tratta però di un’autorizzazione a nascondere il pixel dietro un generico “acconsento al marketing“. L’utente deve capire che la ricezione delle email può includere la rilevazione delle aperture e l’analisi delle interazioni.

La revoca merita un trattamento separato. Il destinatario deve poter interrompere tutte le comunicazioni oppure continuare a riceverle senza tracking. Serve quindi una vera revoca granulare del consenso: il collegamento di disiscrizione non può offrire soltanto l’alternativa tra accettare ogni forma di misurazione e rinunciare alla newsletter.

Dal punto di vista tecnico, la piattaforma dovrebbe mantenere preferenze distinte, per esempio marketing_email ed email_tracking. Il motore di composizione del contenuto di ciascuna email deve controllare il secondo valore prima di inserire identificatori individuali o risorse remote traccianti.

I fornitori di email marketing non sollevano il mittente dalle responsabilità

Mailing list, CRM e piattaforme di marketing automation offrono spesso il monitoraggio delle aperture (che comunque non può essere affidabile) come impostazione predefinita. Alcuni servizi inseriscono automaticamente il pixel durante l’invio, anche quando il template originale non contiene alcuna immagine di tracciamento. Per questa ragione l’inventario non può fermarsi al codice preparato dall’azienda: deve comprendere le trasformazioni applicate dal provider al momento della consegna.

Il titolare deve verificare i ruoli privacy, le istruzioni impartite al responsabile del trattamento, i tempi di conservazione, la collocazione dei server e gli eventuali trasferimenti internazionali. Occorre inoltre capire se il fornitore utilizzi i dati per finalità proprie, per migliorare il servizio o alimentare statistiche condivise tra clienti. In quel caso, la qualificazione giuridica può diventare più complessa rispetto al semplice rapporto titolare-responsabile.

Un controllo utile consiste nell’inviare messaggi di prova verso account gestiti da provider differenti e analizzare il sorgente MIME (spesso basta premere CTRL+U per verificarlo), gli URL remoti e le richieste generate. Gli elementi da cercare non sono soltanto immagini 1 x 1: identificatori individuali possono comparire nei parametri delle normali immagini, nei link riscritti dal sistema o in risorse ospitate su domini di terze parti.

Come prepararsi alla scadenza del 29 ottobre 2026

Il primo passo consiste nel mappare tutti i flussi email: newsletter, messaggi transazionali, notifiche di sicurezza, comunicazioni del customer care, campagne commerciali e invii istituzionali. Per ciascun flusso occorre indicare il provider, i domini contattati, il tipo di identificatore, i dati registrati, le finalità, la durata di conservazione e la presenza di trasferimenti fuori dallo Spazio economico europeo.

Segue la classificazione. I pixel individuali destinati a misurare engagement, profilare o attivare automazioni richiedono consenso; quelli usati per statistiche anonime devono rispettare condizioni tecniche verificabili; le eccezioni legate a sicurezza e obblighi legali vanno documentate in modo puntuale.

Servono poi interventi sulle interfacce: informative aggiornate, preferenze separate, prova del consenso, revoca semplice e sincronizzazione tra CRM, piattaforma di invio e sistemi interni. Particolare attenzione va dedicata ai contatti raccolti prima delle nuove Linee guida. L’impresa deve verificare se il consenso esistente copra davvero il tracciamento delle aperture; in caso contrario, non può presumere una scelta mai espressa.

Infine occorre testare il risultato. Il team privacy può definire le regole, ma solo una verifica tecnica dimostra che le email inviate agli utenti non consenzienti siano prive di identificatori personali. Il DPO, il reparto legale, chi gestisce il CRM e i fornitori devono lavorare sugli stessi flussi.

Nota finale

La novità più importante non consiste nel divieto generalizzato dei pixel. Il Garante prescrive, entro il 29 ottobre 2026, di distinguere il conteggio anonimo dal monitoraggio della persona, spiegare con chiarezza ciò che accade e lasciare al destinatario un controllo effettivo. Per molte imprese significherà rinunciare a una parte dei dati storicamente raccolti per impostazione predefinita. Non è necessariamente una perdita: informazioni meno numerose, ma più affidabili e ottenute correttamente, possono sostenere decisioni migliori di un open rate gonfiato dai proxy (Gmail utilizza da tempo proxy per servire le immagini remote…) e costruito su preferenze mai espresse.

Ti consigliamo anche

Link copiato negli appunti