Indice

Introduzione

Il 17 aprile 2026 il Garante per la Protezione dei Dati Personali ha adottato il provvedimento n. 284: le Linee guida in materia di utilizzo dei tracking pixel nelle comunicazioni di posta elettronica. È la prima volta che l'Autorità italiana disciplina esplicitamente questo strumento, che da anni è usato in modo diffuso da chiunque invii newsletter, DEM o comunicazioni di marketing automation.

Le linee guida hanno un impatto diretto e immediato su tutte le aziende che usano piattaforme come Mailchimp, ActiveCampaign, HubSpot, Brevo o qualsiasi altro servizio che inserisce pixel di tracciamento nelle email inviate ai propri contatti. Il termine per l'adeguamento è di sei mesi dalla pubblicazione in Gazzetta Ufficiale. Non è una consultazione: è un obbligo con scadenza.

Questo articolo spiega cosa sono i tracking pixel, cosa cambia con le nuove linee guida, a chi si applicano, quali sono le eccezioni e soprattutto cosa fare concretamente nei prossimi mesi.

Cosa sono i tracking pixel e come funzionano

Un tracking pixel è un'immagine di dimensioni minime, tipicamente 1x1 pixel, inserita nel codice HTML di un'email. È invisibile al destinatario perché trasparente o delle stesse dimensioni di un punto. Quando l'email viene aperta e le immagini vengono caricate, il server che ospita il pixel registra automaticamente alcune informazioni: l'apertura del messaggio, la data e l'ora, il dispositivo usato, il client email e, in molti casi, l'indirizzo IP che permette di ricavare una posizione geografica approssimativa.

Questi dati vengono trasmessi alla piattaforma di email marketing e usati per calcolare il tasso di apertura delle campagne, segmentare i contatti in base al comportamento, attivare automazioni (ad esempio inviare un follow-up solo a chi ha aperto la prima email) e valutare l'efficacia delle comunicazioni. È una pratica consolidata nel marketing digitale da oltre vent'anni, e fino ad oggi nessuna normativa italiana l'aveva disciplinata esplicitamente.

Il problema dal punto di vista della privacy è che il tracciamento avviene senza che il destinatario ne sia consapevole e senza che abbia mai fornito un consenso specifico a questa raccolta di dati. L'apertura dell'email è sufficiente per attivare il pixel: non serve nessuna azione volontaria dell'utente.

Cosa cambia con le linee guida del 17 aprile 2026

Le linee guida introducono tre obblighi principali, basati sull'articolo 122 del Codice Privacy e sui principi del GDPR.

Consenso preventivo obbligatorio. L'utilizzo di tracking pixel nelle email richiede il consenso preventivo del destinatario. Il consenso deve essere libero (non condizionato alla ricezione della newsletter), specifico (riferito esplicitamente al tracking, non generico sul trattamento dei dati), informato (il destinatario deve sapere cosa viene tracciato e perché) e inequivocabile (deve essere un'azione positiva, non un'opzione pre-selezionata). Non basta più l'informativa privacy in fondo all'email o il riferimento generico al tracciamento nelle condizioni di iscrizione alla newsletter.

Revoca selettiva. Le aziende devono mettere a disposizione degli utenti un meccanismo per revocare il consenso al solo tracking, separato e distinto dalla disiscrizione alla newsletter. Un utente deve poter continuare a ricevere le comunicazioni rinunciando al tracciamento. Questo implica che le piattaforme di email marketing debbano essere configurate per inviare versioni delle email senza pixel agli utenti che non hanno dato consenso al tracking.

Privacy by design. Le aziende devono implementare misure tecniche e organizzative che riducano al minimo i dati personali raccolti tramite tracking e limitino la circolazione delle informazioni identificative degli utenti. Questo principio, già presente nel GDPR, viene applicato esplicitamente al contesto dei tracking pixel: non si può raccogliere più di quello che è strettamente necessario alla finalità dichiarata.

A chi si applicano le nuove regole

Le linee guida si applicano a tutti i soggetti che utilizzano tracking pixel nelle comunicazioni email: fornitori di servizi della società dell'informazione, provider di posta elettronica, gestori di piattaforme per l'invio massivo di email e, più in generale, qualsiasi organizzazione che inserisce pixel di tracciamento nelle proprie comunicazioni digitali.

