Cosa cambia con le nuove Linee Guida del Garante Privacy

Il Garante per la Protezione dei Dati Personali ha pubblicato nuove Linee Guida su uno strumento di tracciamento molto diffuso ma spesso invisibile agli utenti: i pixel di tracciamento (o tracking pixel) nelle email.

Cosa sono i tracking pixel?

Si tratta di minuscole immagini trasparenti (spesso 1 solo pixel) incorporate nelle email. Quando il destinatario apre il messaggio, il pixel si carica da un server remoto, rivelando al mittente dati come:

  • Apertura dell’email
  • Dispositivo usato
  • Indirizzo IP
  • Numero di riaperture

Tutto avviene in background, senza che l’utente lo sappia.

Perché interviene il Garante ora?

A seguito di ispezioni condotte nell’autunno 2025 e nei primi mesi del 2026, emerge che i pixel sono usati nel 99% delle campagne email, per misurare aperture o profilare utenti. Essendo “occulti”, violano il principio di trasparenza GDPR.

Quando serve il consenso?

Le nuove Linee Guida distinguono due scenari:

Consenso non obbligatorio in alcuni casi specifici, tra cui:

  • Rilevazioni statistiche aggregate e anonimizzate (senza profilazione individuale);
  • verifiche di sicurezza legate all’autenticazione dell’utente;
  • comunicazioni istituzionali o di servizio obbligatorie per legge (es. avvisi bancari, notifiche di sicurezza, scadenze contrattuali).

Consenso obbligatorio in tutti gli altri casi, in particolare quando i dati di apertura vengono usati per:

  • Valutare le performance di campagne promozionali;
  • adattare contenuti e frequenza di invio al comportamento del singolo utente;
  • costruire profili commerciali individuali.

Come raccogliere e gestire il consenso?

Il Garante indica alcune regole pratiche:

  • Il consenso deve essere raccolto al momento dell’iscrizione, con informativa chiara sull’uso dei pixel;
  • è ammesso un consenso unico che includa sia la ricezione di email promozionali sia il tracciamento, purché formulato in modo neutro e non condizionante;
  • l’utente deve poter revocare il consenso in qualsiasi momento, anche in modo granulare: può scegliere di ricevere le email ma senza pixel di tracciamento;
  • un link o un’icona dedicata nel footer di ogni email è lo strumento suggerito per esercitare questo diritto.

Cosa devono fare subito le aziende?

Chi utilizza già tracking pixel ha 6 mesi dalla pubblicazione in Gazzetta Ufficiale per adeguarsi.

In pratica occorre:

  1. Aggiornare l’informativa privacy menzionando esplicitamente i pixel di tracciamento;
  2. implementare un sistema di raccolta e gestione del consenso;
  3. garantire la possibilità di revoca granulare;
  4. adottare misure di privacy by design: ad esempio, usare identificativi anonimi e non sequenziali al posto degli indirizzi email nelle richieste tecniche generate dal pixel.

In sintesi

Le nuove Linee Guida colmano un vuoto normativo su uno strumento ampiamente usato ma poco conosciuto dagli utenti. L’obiettivo non è vietare i tracking pixel, ma renderli trasparenti e controllabili, restituendo alle persone la consapevolezza e il controllo su ciò che accade nelle loro caselle di posta.

 

Fonte: Garante per la Protezione del Dati

adeguamento europeo privacy informazione