Cosa sono i tracking pixel e perché il Garante è intervenuto
I tracking pixel sono immagini trasparenti e di dimensioni estremamente ridotte, pari a un solo pixel, non direttamente contenute nell'email, ma ospitate su server remoti. Al momento dell'apertura del messaggio, un codice HTML inserito nell'email aziona automaticamente una richiesta al server del mittente, consentendo a quest'ultimo di ottenere informazioni sull'avvenuta apertura della e-mail, sull'indirizzo IP del destinatario, sul tipo di dispositivo utilizzato, sul tempo di consultazione e sul numero di aperture successive. Tali strumenti operano, di solito, in maniera occulta: la visualizzazione del pixel non ha alcun valore informativo per l'utente e non è da questi neppure percepita, date le dimensioni e la trasparenza del pixel stesso. I dati raccolti sono tipicamente univoci per ciascun destinatario, il che consente una tracciabilità individualizzata.
Il provvedimento evidenzia che i tracking pixel vengono utilizzati pressoché nella totalità dei casi dalle piattaforme di e-mail marketing, per finalità che spaziano dalla verifica della corretta ricezione dei messaggi al contrasto dello spam, dalla misurazione dell'audience alla personalizzazione delle comunicazioni, fino all'identificazione di attività di phishing. Il loro impiego interessa tanto le comunicazioni commerciali e promozionali quanto quelle di servizio o istituzionali.
L'art. 122 del Codice Privacy
Sotto il profilo giuridico, il Garante qualifica l'inserimento dei tracking pixel come operazione conforme alla fattispecie di accesso al terminale dell'utente disciplinata dall'art. 122 del D.Lgs. 196/2003, c.d. “Codice Privacy”, come modificato a seguito del recepimento nell’ordinamento italiano della direttiva 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, c.d “e-Privacy”. Tale norma pone un divieto generalizzato di archiviazione e accesso a informazioni nel terminale dell'utente, salvo il ricorrere di specifiche deroghe: il previo rilascio del consenso informato, libero, specifico e inequivocabile del destinatario, la necessità di effettuare la trasmissione di una comunicazione elettronica, la stretta necessità per la fornitura di un servizio esplicitamente richiesto dall'utente.
Obbligo di informativa: trasparenza come condizione di liceità
L'Autorità afferma con forza che l'impiego di tracking pixel è lecito esclusivamente a condizione che il destinatario sia preventivamente informato, quale che sia lo scopo della comunicazione o la tipologia del mittente. La violazione di tale obbligo integra innanzitutto una lesione del principio di correttezza di cui all'art. 5, par. 1, lett. a) del GDPR. L'informativa potrà essere resa su più livelli e anche attraverso canali multipli, quali pop-up informativi, chatbot o assistenti virtuali. Per i trattamenti già in corso, il titolare potrà sfruttare il primo messaggio utile o il primo momento di discontinuità nella relazione con l'interessato per integrare le informazioni mancanti.
Quando il consenso non è necessario
Il Garante individua, poi, alcune ipotesi in cui i titolari possono beneficiare della deroga al consenso. In primo luogo, quando l'impiego del tracking pixel è funzionale a un conteggio statistico anonimizzato del tasso di apertura globale dei messaggi, a condizione che vengano utilizzati pixel standardizzati, cioè non differenziati per ciascun utente, e che gli altri dati tecnici correlati (indirizzo IP, client) siano anonimizzati. In secondo luogo, nell'ambito di misure di sicurezza connesse al processo di autenticazione dell'utente, ad esempio la conferma di attivazione di un account o la gestione di una modifica password. Infine, nel caso di messaggi istituzionali o di servizio che il titolare ha l'obbligo giuridico di inoltrare, come comunicazioni bancarie obbligatorie, notifiche di incidenti di sicurezza o campagne istituzionali informative.
