di Sergio Niger
Con il provvedimento del 17 aprile 2026 (Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica) il Garante per la protezione dei dati ha fornito importanti indicazioni al fine di disciplinare l’uso di traking pixel nell’ordinamento italiano. L’Autorità, nel provvedimento in questione, ha indicato con precisione tecnica e giuridica, gli obblighi di chi utilizza questi strumenti (da tempo presenti, soprattutto, nell’ambito delle attività di digital marketing) a qualsiasi titolo.
L’Autorità è intervenuta a causa del crescente utilizzo di strumenti di tracciamento da parte dei fornitori di servizi, dei gestori di piattaforme o di semplici intermediari, con l’obiettivo anche di monitorare il comportamento degli utenti, sollevando preoccupazioni sulla protezione dei dati personali online. Detti strumenti hanno caratteristiche particolari, potendo agire quali strumenti occulti, non identificabili dall’interessato e, pertanto, connotati da una maggiore invasività. Tra essi devono essere annoverati i pixel di tracciamento, o tracking pixel, nei messaggi di posta elettronica: si tratta di immagini, spesso trasparenti e di dimensioni molto ridotte, pari appunto a un solo pixel, non direttamente contenute nell’e-mail in questione, ma ospitate su server remoti.
Questi strumenti sono in grado di identificare azioni specifiche dell’utente, tra cui l’ora esatta di apertura, il dispositivo utilizzato, l’indirizzo IP del destinatario, ecc. L’uso di questi pixel costituisce un accesso al dispositivo terminale dell’utente, ricadendo nell’ambito di applicazione dell’art. 122 del D.lgs. n. 196/2003 (che ha recepito la direttiva e-Privacy, 2002/58/CE, come modificata dalla direttiva 2009/136/CE). Come rileva il Garante: “a) Innanzitutto, sulla base del meccanismo rappresentato, l’inserimento di un elemento (il pixel) nel corpo della e-mail destinata all’utente nonché la lettura delle informazioni che ne conseguono e che danno conto dell’azione dell’utente in relazione alla avvenuta apertura della e-mail (il tracciamento) sono operazioni conformi alla fattispecie di accesso al terminale disciplinata dall’art. 122 del Codice. Tale conformità interessa la duplice modalità di accesso ivi prevista che, nel caso in esame, si concreta sia nella “archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente” (l’inserimento del pixel di tracciamento nella e-mail) sia nel successivo “accesso a informazioni già archiviate” (la rilevazione, tramite quel pixel, del comportamento dell’utente).
b) In secondo luogo è necessario anche considerare che l’inclusione dei pixel di tracciamento nelle e-mail costituisce un’istruzione, diretta al terminale dell’utente, di inviare informazioni specifiche ai soggetti che li utilizzano come, ad esempio, l’identificativo del pixel, l’indirizzo IP, lo user ID, il message ID, il delivery ID sotto forma di time stamp in relazione all’invio effettivo, eventuali token di sicurezza a presidio dell’integrità del messaggio etc…”
In sostanza, possiamo affermare che di regola i tracciatori sono univoci per singolo destinatario. Queste informazioni vengono comunicate tramite i parametri della richiesta e la loro raccolta da parte del server che ospita l’immagine costituisce un’operazione di lettura sul terminale dell’utente. “Di conseguenza, e conformemente alla posizione espressa dall’EDPB nelle Linee Guida sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva e-Privacy, le disposizioni della direttiva e, di conseguenza, il menzionato art. 122 del Codice, che ne costituisce la disciplina di recepimento a livello nazionale di carattere speciale, si applicano all’uso dei pixel di tracciamento nelle e-mail”.
L’art. 122 è stato introdotto “nell’ordinamento nazionale a seguito del recepimento della direttiva e-Privacy, precedente rispetto alla data della piena operatività degli effetti del Regolamento (UE) 2016/679 e, al pari delle norme di diritto interno che la recepiscono, è tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell’ambito delle comunicazioni elettroniche (cfr., al riguardo, il considerando 173 del Regolamento secondo cui “È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio …”).
