Tracking pixel nelle email: cosa cambia con le Linee guida del Garante 2026
Il provvedimento n. 284 del 17 aprile 2026 qualifica il tracking pixel come accesso al terminale ex art. 122 Codice Privacy. Per il marketing serve consenso preventivo; per il conteggio anonimo, la sicurezza e le comunicazioni istituzionali si applicano deroghe. Termine di adeguamento: 28 ottobre 2026.
In sintesi. Il provvedimento del Garante n. 284 del 17 aprile 2026 (GU n. 98 del 29 aprile 2026) qualifica il tracking pixel nelle email come accesso al terminale dell’utente ai sensi dell’art. 122 del Codice Privacy. Per il marketing serve consenso preventivo; per il conteggio statistico anonimo, la sicurezza e le comunicazioni istituzionali obbligatorie il consenso non è richiesto. Termine per adeguarsi: 28 ottobre 2026.
La portata delle nuove Linee guida
Per anni l’email marketing italiano ha operato in zona grigia. Le piattaforme di marketing automation inserivano tracking pixel di default in ogni invio, raccogliendo aperture, IP, dispositivo e geolocalizzazione approssimativa, spesso senza informativa specifica e senza consenso dedicato. La giustificazione standard era che si trattasse di “metriche tecniche di servizio”, non di profilazione.
Le Linee guida del 17 aprile 2026 chiudono questo spazio. Il Garante prende posizione su un punto che la dottrina dibatteva da anni: il tracking pixel è uno strumento di tracciamento del terminale al pari del cookie, e quindi ricade nell’art. 122 del Codice Privacy. La conseguenza pratica è che il regime applicabile non è più la disciplina generale del GDPR sul legittimo interesse, ma quello speciale della direttiva ePrivacy: divieto generale, salvo consenso o deroghe tassative.
Il provvedimento si allinea così alle Linee guida EDPB 2/2023 sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva ePrivacy, adottate il 7 ottobre 2024, e completa il quadro che il Garante aveva già tracciato per i cookie con il provvedimento n. 231/2021. Era l’ultimo tassello mancante per fermare l’arbitraggio normativo tra “cookie regolamentato” e “pixel non regolamentato”.
Punto chiave. Le Linee guida non aggiungono un nuovo obbligo. Chiariscono che un obbligo già esistente — l’art. 122 del Codice Privacy, in vigore dal 2012 — si applica anche al tracking pixel nelle email. Chi non si è adeguato finora era già in violazione: il termine del 28 ottobre 2026 è una finestra di sanatoria, non una proroga.
Il pixel come accesso al terminale: la qualificazione giuridica
Il Garante ricostruisce il meccanismo tecnico per dimostrare l’applicabilità dell’art. 122. Quando il destinatario apre l’email, il client di posta scarica l’immagine-pixel da un server remoto. Quel download comporta due operazioni:
- l’archiviazione dell’immagine sul terminale dell’utente
- l’accesso a informazioni (IP, user agent, message ID, timestamp) generate dalla richiesta HTTP
Entrambe le operazioni rientrano nella formulazione letterale dell’art. 122, comma 1, del Codice Privacy, che vieta «l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate» senza consenso preventivo informato.
Il Garante aggiunge un dettaglio tecnico rilevante: i tracking pixel sono di regola univoci per singolo destinatario, cioè diversi per ogni email inviata. Questo li distingue dal pixel-conteggio aggregato e li avvicina ai cookie di profilazione.
La fonte normativa primaria è quindi l’art. 122 del d.lgs. 196/2003, che recepisce l’art. 5, par. 3, della direttiva 2002/58/CE (ePrivacy). Il GDPR resta applicabile come cornice generale (informativa ex artt. 12-14, requisiti del consenso ex art. 7, accountability ex art. 5, par. 2), ma il regime speciale ePrivacy prevale per le specifiche operazioni di lettura/scrittura sul terminale.
Quando il consenso non serve: le quattro deroghe
Il Garante identifica quattro ipotesi in cui il pixel può essere utilizzato senza consenso. L’informativa, però, resta sempre dovuta.
1. Conteggio statistico aggregato e anonimo. Misurazione del tasso globale di apertura per migliorare la deliverability o contrastare lo spam. Condizioni operative tassative:
- pixel non univoco: identico per tutti i destinatari della stessa campagna
- anonimizzazione dell’IP e degli altri dati tecnici correlati
- nessuna possibilità di risalire al singolo utente
In pratica significa che il pixel deve essere usato come un contatore aggregato, non come un identificatore individuale. La maggior parte delle piattaforme di email marketing oggi non funziona così: usano pixel univoci per default. Per beneficiare della deroga occorre una configurazione specifica.
2. Sicurezza dell’autenticazione. Conferma di attivazione account, reset password, verifica di richieste sui diritti dell’interessato. Il pixel verifica che il messaggio sia effettivamente arrivato sul terminale dell’utente legittimo.
