VEDI ANCHE Comunicato stampa del 21 aprile 2026

[doc. web n. 10241943]

Provvedimento del 17 aprile 2026 - Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica
(In corso di pubblicazione sulla Gazzetta Ufficiale)

Registro dei provvedimenti
n. 284 del 17 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;

VISTA la direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (c.d. direttiva quadro), come successivamente modificata e integrata;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva e-Privacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio;

VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche Regolamento o GDPR);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito anche Codice);

VISTO il decreto legislativo 28 maggio 2012, n. 69 recante “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori”;

VISTO il Parere del WP29 (Working Party art. 29) n. 05/2014 del 10 aprile 2014 sulle tecniche di anonimizzazione;

VISTO il Parere dell’EDPB n. 05/2019 del 12 marzo 2019 sulle interrelazioni tra la direttiva e-Privacy ed il Regolamento, con particolare riguardo alle competenze, ai compiti ed ai poteri delle Autorità di protezione dati;

VISTO il provvedimento del Garante n. 229, dell’8 maggio 2014, relativo alla “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, pubblicato nella Gazzetta Ufficiale della Repubblica italiana del 3 Giugno 2014, serie Generale, n. 126, del 3 giugno 2014;

VISTO il provvedimento del Garante n. 161, del 19 marzo 2015, recante le “Linee guida in materia di trattamento di dati personali per profilazione online”, pubblicato nella Gazzetta Ufficiale della Repubblica italiana, serie Generale, n. 103 del 6 maggio 2015;

VISTO il provvedimento del Garante n. 231, del 10 giugno 2021, recante le “Linee guida cookie e altri strumenti di tracciamento”, pubblicato nella Gazzetta Ufficiale della Repubblica italiana, serie Generale, n. 163 del 9 luglio 2021;

VISTE le Linee Guida dell’EDPB (European Data Protection Board) 2/2023, del 7 ottobre 2024, sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva e-privacy;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Considerazioni preliminari e ambito di applicazione normativo

Negli ultimi anni si è assistito ad un crescente fenomeno di utilizzo, da parte dei gestori delle piattaforme, di fornitori di servizi o di semplici intermediari, di strumenti di tracciamento o di acquisizione di informazioni sui comportamenti degli utenti e sulle loro modalità di fruizione dei servizi, specie nell’ambiente online.

Parallelamente, la consapevolezza degli utenti e, in modo particolare, il loro interesse e la loro attenzione circa l’esistenza, le caratteristiche e gli effetti di tali strumenti pare, in generale, incrementata, come dimostrato dal crescente numero di istanze che pervengono quotidianamente all’Autorità in questo ambito.

Un clima di fiducia nell’ecosistema digitale è senza dubbio una delle condizioni essenziali affinché le persone possano fruire al meglio dei diversi servizi loro offerti, beneficiando dei vantaggi promessi. Esso non può prescindere, tuttavia, innanzitutto dalla possibilità che la persona eserciti un controllo sulle informazioni che la riguardano, specie con riferimento a trattamenti che avvengono nel contesto digitale, e dunque dalla adozione di interventi di tutela specifici che tengano nel debito conto, tra l’altro, le diverse tipologie degli strumenti di tracciamento.

Tra questi ultimi, quali ad esempio cookie, fingerprinting, web beacon, script, javascript, mouseflow, widget etc., ve ne sono alcuni che, ampiamente diffusi nelle comunicazioni elettroniche, hanno caratteristiche particolari, potendo agire quali strumenti occulti, non identificabili dall’interessato e, pertanto, connotati da una maggiore invasività.

Tra essi devono essere annoverati i pixel di tracciamento, o tracking pixel, nei messaggi di posta elettronica: si tratta di immagini, spesso trasparenti e di dimensioni molto ridotte, pari appunto a un solo pixel, non direttamente contenute nell’e-mail in questione, ma ospitate su server remoti.

Di regola al momento di ogni apertura del messaggio di posta elettronica da parte del destinatario, che sia la prima o anche le eventuali aperture successive, un codice HTML inserito nel messaggio aziona in automatico un comando che comporta l’inoltro di una richiesta al server del mittente. In risposta a questa richiesta, l’immagine viene scaricata dal client di posta elettronica del destinatario (un software specifico o un browser) e archiviata nella memoria del terminale dell’interessato per essere “esposta” nel corpo della e-mail.

È appena il caso di rilevare che il servizio di posta elettronica deve essere qualificato come per sua stessa natura destinato a veicolare contenuti privati, anche considerato il diritto, di rilevanza costituzionale, alla riservatezza ed inviolabilità della corrispondenza.

