Nelle email che arrivano ogni giorno nelle caselle di posta, newsletter, comunicazioni commerciali, aggiornamenti di servizio, si nasconde spesso uno strumento di raccolta dati che opera in modo del tutto silenzioso. Il Garante per la protezione dei dati personali ha adottato il 21 aprile 2026 le Linee guida sull’utilizzo dei tracking pixel nelle comunicazioni email, un provvedimento che stabilisce obblighi precisi per chiunque faccia uso di queste tecnologie e fissa una scadenza di sei mesi dalla pubblicazione in Gazzetta Ufficiale per mettersi in regola.
Cosa registra davvero un tracking pixel
Un tracking pixel è un’immagine trasparente di dimensioni infinitesimali, invisibile all’occhio di chi legge il messaggio. La sua funzione è semplice: appena la mail viene aperta, il pixel invia automaticamente una serie di informazioni al mittente.
Queste informazioni possono includere il fatto che il messaggio è stato letto, l’orario esatto in cui è avvenuta l’apertura, il tipo di dispositivo utilizzato, smartphone, computer, tablet e, in alcuni casi, una stima della posizione geografica del destinatario. Tutto avviene senza che l’utente compia alcuna azione consapevole e, nella grande maggioranza dei casi, senza che ne sia stato informato in anticipo. È proprio questa caratteristica che ha spinto il Garante a intervenire con una disciplina specifica: l’Autorità ha richiamato l’attenzione sulla particolare invasività di queste tecnologie, sottolineando come operino spesso al di fuori della consapevolezza del destinatario, in una zona grigia che le linee guida intendono ora delimitare con precisione.
Il quadro normativo di riferimento è l’articolo 122 del Codice privacy, che regola l’accesso alle informazioni presenti nei dispositivi degli utenti e il monitoraggio del comportamento online. In base a questa norma, l’impiego dei tracking pixel richiede nella generalità dei casi un consenso preventivo, libero, specifico e informato da parte del destinatario. Le eccezioni ammesse sono circoscritte: il tracciamento rimane possibile senza consenso quando serve a garantire la sicurezza delle comunicazioni, quando risponde a esigenze tecniche strettamente necessarie o quando si inserisce in comunicazioni istituzionali e di servizio, a condizione che siano rispettati i principi di proporzionalità e minimizzazione dei dati.
Chi deve adeguarsi e in quanto tempo
Le linee guida si rivolgono a una platea ampia di soggetti. Rientrano nel perimetro del provvedimento i fornitori di servizi della società dell’informazione, i gestori di piattaforme per l’invio massivo di email, i provider di posta elettronica, i soggetti che offrono servizi online accessibili al pubblico e, più in generale, qualunque operatore che utilizzi tracking pixel nelle proprie comunicazioni. Per tutti, la scadenza per adeguarsi è fissata a sei mesi dalla pubblicazione delle Linee guida in Gazzetta Ufficiale. Oltre all’obbligo del consenso, il provvedimento introduce ulteriori prescrizioni operative: i mittenti dovranno fornire agli utenti un’informativa chiara e trasparente sull’utilizzo dei pixel, garantire modalità semplici per revocare il consenso anche in modo selettivo e adottare misure di privacy by design e privacy by default, con l’obiettivo di ridurre il rischio di identificazione degli utenti e contenere la circolazione dei dati personali lungo tutta la catena di trattamento.