Non esiste una soglia dimensionale: la norma si applica indipendentemente dalla dimensione dell'azienda, dal numero di contatti nel database o dal volume di email inviate. Una PMI con 500 iscritti alla newsletter è soggetta alle stesse regole di una multinazionale con milioni di contatti. L'unica discriminante è l'uso o meno di tracking pixel nelle comunicazioni email.

Le eccezioni previste

Le linee guida prevedono eccezioni limitate, nel rispetto dei principi di proporzionalità e minimizzazione dei dati. Le eccezioni riguardano tre casi specifici: finalità di sicurezza (tracking necessario per rilevare accessi non autorizzati o attività anomale), necessità tecniche strettamente necessarie al funzionamento del servizio (non alla sua ottimizzazione) e comunicazioni istituzionali dove il tracciamento è proporzionato alla finalità pubblica.

È importante sottolineare cosa non rientra nelle eccezioni: le newsletter commerciali o editoriali, le DEM promozionali, le comunicazioni di marketing automation, i messaggi transazionali usati per attivare segmentazioni comportamentali. La newsletter di un ecommerce, la DEM di uno studio professionale, la comunicazione di follow-up di una piattaforma SaaS: tutte queste sono comunicazioni commerciali che richiedono consenso preventivo al tracking.

Cosa devono fare concretamente le aziende

I passi da seguire per adeguarsi entro la scadenza sono quattro.

Passo 1: audit delle comunicazioni email in uso. Verifica quali delle tue comunicazioni email contengono tracking pixel. La risposta, se usi qualsiasi piattaforma di email marketing professionale, è quasi certamente: tutte. La maggior parte delle piattaforme inserisce pixel di apertura per default in ogni campagna inviata. Controlla nelle impostazioni della tua piattaforma se questa funzione è attiva.

Passo 2: aggiornamento dell'informativa privacy. L'informativa privacy deve essere aggiornata per includere una sezione specifica sul tracking pixel: cosa viene tracciato, per quale finalità, per quanto tempo i dati vengono conservati, chi ha accesso ai dati (incluso il provider della piattaforma di email marketing) e come esercitare i diritti di revoca e opposizione.

Passo 3: implementazione del consenso specifico al tracking. Il flusso di iscrizione alla newsletter (e in generale qualsiasi punto di raccolta dei contatti email) deve includere una casella di consenso specifica per il tracking, separata dal consenso alla ricezione delle comunicazioni. Non può essere pre-selezionata. Il testo deve essere chiaro e non tecnico.

Passo 4: creazione di un meccanismo di revoca selettiva. Ogni email deve includere, oltre al link di disiscrizione, un link o un meccanismo per revocare il solo consenso al tracking. Questo implica che la piattaforma di email marketing sia configurata per gestire questa preferenza e per inviare versioni delle email senza pixel agli utenti che non hanno dato o hanno revocato il consenso.

Alcune piattaforme di email marketing stanno già implementando questi strumenti nelle proprie interfacce. Verifica con il tuo provider se sono già disponibili funzionalità di gestione del consenso al tracking granulare, o se è necessario implementare soluzioni personalizzate.

Le principali piattaforme e come adeguarsi

Le piattaforme di email marketing più usate in Italia (Mailchimp, ActiveCampaign, HubSpot, Brevo, Klaviyo) permettono tutte di disattivare il tracking di apertura a livello di campagna o di contatto. Questo non è sufficiente per la compliance automatica, ma è il punto di partenza tecnico per implementare il flusso richiesto dalle linee guida.

Il percorso tipico di adeguamento su queste piattaforme prevede: disattivare il tracking di default per tutti i contatti, creare un campo personalizzato che registra il consenso specifico al tracking, attivare il pixel solo per i contatti che hanno fornito quel consenso, e collegare il meccanismo di revoca al campo personalizzato in modo che la preferenza si aggiorni automaticamente.

Alcune piattaforme hanno già rilasciato o hanno annunciato aggiornamenti specifici per la compliance con le linee guida italiane. Prima di implementare soluzioni personalizzate, verifica le note di aggiornamento del tuo provider o contatta il supporto per sapere quali strumenti nativi sono disponibili.

Le sanzioni per il mancato adeguamento

Le linee guida del Garante non introducono sanzioni autonome: fanno riferimento al quadro sanzionatorio già previsto dal Codice Privacy e dal GDPR. Le violazioni in materia di consenso e trasparenza rientrano nelle sanzioni più elevate del GDPR: fino a 20 milioni di euro o al 4% del fatturato annuo globale dell'anno precedente, applicando la cifra più alta tra le due.