La visualizzazione del pixel all’interno del corpo della e-mail, che consegue alla implementazione del meccanismo descritto, di per sé, non ha generalmente valore informativo per l’utente né è da questi neppure percepita, date le dimensioni e la trasparenza del pixel; il processo che porta a tale visualizzazione consente, invece, al mittente del messaggio o a uno dei suoi partner di ottenere informazioni relative alla avvenuta apertura e dunque alla consultazione di un’e-mail da parte di un utente specifico o in un contesto specifico, ivi comprese eventualmente informazioni ulteriori che possono ricavarsi dall’indirizzo IP del destinatario, relative al tipo di dispositivo utilizzato, fino al tempo di consultazione del messaggio e al numero di aperture successive della stessa e-mail.

Necessarie due importanti precisazioni: la prima è relativa al fatto che deve escludersi che i pixel di tracciamento attengano, in via immediata e diretta, all’aspetto contenutistico dei messaggi, dal momento che monitorano esclusivamente l’evento dell’avvenuta apertura della e-mail; con l’effetto che la loro pervasività è correlata innanzitutto alla mancata consapevolezza del destinatario, ancor prima e ancor più che alle possibili inferenze comportamentali o relative a gusti e preferenze che il titolare può desumere dal loro impiego.

La seconda precisazione attiene alla circostanza che il descritto meccanismo ha luogo, e pertanto il pixel viene scaricato nella e-mail dell’utente, soltanto nel caso in cui questi mantenga abilitata la relativa funzione di download delle immagini;  qualora, invece, l’utente imposti la funzione di lettura dell’e-mail esclusivamente in formato testo, il tracking pixel, al pari di qualsiasi altra immagine, non sarà scaricato e dunque non potrà tracciare il comportamento del destinatario della comunicazione.

Si tratta comunque di accorgimenti che non possono escludere in modo selettivo la ricezione soltanto di alcuni pixel di tracciamento, ad esempio quelli utilizzati quali strumenti di digital marketing, ma interessano tutte le immagini indistintamente. Ciò in quanto ad oggi, tra l’altro, non consta l’esistenza di una standardizzazione dei nomi dei tracking pixel, né esiste allo stato attuale una loro codifica, né una sintassi universalmente condivise.

Al fine della determinazione della disciplina di legge applicabile, con ogni riflesso in ordine agli aspetti che interessano la competenza dell’Autorità cui è attribuita, tra l’altro, l’attività di enforcement, devono dunque essere considerati come fondamentali due elementi, di seguito indicati.

a) Innanzitutto, sulla base del meccanismo rappresentato, l’inserimento di un elemento (il pixel) nel corpo della e-mail destinata all’utente nonché la “lettura” delle informazioni che ne conseguono e che danno conto dell’azione dell’utente in relazione alla avvenuta apertura della e-mail (il tracciamento) sono operazioni conformi alla fattispecie di accesso al terminale disciplinata dall’art. 122 del Codice, sulla quale si tornerà tra breve. Tale conformità interessa la duplice modalità di accesso ivi prevista che, nel caso in esame, si concreta sia nella “archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente” (l’inserimento del pixel di tracciamento nella e-mail) sia nel successivo “accesso a informazioni già archiviate” (la rilevazione, tramite quel pixel, del comportamento dell’utente).

b) In secondo luogo è necessario anche considerare che l’inclusione dei pixel di tracciamento nelle e-mail costituisce un’istruzione, diretta al terminale dell’utente, di inviare informazioni specifiche ai soggetti che li utilizzano come, ad esempio, l’identificativo del pixel, l’indirizzo IP, lo user ID, il message ID, il delivery ID sotto forma di time stamp in relazione all’invio effettivo, eventuali token di sicurezza a presidio dell’integrità del messaggio etc..

In altri termini, è possibile affermare che di regola i tracciatori sono univoci per singolo destinatario. Queste informazioni vengono comunicate tramite i parametri della richiesta e la loro raccolta da parte del server che ospita l’immagine costituisce un’operazione di lettura sul terminale dell’utente. Di conseguenza, e conformemente alla posizione espressa dall’EDPB nelle Linee Guida sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva e-Privacy, le disposizioni della direttiva e, di conseguenza, il menzionato art. 122 del Codice, che ne costituisce la disciplina di recepimento a livello nazionale di carattere speciale, si applicano all’uso dei pixel di tracciamento nelle e-mail.