Quando il consenso è necessario: marketing e profilazione
In tutti gli altri casi, e in particolare quando la misurazione individuale del tasso di apertura è utilizzata per valutare la performance di campagne promozionali, adattare la frequenza di invio sulla base del comportamento osservato, o ricavare informazioni su gusti e preferenze dell'utente a fini di profilazione, il titolare avrà l'obbligo di acquisire preventivamente il consenso dello stesso. Il Garante ammette, in una logica di semplificazione e per evitare fenomeni di “consent fatigue”, che il consenso alla ricezione dei tracking pixel possa essere ricompreso in quello più generale alla ricezione delle comunicazioni promozionali, purché la richiesta sia formulata in modo neutro e privo di forzature. L'utente deve inoltre poter revocare in modo agevole e granulare le scelte pregresse: optando per la revoca del consenso unico, con cessazione di ogni comunicazione, oppure revocandolo soltanto con riguardo al tracciamento, continuando a ricevere le email prive di pixel.
Il filo rosso della posta elettronica: un parallelo con il provvedimento sull'accesso alle email post-rapporto di lavoro
A poche settimane di distanza dalle Linee Guida sui tracking pixel, il Garante aveva pubblicato il provvedimento n. 165 del 12 marzo 2026, con il quale ha sanzionato con 50.000 euro una compagnia assicurativa per aver negato a un ex dipendente l'accesso integrale ai messaggi della propria casella email aziendale e ai documenti salvati nel PC dopo la cessazione del rapporto di lavoro. Secondo il Garante, il diritto di accesso ex art. 15 GDPR si estende a tutti i dati personali contenuti nell'account email aziendale individualizzato, senza che il titolare possa operare una selezione preventiva distinguendo tra comunicazioni "personali" e "professionali".
Il provvedimento ha suscitato critiche significative tra gli esperti del settore, che hanno evidenziato come un'interpretazione così estensiva del diritto di accesso rischi di non tenere adeguatamente conto delle esigenze legittime del datore di lavoro, dalla tutela dei segreti aziendali ai diritti dei terzi le cui comunicazioni sono inevitabilmente contenute nella casella di posta, e possa di fatto trasformare l'art. 15 GDPR in uno strumento improprio di discovery pre-contenziosa.
Se letti congiuntamente, i due provvedimenti restituiscono un messaggio chiaro: la posta elettronica è oggi al centro dell'attenzione regolatoria del Garante in modo trasversale. Da un lato, le Linee Guida sui tracking pixel impongono obblighi rigorosi di trasparenza e consenso a chi invia e-mail contenenti strumenti di tracciamento occulti, un intervento che si muove nel solco della migliore tradizione della protezione dati. Dall'altro, il provvedimento sull'accesso alle e-mail ex dipendente estende in modo significativo i diritti di chi riceve e-mail nel contesto lavorativo, con implicazioni operative che molte imprese non hanno ancora adeguatamente valutato. Il filo conduttore è l'attenzione del Garante alla tutela dell'interessato nel contesto delle comunicazioni elettroniche, ma la coerenza complessiva dell'approccio merita una riflessione critica: se la trasparenza e il rispetto dell'autonomia dell'interessato sono principi importanti quando si tratta di pixel invisibili, ci si sarebbe attesi (auspicando magari una correzione in corsa dell’orientamento) un bilanciamento altrettanto ponderato tra i diritti dell'ex dipendente e le legittime esigenze dell'impresa nel primo provvedimento.
Azioni raccomandate
I titolari del trattamento dovrebbero procedere senza indugio a mappare tutti i flussi di comunicazione e-mail che prevedano l'utilizzo di tracking pixel, verificare e aggiornare le informative privacy, implementare o adeguare i meccanismi di acquisizione e revoca granulare del consenso, e adottare le misure di privacy by design suggerite dal Garante. Il termine di adeguamento di sei mesi dalla pubblicazione in Gazzetta Ufficiale non deve ingannare, in quanto l'esperienza insegna che gli interventi su infrastrutture di e-mail marketing e piattaforme di invio massivo richiedono tempi di implementazione significativi. La raccomandazione è pertanto quella di avviare quanto prima un assessment interno e di coinvolgere il DPO e i fornitori di servizi di e-mailing nella pianificazione degli adeguamenti necessari.
