In data 17 aprile 2026, il Garante per la Protezione dei Dati Personali ha adottato delle Linee Guida in materia di utilizzo dei pixel di tracciamento (c.d. “tracking pixel”) nelle comunicazioni di posta elettronica[1] che, rivolgendosi ad ogni soggetto che, a qualsiasi titolo, ne faccia uso, si propongono di rafforzare la trasparenza e il controllo degli utenti sui propri dati.
Negli ultimi anni è divenuto sempre più frequente l’utilizzo di strumenti di tracciamento o di acquisizione di informazioni sui comportamenti degli utenti e sulle loro modalità di fruizione dei servizi, soprattutto online e, in particolare, tramite email. Tra questi rientrano i cosiddetti tracking pixel: si tratta di piccole immagini, spesso invisibili per via delle loro dimensioni ridottissime e della loro trasparenza, che non risiedono direttamente nel corpo dell’email, ma vengono caricate da server remoti al momento dell’apertura del messaggio. Di regola, ogni volta che il destinatario apre il messaggio di posta elettronica, un codice HTML inserito all’interno dell’email aziona in automatico un comando che comporta l’inoltro di una richiesta al server del mittente. In risposta, l’immagine viene scaricata dal client di posta e memorizzata sul dispositivo del destinatario, comparendo così nel corpo della mail. Tutto ciò avviene senza che l’utente se ne accorga minimamente, dato che il pixel è sostanzialmente invisibile e non trasmette alcuna informazione utile a chi riceve il messaggio. Il mittente del messaggio, o uno dei suoi partner, invece, possono così ottenere informazioni relative alla avvenuta apertura e dunque alla consultazione dell’email da parte del destinatario e ulteriori dati che possono ricavarsi dall’indirizzo IP del destinatario, quali ad esempio il tipo di dispositivo utilizzato, il tempo di consultazione del messaggio e il numero di aperture successive della stessa email.
I tracking pixel vengono utilizzati per conseguire molteplici scopi quali, tra gli altri, garantire la corretta ricezione delle mail, contrastare lo spam, misurare l’audience e le performance delle comunicazioni, identificare attività di phishing o anche per esigenze di formattazione. Il loro impiego, pertanto, può riguardare tanto le comunicazioni di tipo commerciale e promozionale quanto quelle più propriamente di servizio o a carattere istituzionale e informativo. Di conseguenza, le Linee Guida individuano le norme applicabili alle operazioni di lettura e di scrittura all’interno del terminale di un utente condotte tramite i tracking pixel nelle comunicazioni di posta elettronica, specificando le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati alla luce del Codice in materia di protezione dei dati personali[2] e del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR)[3] ed individuando un termine pari a 6 mesi dal momento della loro pubblicazione in Gazzetta Ufficiale entro il quale i soggetti coinvolti[4] dovranno conformarvisi.
In primo luogo, le Linee Guida affermano che, per essere considerato lecito, l’impiego di tracking pixel nelle mail deve essere preventivamente reso noto al destinatario qualunque sia lo scopo della comunicazione o la tipologia del soggetto mittente. L’impiego dei pixel di tracciamento, pertanto, impone a tutti i titolari che già ne fanno o che intendano farne uso di informarne adeguatamente gli interessati in ossequio al principio di trasparenza[5], pena la loro inutilizzabilità. L’informativa potrà essere fornita su più livelli, di modo da sfruttare al massimo punti di contatto più dinamici e meno tradizionali tra gli interessati e il titolare, a cui spetterà di assicurare la corrispondenza del sistema implementato con i requisiti in tema di trasparenza imposti dal GDPR.
In secondo luogo, l’applicabilità dell’articolo 122[6] del Codice alle operazioni di inserimento di tracking pixel nelle mail impone un divieto generalizzato di trattamento, a meno che i) non vi sia il previo rilascio del consenso informato, libero, specifico ed inequivocabile dell’utente destinatario della comunicazione, o ii) ricorrano fattispecie nelle quali il trattamento dei dati sia necessario, consenta o faciliti l’effettuazione della trasmissione di una comunicazione per via elettronica, o iii) le operazioni condotte siano necessarie alla fornitura di un servizio di comunicazione online su richiesta degli utenti. A tale riguardo, le Linee Guida individuano una serie di casi in cui i titolari sono dispensati dall’acquisire il consenso degli interessati alla ricezione dei tracking pixel, ad esempio quando i) l’impiego di pixel sia funzionale all’effettuazione di un conteggio di tipo statistico che misuri la percentuale globale di apertura dei messaggi, o ii) vengano implementate misure di sicurezza che interessano il processo di autenticazione dell’utente, il suo completamento o il suo aggiornamento, o iii) si tratti di messaggi istituzionali o di servizio che il titolare ha l’obbligo giuridico di inoltrare e rispetto ai quali rilevi l’effettiva presa di conoscenza del destinatario.
In tutti i casi in cui non sia possibile avvalersi di una delle ipotesi di deroga al consenso previste all’articolo 122 del Codice, il titolare che intenda utilizzare i pixel di tracciamento nelle mail avrà l’obbligo di acquisirlo preventivamente dai destinatari. A tale riguardo, le Linee Guida distinguono tra l’ipotesi in cui i trattamenti di dati che presuppongono l’inoltro di mail contenenti i tracking pixel vengano intrapresi prima della loro entrata in vigore e quella in cui gli stessi siano già in corso. Nel primo caso, il consenso dovrà essere raccolto preferibilmente al momento stesso dell’acquisizione dell’indirizzo di posta elettronica in questione, dopo che l’interessato sia stato debitamente informato. È necessario, inoltre, che l’utente che abbia acconsentito al trattamento possa successivamente revocare in modo agevole le scelte pregresse, anche in modo granulare, ossia optando per la revoca del consenso prestato, con l’effetto di impedire il tracciamento connesso alla ricezione di tracking pixel. Nel secondo caso, invece, dopo aver tempestivamente assolto, con il primo invio utile o comunque nel primo momento di discontinuità disponibile allo scopo, ai propri obblighi in materia di informativa, il titolare dovrà implementare e rendere noto agli utenti un meccanismo che consenta la revoca anche granulare del consenso, avendo cura di individuare le soluzioni maggiormente improntate alla massima riconoscibilità, visibilità e facilità d’uso a beneficio dell’interessato.
[1] Disponibili al seguente LINK.
[2] Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GU n. 174 del 29.07.2003.
[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GUUE L 119 del 04.05.2016.
[4] Quali, gli altri, il mittente del messaggio di posta elettronica, il fornitore di servizi di emailing, il fornitore di servizi di noleggio di liste di distribuzione e invio di mail, il fornitore della tecnologia di tracciamento e il content creator.
[5] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera a) dispone: “… I dati personali sono:
- a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)…”.
[6] L’articolo 122 del Codice, intitolato “Informazioni raccolte nei riguardi dell’contraente o dell’utente”, dispone: “… L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente…”