Ai sensi dell’art. 122 del Codice, infatti:

“1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente”.

Questa disposizione è stata introdotta nell’ordinamento nazionale a seguito del recepimento della direttiva e-Privacy, precedente rispetto alla data della piena operatività degli effetti del Regolamento e, al pari delle norme di diritto interno che la recepiscono, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche (v., in proposito, il considerando 173 del Regolamento secondo cui “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio …”).

La successiva entrata in vigore del Regolamento ha imposto tuttavia una indagine, tesa a ricercare il coordinamento tra le regole poste. Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva e-Privacy, molte attività di trattamento devono infatti essere ricondotte all’ambito di applicazione tanto della direttiva quanto del Regolamento, con l’avvertenza che, per la parte di potenziale sovrapposizione - in virtù del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva e-Privacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del Regolamento - ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento.

Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti. Il Regolamento, infatti, come precisato all’art. 95, “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.

Più nello specifico, in relazione al fenomeno oggetto di queste Linee Guida, deve essere poi ricordato che il Regolamento espressamente afferma, al considerando 30, che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Con riferimento, allora, a tale fenomeno e sulla base dei menzionati presupposti, l’Autorità intende rivolgersi a tutti i soggetti, privati o pubblici, che a qualsiasi titolo intervengano nelle operazioni di utilizzo dei pixel di tracciamento nelle e-mail, con l’intento di: effettuare una ricognizione del diritto applicabile alle operazioni di lettura e di scrittura all’interno del terminale di un utente condotte tramite strumenti di tracciamento occulti, quali i tracking pixel, nelle comunicazioni di posta elettronica;

specificare, al riguardo, le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati, ove necessario, alla luce della piena applicazione del Codice e del Regolamento.

2. Finalità perseguite mediante l’impiego dei tracking pixel

Nelle giornate del 6-8 ottobre 2025 e del 9-11 febbraio 2026, al fine di approfondire il tema in vista della predisposizione delle presenti Linee Guida, l’Autorità ha condotto una serie di accertamenti ispettivi, di carattere conoscitivo, rispettivamente presso un provider di servizi di posta elettronica ed un fornitore di piattaforma cd. di marketing automation per la gestione professionale del servizio di inoltro comunicazioni di posta elettronica per conto di committenti. All’esito di tale attività ispettiva è stato possibile accertare, tra l’altro, che i tracking pixel vengono utilizzati pressoché nella totalità dei casi, sebbene per il conseguimento di molteplici scopi diversi: garantire la corretta ricezione delle e-mail (cd. deliverability), contrastare lo spam, misurare l’audience e le performance della comunicazione (intesa come apertura o lettura delle e-mail o download di allegati), cioè in definitiva per avere contezza dell’interazione del destinatario con il messaggio in questione ed eventualmente personalizzare la comunicazione in base all’interesse rilevato, per identificare attività di phishing o anche per esigenze di formattazione.

Il loro impiego può riguardare dunque tanto le comunicazioni di tipo commerciale e promozionale quanto quelle più propriamente di servizio o a carattere istituzionale e informativo. Inoltre non vengono di regola effettuate distinzioni, in relazione al loro utilizzo, sulla base della modalità di fruizione del servizio di posta elettronica (web, client, app etc.), come pure del dispositivo utilizzato.

3. Soggetti coinvolti e diverse tipologie di messaggi

L’impiego di tracking pixel può avvenire ad opera di diversi soggetti, anche eventualmente in accordo tra loro, i quali dovranno, caso per caso, e in ossequio al principio di accountability di cui all’art. 5, par. 2 del Regolamento, definire i propri ruoli rilevanti dal punto di vista delle norme in materia di protezione dei dati personali, anche eventualmente alla luce della disposizione di cui all’art. 26 del Regolamento sulla contitolarità del trattamento di dati. Tra le figure soggettive in questione è possibile annoverare:

- il mittente del messaggio di posta elettronica, intendendo con tale termine il soggetto, pubblico o privato, cui compete la scelta in ordine all’invio delle comunicazioni e che può decidere di far uso di pixel di tracciamento determinandone le finalità, ancorché non necessariamente curandone, in concreto, la gestione che può invece essere demandata a terzi, come ad esempio ad un fornitore di servizi di inoltro delle e-mail;