La successiva entrata in vigore del Regolamento ha imposto tuttavia un’indagine, tesa a ricercare il coordinamento tra le regole poste. Ad esclusione delle fattispecie disciplinate in via esclusiva dalla direttiva e-Privacy, molte attività di trattamento devono infatti essere ricondotte all’ambito di applicazione tanto della direttiva stessa quanto del Regolamento, con l’avvertenza che, per la parte di potenziale sovrapposizione – in virtù del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall’art. 1, par. 2, della direttiva e-Privacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del Regolamento – ogniqualvolta la direttiva renda più specifiche le prescrizioni del Regolamento, essa, in quanto lex specialis, dovrà essere applicata e prevarrà sulle (più generali) disposizioni del Regolamento. Queste ultime restano, invece, applicabili per tutte quelle fattispecie non espressamente contemplate dalla direttiva nonché per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti. Il Regolamento, infatti, come precisato all’art. 95, “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.
Più nello specifico, in relazione al fenomeno oggetto delle linee guida in questione, occorre ricordare che il Regolamento espressamente afferma, al considerando 30, che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.
Con riferimento, allora, a tale fenomeno, “l’Autorità intende rivolgersi a tutti i soggetti, privati o pubblici, che a qualsiasi titolo intervengano nelle operazioni di utilizzo dei pixel di tracciamento nelle e-mail, con l’intento di: effettuare una ricognizione del diritto applicabile alle operazioni di lettura e di scrittura all’interno del terminale di un utente condotte tramite strumenti di tracciamento occulti, quali i tracking pixel, nelle comunicazioni di posta elettronica; specificare, al riguardo, le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso online degli interessati, ove necessario, alla luce della piena applicazione del Codice e del Regolamento”.
L’impiego di tracking pixel può avvenire ad opera di diversi soggetti, anche eventualmente in accordo tra loro, i quali dovranno, caso per caso, e nel rispetto del principio di accountability di cui all’art. 5, par. 2, del Regolamento, definire i propri ruoli rilevanti dal punto di vista delle norme in materia di protezione dei dati personali, anche eventualmente alla luce della disposizione di cui all’art. 26 del Regolamento sulla contitolarità del trattamento di dati. Tra le figure soggettive in questione è possibile includere: il mittente del messaggio di posta elettronica; il fornitore di servizi di invio e-mail; il fornitore di servizi di noleggio di liste di distribuzione e invio di e-mail; il fornitore della tecnologia di tracciamento; il content creator; il destinatario del messaggio di posta elettronica.
I tracking pixel sono considerati marcatori particolarmente invasivi a causa della loro natura nascosta, e il loro impiego occulto, non noto all’utente, costituisce una violazione del fondamentale principio di correttezza (art. 5, par. 1, lett. a) del Regolamento), che impone lealtà e buona fede da parte del titolare. Pertanto, l’Autorità stabilisce che l’utilizzo di tali pixel nelle e-mail, per qualificarsi lecito, impone a tutti i titolari di informare adeguatamente gli interessati in ossequio al principio di trasparenza (art. 5, par. 1, lett. a)) e agli artt. 12 e seguenti del Regolamento, pena l’inutilizzabilità dei dati raccolti.
Come precisa il Garante, l’applicabilità dell’art. 122 del Codice alle operazioni di inserimento di tracking pixel nelle e-mail impone, ai sensi del suo comma 2-bis, un divieto generalizzato di trattamento, salvo non ricorra una delle ipotesi di deroga previste dalla stessa norma: a) il previo rilascio del consenso – informato, libero, specifico ed inequivocabile – dell’utente destinatario della comunicazione; b) il ricorrere di fattispecie nelle quali il trattamento dei dati sia necessario, consenta o faciliti l’effettuazione della trasmissione di una comunicazione per via elettronica; c) le operazioni condotte siano necessarie alla fornitura di un servizio di comunicazione online su richiesta degli utenti.
