PATRONATO ENAC - CAF UCI

Fisco e Previdenza

PATRONATO ENAC - CAF UCI

Privacy e tracking pixel nelle email: nuove regole 2026 dal Garante

· 30 Aprile 2026

Con il provvedimento n. 284 del 17 aprile 2026, pubblicato in Gazzetta Ufficiale il 29 aprile 2026 , il Garante per la protezione dei dati personali ha adottato nuove linee guida sull’utilizzo dei tracking pixel nelle comunicazioni di posta elettronica, introducendo regole puntuali per imprese, professionisti e fornitori di servizi digitali.

Il documento interviene su una pratica ampiamente diffusa, soprattutto nelle attività di marketing e comunicazione digitale, chiarendo i presupposti di liceità del trattamento dei dati personali derivanti dal monitoraggio dell’apertura delle email.

 I tracking pixel, infatti, consentono di raccogliere informazioni sull’interazione degli utenti (apertura, tempo di lettura, dispositivo utilizzato), configurando veri e propri trattamenti di dati personali. Il garante precisa che si tratta di "marcatori   particolarmente   invasivi soprattutto in ragione del loro carattere nascosto. La  ricezione  di  strumenti di tracciamento non riconoscibili il cui  impiego  non  sia noto alla persona nel cui terminale vengono installati determina  una

violazione, innanzitutto, del fondamentale principio  di  correttezza. Per questo le linee guida sono rivolte quindi  a tutti i soggetti che, a qualsiasi titolo, utilizzano tali strumenti (aziende, PA, provider di servizi email e piattaforme di marketing automation)  .

Viene fissato un termine di 6 mesi dalla pubblicazione per l’adeguamento delle procedure , che deve avvenire quindi entro il 28 ottobre 2026.

La disciplina in vigore

I documento dell'autorità  Garante inquadra l’utilizzo dei tracking pixel nell’ambito della disciplina europea e nazionale sulla protezione dei dati personali, richiamando in particolare:

  1. il Regolamento (UE) 2016/679 (GDPR);
  2. la direttiva e-Privacy 2002/58/CE;
  3. l’art. 122 del Codice Privacy (d.lgs. 196/2003).

Occorre precisare che dal punto di vista giuridico, l’inserimento del pixel in una email e la successiva raccolta delle informazioni costituiscono:

  1. archiviazione di informazioni nel terminale dell’utente;
  2. accesso a informazioni già archiviate,

 operazioni  che rientrano  nella disciplina dell’art. 122 del Codice Privacy, che consente il trattamento solo in presenza di:

  • consenso preventivo dell’utente;
  • oppure specifiche deroghe (necessità tecnica o servizio richiesto).

Il Garante ribadisce inoltre il principio di prevalenza della normativa e-Privacy, quale lex specialis rispetto al GDPR, per le attività di comunicazione elettronica.

Cosa devono fare le aziende

Le linee guida forniscono indicazioni concrete per l’adeguamento da parte di datori di lavoro, imprese e consulenti, su 4  aspetti  fondamentali

Raccolta del consenso

Deve essere preventiva, libera e informata;

  • può essere unificata con il consenso marketing, se chiaramente esplicitato;
  • va raccolta preferibilmente al momento dell’acquisizione dell’email.

Gestione della revoca

Le linee guida affermano che il titolare deve garantire:

  • revoca semplice e immediata;
  • possibilità di revoca granulare (solo tracking o anche email);
  • presenza di link o area dedicata (es. footer email).

Caratteristiche dell' nformativa operativa

  • è possibile : inserire una nota sintetica nei moduli di raccolta dati;
  • collegare a informativa estesa (privacy/cookie policy);
  • aggiornare le informative esistenti al primo invio utile.
  • Misure tecniche (privacy by design)

Il Garante suggerisce specificamente::

  • uso di identificativi non riconducibili direttamente all’email;
  • separazione dei dati identificativi dai dati di tracciamento;
  • anonimizzazione delle informazioni quando possibile.

Adeguamento dei sistemi

Piu in generale quindi è necessario che le aziende  provvedano a 

  • mappare i trattamenti con tracking pixel;
  • verificare le basi giuridiche applicate;
  • aggiornare piattaforme e workflow di marketing automation;

per adeguarsi nel termine di  6 mesi dalla pubblicazione  delle Linee guida .