- il fornitore di servizi di invio e-mail (o emailing), ovvero il soggetto che mette a disposizione del committente la soluzione tecnica, compresa la piattaforma, spesso in modalità SaaS (Software as a Service), per effettuare l’invio delle e-mail ed agisce generalmente su mandato e secondo le istruzioni del mittente, il quale utilizza liste proprie di contatti di destinatari. In altri termini, la piattaforma mette a disposizione dei propri clienti un insieme di strumenti applicativi che consentono la gestione delle campagne di comunicazione digitale lungo l’intero ciclo operativo, dalla selezione dei database di contatti alla predisposizione dei messaggi, fino all’invio delle comunicazioni e al monitoraggio delle relative performance. Tale operazione di invio, a seconda dei casi e sulla base degli accordi contrattuali in essere tra le parti, può essere effettuata dal provider dei servizi ovvero anche, autonomamente, dal committente stesso;

- il fornitore di servizi di noleggio di liste di distribuzione e invio di e-mail, cioè il soggetto che si occupa in via completa ed autonoma di inviare comunicazioni a contatti presenti all’interno di proprie liste di distribuzione offerte in locazione al committente, per conto del quale avviene l’invio dei messaggi;

- il fornitore della tecnologia di tracciamento, ossia il soggetto che cura esclusivamente la messa a disposizione dello strumento tecnico utilizzato dal mittente o dal prestatore di servizi di invio, il cui ruolo rileva tanto ai fini del considerando 78 del Regolamento (“… i produttori dei prodotti, dei servizi e delle applicaiozoni8 dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati …”), quanto nel caso di una sua eventuale compartecipazione agli aspetti decisionali relativi al trattamento dei dati derivante dall’uso dei marcatori in questione;

- il content creator che, nel caso di e-mail a carattere promozionale, si occupa di predisporre il messaggio pubblicitario da recapitare al destinatario, curando anche l’aspetto della sua ottimizzazione grafica volta alla miglior efficacia commerciale;

- il destinatario del messaggio di posta elettronica, ossia il soggetto che riceve la comunicazione all’interno della quale è stato inserito l’elemento tracciante ed il cui indirizzo e-mail può essere stato acquisito dal titolare del trattamento all’esito di una specifica procedura di autenticazione (ad esempio, la creazione di un account) oppure in altro modo (ad esempio nel corso di una transazione commerciale online rilevante anche per l’eventuale ricorso alla deroga di cui all’art. 130, par. 4 del Codice in materia di soft spam ovvero per procedure di upselling).

Dal punto di vista della loro tipologia, è possibile distinguere i messaggi che vengono inviati all’utente secondo diversi modelli ricorrenti:

- Newsletter, cioè comunicazioni periodiche generalmente inviate a destinatari iscritti in una lista di contatti e finalizzate alla diffusione di aggiornamenti, contenuti informativi, comunicazioni aziendali o materiali editoriali;

- DEM (Direct E-mail Marketing), categoria alla quale appartengono le comunicazioni di natura prevalentemente promozionale o commerciale, inviate a gruppi di destinatari selezionati dal cliente della piattaforma nell’ambito delle liste di contatti già nella sua disponibilità, ovvero dal provider che utilizzi liste proprie a beneficio di terzi committenti, con l’obiettivo di promuovere prodotti, servizi o iniziative commerciali;

- E-mail transazionali e messaggi automatici: comunicazioni inviate automaticamente in relazione al verificarsi di determinati eventi (ad esempio messaggi di benvenuto, follow-up successivi a un’iscrizione) o ad una specifica azione compiuta dall’utente o, ancora, a una transazione in corso, quali ad esempio conferme di registrazione, notifiche relative ad operazioni effettuate su una piattaforma digitale, conferme d’ordine o trasmissione di credenziali temporanee etc.;

- E-mail di servizio, che contengono, in linea generale, messaggi il cui contenuto è funzionale a specifiche esigenze del singolo o anche della collettività, poiché caratterizzate da una funzionalità di tipo pubblicistico anche latu sensu.

4. Obblighi di informativa

I tracking pixel sono marcatori particolarmente invasivi soprattutto in ragione del loro carattere nascosto. La ricezione di strumenti di tracciamento non riconoscibili il cui impiego non sia noto alla persona nel cui terminale vengono installati determina una violazione, innanzitutto, del fondamentale principio di correttezza di cui all’art. 5, par. 1, lett. a) del Regolamento, il quale impone il rispetto di canoni di lealtà e buona fede da parte del titolare.

La predisposizione delle presenti Linee Guida intende dunque richiamare l’attenzione su un sistema di tracciamento occulto, riaffermando la necessità che, per qualificarsi lecito, l’impiego di tracking pixel nelle e-mail debba essere preventivamente reso noto al destinatario della e-mail, qualunque sia lo scopo della comunicazione o la tipologia del soggetto mittente.