In sintesi, in tutti i restanti casi nei quali non sia invece possibile avvalersi di una delle ipotesi di deroga previste all’art. 122 del Codice diverse dal consenso, il titolare che intenda utilizzare i pixel di tracciamento nelle e-mail avrà l’obbligo della preventiva acquisizione del consenso dei destinatari.
L’uso della misurazione individuale e l’analisi del tasso di apertura delle e-mail, ad esempio, per migliorare le campagne promozionali — modificando l’oggetto dei messaggi, migliorandone la pertinenza o l’attrattività, o adattando la frequenza di invio o interrompendola in base all’interesse del destinatario — o ancora per ricavare informazioni presunte su gusti, interessi e preferenze al fine di creare profili commerciali, ricade sotto l’obbligo di consenso. Per quanto riguarda la richiesta di consenso, l’Autorità distingue tra trattamenti intrapresi successivamente all’entrata in vigore delle linee guida e quelli già in corso, come l’inoltro di newsletter o liste di contatti per prospezione commerciale. Nel primo caso, il consenso deve essere raccolto preferibilmente al momento dell’acquisizione dell’indirizzo e-mail, dopo che l’interessato è stato debitamente informato in ossequio alle regole generali, poiché il perdurare del carattere occulto dei tracking pixel renderebbe il trattamento illecito, rendendo cruciale la piena consapevolezza del destinatario circa l’implementazione di tali meccanismi. Nonostante il consenso alla ricezione di messaggi commerciali e quello alla ricezione di tracking pixel siano astrattamente distinti, l’Autorità, in un’ottica di semplificazione e per evitare l’onere di richieste multiple, ritiene possibile ricomprendere il consenso al tracciamento in quello più generale alla ricezione delle comunicazioni promozionali, a condizione che la richiesta sia formulata in modo neutro e non coercitivo. È inoltre necessario che l’utente che ha prestato consenso possa revocarlo agevolmente e in modo granulare, optando per la revoca totale (impedendo l’invio di ulteriori messaggi) o solo parziale, limitata esclusivamente al tracciamento connesso ai tracking pixel.
Tutte le scelte dell’interessato dovranno essere debitamente registrate dal titolare, anche ai fini della dimostrazione cui questi potrebbe essere chiamato, specie in caso di controversie (cfr. art. 7, par. 1, del Regolamento).
Pertanto, il Garante con le linee guida in questione ha deliberato che i fornitori dei servizi della società dell’informazione, i soggetti che offrono servizi online accessibili al pubblico tramite reti di comunicazione elettronica, i provider di servizi di posta elettronica, i gestori di piattaforme per l’inoltro massivo di e-mail e qualsiasi altro soggetto che utilizzi i tracking pixel, sono tenuti a considerare le indicazioni e le semplificazioni previste nelle suddette linee guida per quanto riguarda il trattamento dei dati personali connesso all’uso di tali strumenti. Specificamente, devono assicurare: il rispetto dei principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a) del Regolamento) fornendo l’informativa agli interessati (artt. 12 e ss. del Regolamento) riguardo all’inserimento e alla finalità dei tracking pixel nelle comunicazioni di posta elettronica; l’ottenimento del consenso degli utenti per il trattamento delle informazioni derivanti dall’uso dei tracking pixel per finalità di tracciamento online (ai sensi degli artt. 122 del Codice, e 4, punto 11, e 7 del Regolamento); il rispetto del diritto di revoca del consenso, anche in forma granulare (art. 7, par. 3, del Regolamento); e l’implementazione di misure di privacy by design e by default (art. 25 del Regolamento).
Le linee guida del Garante, richiamando l’attenzione sulla particolare invasività dei tracking pixel, che operano spesso senza la piena consapevolezza del destinatario, perseguono l’obiettivo prioritario di rafforzare (prescrivendo una serie di adempimenti ai soggetti coinvolti) la trasparenza e il controllo degli interessati sui propri dati personali.