Per le PMI italiane, il rischio principale non è la sanzione massima ma il procedimento istruttorio: una segnalazione di un utente al Garante può avviare un'istruttoria che, indipendentemente dall'esito, comporta costi di gestione, tempo e potenziale impatto reputazionale. Adeguarsi nei sei mesi previsti è il modo più efficiente per evitare questo scenario.

Conclusione

Le linee guida del Garante sui tracking pixel nelle email non sono una sorpresa per chi conosce il GDPR: applicano principi già presenti nella normativa europea a una pratica che era rimasta in un'area grigia per anni. Il segnale è chiaro: il tracciamento silenzioso degli utenti nelle email non è più tollerato.

Per le aziende che usano email marketing, il percorso di adeguamento è definito e realizzabile nei sei mesi disponibili. Non richiede di abbandonare il tracking: richiede di ottenerlo con il consenso esplicito degli utenti. Chi costruisce questo rapporto di fiducia in modo trasparente ha anche un vantaggio competitivo: i contatti che danno consenso consapevole al tracking sono più ingaggiati e i dati raccolti su di loro sono più affidabili.

Se hai bisogno di supporto per valutare l'impatto di queste linee guida sulla tua strategia di email marketing, il punto di partenza è sempre l'audit delle comunicazioni in uso e una consulenza con un Data Protection Officer o uno studio legale specializzato in privacy.

Le domande più comuni

Cosa sono i tracking pixel nelle email e perché il Garante li ha regolamentati?
I tracking pixel sono immagini invisibili di 1x1 pixel inserite nel codice HTML delle email che registrano automaticamente l'apertura del messaggio, il dispositivo, l'ora e la posizione geografica approssimativa del destinatario. Il Garante li ha regolamentati perché la raccolta di questi dati avviene senza consenso esplicito dell'utente, in contrasto con i principi di trasparenza e consenso del GDPR.

Entro quando le aziende devono adeguarsi alle nuove linee guida?
Le aziende hanno sei mesi dalla pubblicazione delle linee guida in Gazzetta Ufficiale per adeguarsi. Il provvedimento è stato adottato il 17 aprile 2026. La scadenza esatta dipende dalla data di pubblicazione in Gazzetta, generalmente entro poche settimane dall'adozione del provvedimento.

Devo chiedere il consenso al tracking anche per le email transazionali?
Le email strettamente transazionali (conferma ordine, reset password, notifiche di sistema) possono rientrare nelle eccezioni per necessità tecniche, purché il tracking sia limitato a finalità strettamente necessarie al servizio e non usato per profilazione o marketing. Se le email transazionali vengono usate anche per attivare automazioni di marketing, il consenso è necessario.

Posso continuare a misurare i tassi di apertura delle mie newsletter?
Sì, ma solo per i contatti che hanno dato consenso esplicito al tracking. Per gli altri, dovrai inviare versioni delle email senza pixel. Questo significa che le metriche di apertura saranno calcolate su un sottoinsieme dei tuoi contatti (quelli consensuali), non sull'intera lista. Molte piattaforme stanno sviluppando metodi alternativi di misurazione che non richiedono pixel individuali.

Il consenso alla newsletter include automaticamente il consenso al tracking?
No. Le linee guida richiedono che il consenso al tracking sia specifico e separato dal consenso alla ricezione delle comunicazioni. Un utente può iscriversi alla newsletter senza acconsentire al tracking. I due consensi devono essere raccolti con caselle distinte e non pre-selezionate.

Cosa succede se un utente revoca il consenso al tracking?
Devi smettere immediatamente di inviare email con tracking pixel a quel contatto e aggiornare il suo profilo nella piattaforma di email marketing. L'utente deve continuare a ricevere le comunicazioni a cui è iscritto, ma nella versione senza pixel. La revoca del consenso al tracking non equivale alla disiscrizione dalla newsletter.

Qual è la sanzione per chi non si adegua entro la scadenza?
Le violazioni rientrano nel quadro sanzionatorio del GDPR: fino a 20 milioni di euro o al 4% del fatturato annuo globale, applicando la cifra più alta. Per le PMI il rischio più concreto è l'avvio di un'istruttoria del Garante a seguito di segnalazione, con i relativi costi di gestione e impatto reputazionale.