L’Autorità ritiene in proposito che l’impiego dei pixel di tracciamento imponga pertanto a tutti i titolari che già ne fanno o che intendano farne uso di informarne adeguatamente gli interessati in ossequio al principio di trasparenza di cui al menzionato art. 5, par. 1, lett. a) nonché ai sensi e per gli effetti degli artt. 12 ss. del Regolamento, pena la loro inutilizzabilità.

Analogamente a quanto già stabilito per l’impiego di cookie (vedi, al riguardo, art. 122 del Codice, comma. 1, nonché le Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021, in Gazzetta Ufficiale n. 163 del 9 luglio 2021 e disponibili in www.gpdp.it doc. web n. 9677876), l’Autorità, in considerazione delle peculiarità dell’ambiente online nel quale la manifestazione di volontà della persona viene di regola espressa, nel confermare la logica di semplificazione che costituisce uno degli obiettivi dell’azione amministrativa, favorisce il ricorso a forme agevolate di informativa. Essa potrà dunque essere fornita su più livelli, ad esempio prevedendone l’inserimento in forma sintetica all’interno di un modulo di raccolta dell’indirizzo, con l’aggiunta di un link verso un’informazione più dettagliata (anche eventualmente all’interno della cookie policy, se presente) o anche per il tramite di più canali e modalità (cd. multichannel), in modo da sfruttare al massimo più dinamici e meno tradizionali punti di contatto tra il titolare e gli interessati. Si pensi, ad esempio, al sempre più diffuso ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all’impiego del telefono, al ricorso a chatbot.

Sarà allora onere del titolare, cui è rimessa la scelta in ordine alla modalità ovvero all’impiego combinato delle modalità ritenute più idonee, in conformità al principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilità, con i requisiti in tema di trasparenza imposti dal Regolamento.

Qualora l’impiego delle coordinate di posta elettronica per l’inoltro di messaggi di qualsiasi tenore e natura che prevedano l’inserimento di tracking pixel sia già in corso, sarà possibile utilizzare, al fine di colmare esigenze di tipo informativo, l’inoltro del primo messaggio utile ovvero il primo momento di discontinuità eventualmente esistente, a seconda della relazione in essere con l’interessato (contrattuale, istituzionale, di servizio etc.).

5. Presupposti giuridici del trattamento

L’applicabilità dell’art. 122 del Codice alle operazioni di inserimento di tracking pixel nelle e-mail impone, ai sensi del suo comma 2-bis, un divieto generalizzato di trattamento, salvo non ricorra una delle ipotesi di deroga previste dalla stessa norma: a) il previo rilascio del consenso - informato, libero, specifico ed inequivocabile - dell’utente destinatario della comunicazione; b) il ricorrere di fattispecie nelle quali il trattamento dei dati sia necessario, consenta o faciliti l’effettuazione della trasmissione di una comunicazione per via elettronica; c) le operazioni condotte siano necessarie alla fornitura di un servizio di comunicazione online su richiesta degli utenti.

La riconducibilità dei trattamenti di dati effettuati all’una o all’altra di tali ipotesi normative, nel regime di responsabilizzazione del titolare previsto dal Regolamento, compete in prima battuta proprio a quest’ultimo. Ciononostante, con l’intento di fornire utili orientamenti ai soggetti tenuti alla corretta implementazione delle norme, il Garante ritiene che, allo stato attuale delle conoscenze, i titolari possano beneficiare della deroga rispetto all’acquisizione di uno specifico consenso alla ricezione di tracking pixel in un numero rilevante di casi, quali ad esempio:

- ogniqualvolta l’impiego di tracking pixel sia funzionale all’effettuazione di un conteggio di tipo statistico che misuri la percentuale globale di apertura dei messaggi. I risultati di tali misurazioni sono infatti necessari, tra l’altro, al fine di migliorare la deliverability delle e-mail con positive ripercussioni sul servizio di posta elettronica anche a beneficio dell’utente, come pure per contrastare fenomeni di spam. Resta inteso che simili indagini di tipo statistico impongono l’adozione di tecniche di anonimizzazione delle informazioni, in modo da non consentire misurazioni personalizzate. A tal fine, l’Autorità suggerisce l’impego di pixel univoci, cioè non differenziati per ciascun utente, ma uguali per tutti i destinatari di una stessa campagna, come pure l’anonimizzazione degli altri dati tecnici correlati (indirizzo IP, client etc.); in tale fattispecie, tra l’altro, risulta pienamente applicabile la deroga già disciplinata dal WP29, ora EDPB (European Data Protection Board), nel Parere 05/2014 sulle tecniche di anonimizzazione (https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf), ai sensi del quale “l’anonimizzazione, quale trattamento successivo di dati personali, [può] essere considerata compatibile con le finalità originarie del trattamento … a condizione che il processo di anonimizzazione sia tale da produrre informazioni rese anonime nel senso descritto nel presente documento”;