La tipologia di messaggi considerati nelle Linee guida: 

Dal punto di vista della loro tipologia, e' possibile distinguere i messaggi che  vengono  inviati  all'utente  secondo  diversi  modelli ricorrenti: 

  1.     Newsletter, cioe' comunicazioni periodiche generalmente inviate a destinatari iscritti in una lista  di  contatti  e  finalizzate  alla diffusione di  aggiornamenti,  contenuti  informativi,  comunicazioni aziendali o materiali editoriali; 
  2.     DEM (Direct E-mail Marketing), categoria alla quale  appartengono le   comunicazioni   di   natura   prevalentemente   promozionale   o commerciale, inviate a gruppi di destinatari selezionati dal  cliente della piattaforma ovvero dal provider  che  utilizzi  liste  proprie  a  beneficio  di  terzi
  3.     e-mail transazionali e messaggi automatici: comunicazioni inviate automaticamente in relazione al verificarsi di determinati eventi (ad esempio messaggi di benvenuto, follow-up successivi a  un'iscrizione),o ad una specifica azione  compiuta  dall'utente  o  a  una  transazione in corso, quali ad  esempio  conferme  di  registrazione,  d'ordine o trasmissione di credenziali  temporanee
  4.     e-mail di servizio, che contengono, in linea  generale,  messaggi il cui contenuto e' funzionale a specifiche esigenze  del  singolo  o  anche   della   collettivita',   poiche'   caratterizzate   da    una funzionalita' di tipo pubblicistico

FAQ operative sui tracking pixel nelle email

Cosa sono i tracking pixel?

I tracking pixel sono immagini di dimensioni minime (spesso 1×1 pixel), generalmente invisibili all’utente, inserite nel codice HTML delle email. Quando il destinatario apre il messaggio, il pixel viene caricato da un server remoto, consentendo al mittente di rilevare informazioni sull’apertura e sull’interazione con la comunicazione.

Quali dati possono raccogliere?

I pixel possono rilevare diversi dati tecnici, tra cui:

  • apertura dell’email;
  • data e ora di lettura;
  • indirizzo IP;
  • tipo di dispositivo o client di posta;
  • numero di aperture del messaggio.

L’utente può evitare il tracciamento?

Sì, ma con limiti operativi. Il tracciamento può essere impedito disabilitando il caricamento automatico delle immagini o visualizzando le email in formato solo testo. Tuttavia, questa scelta blocca tutte le immagini, non solo i tracking pixel.

I tracking pixel leggono il contenuto delle email?

No. I pixel non accedono al contenuto del messaggio, ma monitorano esclusivamente l’evento di apertura e alcuni dati tecnici correlati.

Sono sempre illegali?

No. Il loro utilizzo è lecito se rispettano le condizioni previste dalla normativa privacy: informativa adeguata, consenso quando richiesto o presenza di una delle deroghe previste dall’art. 122 del Codice Privacy.

È possibile usare i pixel nelle newsletter aziendali?

Sì, ma:

  • per analisi aggregate e anonime possono essere utilizzati senza consenso;
  • per analisi individuali o profilazione è necessario il consenso preventivo dell’utente.

Chi è responsabile del trattamento dei dati?

Dipende dalla configurazione operativa del sistema IT aziendale. Possono essere coinvolti:

il mittente dell’email (titolare del trattamento);

il provider della piattaforma di invio;

eventuali fornitori di tecnologia di tracciamento.

I pixel possono essere utilizzati nelle email di servizio o obbligatorie?

Sì, in alcuni casi senza consenso, se il loro utilizzo è necessario per garantire sicurezza, corretta erogazione del servizio o adempimenti obbligatori (es. notifiche, conferme, comunicazioni istituzionali).

Cosa si intende per revoca granulare del consenso?

La revoca granulare è la possibilità per l’utente di ritirare il consenso solo per alcune finalità, senza interrompere completamente il servizio.

Ad esempio, può scegliere di continuare a ricevere le email ma senza essere tracciato tramite tracking pixel, oppure revocare tutto e non ricevere più comunicazioni.

Allegati: