Con il Provvedimento del 17 aprile 2026, il Garante per la Protezione dei Dati Personali ha adottato le nuove “Linee guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica”, intervenendo su un tema di particolare rilevanza per le attività di e-mail marketing e marketing automation.
Il Provvedimento si inserisce nel più ampio quadro normativo relativo alla protezione dei dati personali e all’utilizzo degli strumenti di tracciamento nelle comunicazioni elettroniche, con l’obiettivo di rafforzare il livello di trasparenza nei confronti degli utenti e chiarire le condizioni di liceità del trattamento dei dati raccolti tramite tracking pixel.
Nelle Linee guida, il Garante qualifica il tracking pixel come uno strumento di tracciamento soggetto alla disciplina prevista dall’art. 122 del Codice Privacy, analogamente ai cookie e agli altri strumenti che consentono di accedere a informazioni archiviate nel terminale dell’utente o di raccogliere dati relativi all’utilizzo dei servizi digitali. Secondo l’Autorità, infatti, tali tecnologie consentono di monitorare il comportamento del destinatario della comunicazione e-mail attraverso la raccolta di informazioni relative, ad esempio, all’apertura del messaggio, al numero di visualizzazioni, al momento della consultazione, al dispositivo utilizzato o ad ulteriori elementi tecnici connessi alla fruizione della comunicazione.
Particolare attenzione viene dedicata al tema della trasparenza informativa. Il Garante evidenzia, infatti, che il tracking pixel costituisce uno strumento normalmente non percepibile dall’utente e, proprio per questa caratteristica, richiede specifici presidi sotto il profilo informativo. Le organizzazioni che utilizzano tali strumenti devono, quindi, assicurare che gli interessati siano adeguatamente informati circa la presenza di meccanismi di tracciamento nelle comunicazioni e-mail, le finalità perseguite tramite il monitoraggio, le modalità di utilizzo dei dati raccolti e le opzioni disponibili per esercitare i propri diritti o revocare le scelte effettuate.
Le Linee guida non introducono un divieto generalizzato di utilizzo dei tracking pixel, ma distinguono in modo netto tra utilizzi tecnici o strettamente necessari e utilizzi finalizzati ad attività di marketing o profilazione comportamentale. In particolare, il Garante ritiene generalmente compatibili con le deroghe previste dall’art. 122 del Codice Privacy gli utilizzi connessi a finalità statistiche aggregate e anonimizzate, alle esigenze di sicurezza informatica, alla prevenzione delle frodi, nonché all’invio di comunicazioni istituzionali o strettamente funzionali all’erogazione di un servizio richiesto dall’utente.
Diversamente, il consenso preventivo dell’interessato è richiesto nei casi in cui il tracking venga utilizzato per monitorare le aperture individuali delle e-mail, analizzare le interazioni dei destinatari, valutare le performance delle campagne marketing, segmentare gli utenti o personalizzare contenuti, frequenza e modalità delle comunicazioni sulla base dei comportamenti osservati. Secondo il Garante, rientrano, inoltre, nell’ambito delle attività soggette a consenso i trattamenti finalizzati a ricavare interessi, preferenze o propensioni commerciali dell’utente attraverso l’analisi delle informazioni raccolte tramite i pixel di tracciamento.
Di particolare interesse risulta il passaggio delle Linee guida dedicato al rapporto tra consenso marketing e consenso al tracking. Il Garante ritiene, infatti, possibile che il consenso al tracciamento sia ricompreso nell’ambito del più generale consenso alle attività di marketing, purché l’interessato sia informato in modo chiaro e specifico circa la presenza di strumenti di monitoraggio e le finalità perseguite attraverso tali tecnologie. Viene, altresì, ribadita la necessità che le richieste di consenso siano formulate con modalità comprensibili e non fuorvianti, evitando formulazioni generiche o eccessivamente tecniche.
Un ulteriore profilo centrale del Provvedimento riguarda la revoca del consenso e la necessità di garantire agli utenti un controllo effettivo sulle attività di tracciamento. Secondo il Garante, l’interessato deve poter revocare agevolmente il consenso alle attività di marketing oppure opporsi specificamente al monitoraggio tramite tracking pixel, continuando eventualmente a ricevere le comunicazioni senza essere sottoposto a forme di profilazione o analisi comportamentale. Le Linee guida incoraggiano, pertanto, l’adozione di strumenti che consentano una gestione semplice e granulare delle preferenze privacy direttamente dalle comunicazioni e-mail o attraverso aree dedicate messe a disposizione dagli operatori.
Sotto il profilo operativo, il Provvedimento richiama l’attenzione delle organizzazioni sulla necessità di verificare attentamente le configurazioni delle piattaforme di marketing automation e dei servizi utilizzati per l’invio delle comunicazioni elettroniche, al fine di assicurare che i meccanismi di tracciamento siano coerenti con le scelte di consenso espresse dagli utenti e che non vengano effettuate attività di monitoraggio in assenza di una valida base giuridica.
Le nuove Linee guida confermano, nel complesso, il crescente livello di attenzione delle Autorità di controllo verso gli strumenti di tracciamento impiegati nelle comunicazioni digitali e rappresentano un ulteriore passo nel percorso di rafforzamento delle tutele in materia di protezione dei dati personali, imponendo alle organizzazioni una revisione delle proprie pratiche informative, dei meccanismi di raccolta del consenso e dei processi di gestione delle preferenze degli utenti.