- nell’ipotesi di implementazione di misure di sicurezza che interessano il processo di autenticazione dell’utente, il suo completamento o il suo aggiornamento. In questo caso, l’uso del tracking pixel può ritenersi funzionale a garantire che un determinato messaggio (relativo, ad esempio, alla conferma di attivazione di un account, alla gestione di una richiesta di modifica della password, come pure al soddisfacimento di una richiesta di esercizio dei diritti rilevanti in materia di protezione dei dati personali tra cui quello alla portabilità dei dati, etc.) sia effettivamente aperto su un terminale noto per appartenere all’utente interessato; con ciò configurandosi una ipotesi nella quale le esigenze di sicurezza si sposano a quelle più direttamente connesse alla fornitura del servizio richiesto dall’utente;

- nel caso di messaggi istituzionali o di servizio che il titolare ha l’obbligo giuridico di inoltrare (ad esempio sulla base di taluni istituti del diritto bancario e, a maggior ragione, se riferiti ad attività istituzionali di un soggetto pubblico) e rispetto ai quali rilevi l’effettiva presa di conoscenza del destinatario; ad esempio quelli che recano indicazioni utili su come prevenire azioni di phishing o frodi rispetto a minacce contingenti, come pure sull’opportunità di azionare i rimedi disponibili in caso del verificarsi dell’evento dannoso; le comunicazioni relative a modifiche contrattuali ovvero logistico-organizzative rispetto a eventi programmati, a termini di servizio o ancora alle informative sul trattamento dei dati personali degli interessati; notifiche relative a incidenti di sicurezza; campagne istituzionali informative, ma anche reminder su scadenze e adempimenti contrattuali o contributivi. Al verificarsi di tali eventualità, pertanto, le ragioni poste a fondamento della scriminante rispetto all’obbligo di acquisizione del consenso alla ricezione dei messaggi, che deriva dal carattere cogente degli invii oppure dall’obiettivo perseguito dal mittente, che è di beneficio e tutela dei destinatari sia come singoli che come facenti parte di una collettività, si reputano idonee a consentire la menzionata deroga anche con riferimento all’obbligo di acquisizione del consenso per l’impiego di tracking pixel.

In definitiva, in tutti questi casi l’Autorità, nel bilanciamento degli interessi alla cui valutazione è istituzionalmente preposta, ritiene che l’informazione tratta dall’impiego dei pixel di tracciamento sia funzionale a garantire al destinatario che il servizio (tanto come singolo, quanto quale membro di una collettività e dunque destinatario di una tutela di rilievo sociale) sia reso in modo più efficace ed efficiente, appunto a beneficio dell’interessato stesso.

6. L’acquisizione e la gestione del consenso alla ricezione di tracking pixel nelle e-mail

In tutti i restanti casi nei quali non sia invece possibile avvalersi di una delle ipotesi di deroga previste all’art. 122 del Codice diverse dal consenso (indicate nel precedente paragrafo), il titolare che intenda utilizzare i pixel di tracciamento nelle e-mail avrà l’obbligo della preventiva acquisizione del consenso dei destinatari.

Ciò, ad esempio, ogniqualvolta la misurazione individuale e l’analisi del tasso di apertura delle e-mail siano utilizzate per valutare e migliorare la performance delle campagne promozionali sulla base dei comportamenti osservati: per esempio modificando l’oggetto dei messaggi in caso di basso tasso di apertura o migliorandone la pertinenza, la leggibilità o l’attrattività; per adattare la frequenza o interrompere l’invio in base all’interesse manifestato dal destinatario nei confronti dei messaggi ricevuti, al quale peraltro, in caso di omessa apertura della e-mail, di regola dopo un numero di invii reiterati, determinato dal titolare, il messaggio non viene più riproposto, in quanto ritenuto indesiderato e dunque non commercialmente utile; quando, ancora, si utilizzi il dato relativo alla lettura della e-mail per ricavarne informazioni presunte circa i potenziali gusti, gli interessi e le preferenze attribuibili all’utente allo scopo di creare dei profili commerciali utilizzabili anche per iniziative diverse.

Analogamente a quanto descritto a proposito dell’obbligo di rendere l’informativa, anche nel caso che attiene alla richiesta del consenso dell’interessato l’Autorità ritiene opportuno distinguere tra l’ipotesi in cui i trattamenti di dati che presuppongono l’inoltro di e-mail contenenti i tracking pixel vengano intrapresi in un momento successivo all’entrata in vigore delle presenti Linee Guida e quella in cui questi trattamenti siano invece già in corso (si pensi all’inoltro periodico di newsletter come pure a liste di contatti per ragioni di prospezione commerciale già in uso).

Nel primo caso, il consenso dovrà essere raccolto preferibilmente al momento stesso dell’acquisizione dell’indirizzo di posta elettronica in questione, dopo che - in ossequio alle regole di carattere generale - l’interessato sia stato debitamente informato, come indicato al paragrafo 4 che precede.

Il titolare potrà naturalmente individuare la forma di raccolta del consenso ritenuta più idonea. Resta inteso, tuttavia, che il permanere del carattere occulto connesso all’impiego di tracking pixel determinerebbe l’illiceità del trattamento dei dati correlato. Per questa ragione, il Garante sottolinea nuovamente la necessità che il destinatario acquisisca piena consapevolezza in ordine all’implementazione di tali meccanismi di tracciamento nelle e-mail a lui destinate.

In tale fattispecie, nella quale il consenso dell’interessato alla mera ricezione dei messaggi di tipo commerciale e promozionale potrebbe risultare astrattamente distinto da quello alla ricezione di tracking pixel, l’Autorità ritiene tuttavia possibile considerare la stretta correlazione tra finalità perseguite, come pure la necessità, in una logica di semplificazione, di evitare ridondanti richieste di consenso plurime che spesso si traducono, in concreto, in meccanismi di pressione o di consent fatigue, come tali gravanti sull’interessato.

In questa prospettiva, si ritiene dunque che il consenso alla ricezione degli strumenti di tracciamento in questione possa, in linea di principio, essere ricompreso in quello, più generale, alla ricezione delle comunicazioni promozionali, in modo da consentire che la persona esprima a tal fine un unico consenso informato. Ciò alla condizione, tuttavia, che la richiesta sia formulata in modo neutro e privo di forzature, nel rispetto della manifestazione di volontà dell’interessato.

È inoltre necessario che l’utente che abbia acconsentito al trattamento possa successivamente revocare in modo agevole le scelte pregresse, anche in modo granulare: optando cioè per la revoca del consenso unico prestato, con l’effetto di impedire la futura ricezione di ulteriori messaggi, oppure revocandolo solo parzialmente, con esclusivo riguardo soltanto al tracciamento connesso alla ricezione di tracking pixel.

La possibilità di esercizio del diritto di revoca, anche in forma granulare, potrà allora essere assicurata inserendo, ad esempio, all’interno di ogni messaggio e-mail inviato una icona standardizzata ovvero un link, posizionato nel footer, che conduca l’utente verso un’area dedicata all’esercizio dei suoi diritti. In tale area l’interessato potrà dunque richiedere di cessare l’inoltro di e-mail indesiderate (come già accade ad esempio cliccando sul link “disiscriviti” o simili), ovvero di cessare soltanto la ricezione dei tracking pixel, continuando cioè a ricevere le comunicazioni di posta elettronica prive di tali marcatori.

Anche e a maggior ragione nella diversa ipotesi in cui alla data di entrata in vigore delle presenti Linee Guida siano già in corso trattamenti di dati personali, basati sul consenso o altro valido presupposto giuridico, che comportino l’inoltro al destinatario di e-mail di carattere commerciale con l’impiego di marcatori, il titolare, dopo aver tempestivamente assolto, con il primo invio utile o comunque nel primo momento di discontinuità disponibile allo scopo, ai propri obblighi in materia di informativa, dovrà implementare e rendere noto agli utenti un meccanismo che consenta la revoca anche granulare del consenso, sul modello di quello sopra descritto; avendo cura di individuare, in questa ipotesi, le soluzioni maggiormente improntate alla massima riconoscibilità, visibilità e facilità d’uso a beneficio dell’interessato. Si tratta, ad ogni buon conto, di un regime transitorio, applicabile esclusivamente ai trattamenti già in corso, destinato ad essere progressivamente dismesso via via che nuovi trattamenti di dati personali verranno intrapresi ex novo e saranno dunque assoggettati alla regola della preventiva acquisizione del consenso unico.

Nell’esercizio del diritto di revoca, specie in questo caso, in alcun modo l’utente dovrà essere sollecitato all’adozione di decisioni che non siano improntate alla piena libertà di scelta. In modo particolare, alla persona che intenda rifiutare il tracciamento dovrà essere garantita la piena fruibilità del servizio, che non dovrà comunque subire, per questa sola ragione, alcuna limitazione.

L’Autorità richiama l’attenzione sul fatto che tutte le scelte dell’interessato siano debitamente registrate dal titolare, anche ai fini della dimostrazione cui questi potrebbe essere chiamato, specie in caso di controversie (cfr. art. 7, par. 1 del Regolamento).

Inoltre, anche a corredo delle descritte misure di semplificazione, pur rimettendo all’autonomia decisionale di ciascun titolare la scelta imprenditoriale e operativa che garantisca la più ampia tutela dell’interessato nel pieno rispetto della disciplina applicabile, il Garante, tanto nell’ipotesi di trattamenti in corso quanto in quella di trattamenti successivi all’adozione delle presenti Linee Guida, segnala la necessità dell’adozione di tutte le soluzioni più idonee ad implementare in concreto le regole di privacy by design e by default di cui all’art. 25 del Regolamento.

Tra esse, si ritiene opportuno suggerire che, per ridurre il rischio di identificabilità dei destinatari, nell’utilizzare i pixel di tracciamento il mittente generi un identificativo inintelligibile e non sequenziale e lo associ all’indirizzo di posta elettronica del destinatario, mantenendo tale corrispondenza in un layer interno e separato della piattaforma utilizzata. In tal modo il conteggio degli eventi di apertura del messaggio avverrà per il tramite dell’identificativo, senza che l’indirizzo e-mail sia ricompreso nella richiesta tecnica generata dal caricamento del pixel. Ciò ridurrà l’esposizione dell’indirizzo e-mail minimizzando il rischio di identificabilità dei dati che transitano nella rete.

TUTTO CIÒ PREMESSO, IL GARANTE:

ai sensi dell’art. 154-bis, comma 1, lett. a), del Codice, delibera di adottare le presenti Linee guida affinché i fornitori dei servizi della società dell’informazione di cui all’art. 1, par. 1, punto (b) della direttiva (EU) 2015/1535, nonché i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti di comunicazione elettronica, i provider di servizi di posta elettronica, i gestori di piattaforme per l’inoltro massivo di messaggi e-mail e ogni altro soggetto che, a qualsiasi titolo, faccia uso di tracking pixel, con specifico riguardo ai trattamenti di dati personali relativi all’utilizzo di tali strumenti, tengano conto delle indicazioni e delle semplificazioni illustrate; segnatamente, per quanto concerne:

- il rispetto dei principi di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento con riguardo all’informativa da rendere agli interessati, ai sensi degli artt. 12 ss. del Regolamento medesimo, con particolare riferimento all’inserimento di tracking pixel nelle comunicazioni di posta elettronica ed alla finalità del loro utilizzo (secondo quanto indicato al paragrafo 4 delle presenti Linee Guida).

- il consenso degli utenti in relazione al trattamento, per finalità di tracciamento online, delle informazioni che li riguardano, derivanti dall’uso di tracking pixel nelle comunicazioni di posta elettronica, ai sensi degli artt. 122 del Codice e 4, punto 11) e 7 del Regolamento (secondo i criteri e le modalità indicate al paragrafo 6 delle presenti Linee Guida);

- il rispetto del diritto di revoca del consenso, anche in forma granulare, nei termini di cui all’art. 7, par. 3 del Regolamento (secondo quanto indicato al medesimo paragrafo 6 delle presenti Linee Guida);

- l’implementazione di misure di privacy by design e by default, ai sensi e per gli effetti dell’art. 25 del Regolamento, quali ad esempio quelle indicate al paragrafo 6 delle presenti Linee Guida.

In considerazione della potenziale complessità di eventuali adeguamenti dei sistemi e dei trattamenti già in atto ai principi espressi dalle presenti Linee Guida, l’Autorità reputa congruo individuare un termine pari a 6 mesi dal momento della loro pubblicazione in Gazzetta Ufficiale entro il quale i soggetti tenuti dovranno conformarvisi.

Si dispone la trasmissione di copia delle presenti Linee guida al Ministero della Giustizia-Ufficio pubblicazione leggi e decreti, per la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 17 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Montuori