3. Comunicazioni istituzionali o obbligatorie. Notifiche di data breach, comunicazioni su modifiche contrattuali, alert su frodi e phishing, reminder su scadenze contrattuali, campagne istituzionali della PA. Qui la deroga si fonda sull’interesse del destinatario a ricevere e leggere il messaggio.
4. Email transazionali strettamente legate alla trasmissione. Quando il pixel è funzionale alla sola consegna del messaggio, senza raccogliere dati ulteriori. È un’ipotesi residuale: tipicamente le piattaforme transazionali (Sendgrid, Brevo, Postmark) raccolgono comunque metriche di apertura non strettamente necessarie alla consegna.
Attenzione. La deroga “statistico-anonima” è quella su cui le aziende investiranno di più, perché copre buona parte dell’analisi di performance. Ma richiede una riconfigurazione tecnica della piattaforma di invio: pixel non differenziato per utente, anonimizzazione IP, nessun collegamento al CRM. Se il fornitore non offre questa modalità, la deroga non è disponibile.
Quando il consenso serve: marketing, profilazione, A/B testing
Fuori dalle quattro deroghe, il pixel richiede consenso preventivo, libero, specifico, informato e inequivocabile (art. 7 GDPR e art. 122 Codice Privacy). Il Garante elenca esplicitamente i casi tipici:
- misurazione individuale del tasso di apertura per valutare le performance di campagna
- modifica dell’oggetto delle email in base al tasso di apertura per singolo destinatario
- adattamento della frequenza di invio in base all’engagement
- interruzione automatica degli invii a chi non apre da N invii
- inferenze su gusti, interessi, preferenze per arricchire profili commerciali nel CRM
- A/B testing che richieda misurazione individuale
- attribution multitouch sui flussi di marketing automation
Tradotto: praticamente tutto l’email marketing moderno basato su engagement scoring richiede consenso. Le piattaforme che vendono “deliverability optimization” basata su pixel univoci ricadono in questa categoria.
Consenso unico o consenso separato: cosa dice il Garante
Qui il provvedimento sorprende, ed è un punto su cui molti commenti circolati nelle ultime settimane sono inesatti. Il Garante non chiede un consenso separato per il tracking pixel rispetto al consenso al ricevimento della newsletter. Al contrario, riconosce che la stretta correlazione tra finalità e l’esigenza di evitare la consent fatigue giustificano un consenso unico informato che copra entrambe le finalità.
La condizione è una sola: la richiesta deve essere formulata «in modo neutro e privo di forzature», nel rispetto della libertà di scelta. In concreto, il modulo di iscrizione può chiedere un solo “sì” purché l’informativa sia chiara nel descrivere che si riceveranno email contenenti tracking pixel per finalità di analisi e profilazione.
Il punto è politicamente significativo. Il Garante sceglie un approccio pragmatico: meglio un consenso unico ma realmente informato che dieci checkbox separate compilate senza leggere. È la stessa logica delle Linee guida cookie 2021, dove il banner “accetta tutto” è ammesso a condizione che ci sia anche “rifiuta tutto” in pari grado.
Consiglio operativo. Il consenso unico è ammesso ma non è obbligatorio. Per soggetti con particolare esposizione (PA, settore sanitario, banche, assicurazioni) può convenire mantenere comunque due consensi distinti: documenta meglio l’accountability e regge meglio in caso di contestazione. La scelta è del titolare, ma va motivata e documentata.
La revoca granulare: il vero punto operativo
Se il consenso è unico, la revoca deve essere granulare. Questo è il vero requisito implementativo nuovo del provvedimento. L’utente che ha acconsentito deve poter scegliere fra:
- revocare tutto: niente più email
- revocare solo il tracking: continuare a ricevere le email, ma senza pixel
Il Garante suggerisce una soluzione tecnica precisa: icona standardizzata o link nel footer di ogni email che porta a un’area dedicata dove l’utente esercita la scelta. Non è il classico link “disiscriviti”: è un centro preferenze a due livelli.
Sul piano tecnico, “ricevere email senza pixel” significa che la piattaforma di invio deve essere in grado di generare due flussi separati per gli utenti che hanno revocato solo il tracciamento. Pochissime piattaforme lo offrono out-of-the-box oggi. È il punto su cui i fornitori di marketing automation dovranno investire entro ottobre.
Configurazione richiesta per stato del consenso
| Stato consenso utente | Email inviabili | Tracking pixel | Dati raccoglibili |
|---|---|---|---|
| Consenso pieno | Sì, marketing e servizio | Sì, univoco | Apertura individuale, IP, dispositivo |
| Revoca parziale (no tracking) | Sì, marketing e servizio | No | Solo invio confermato, niente metriche individuali |
| Revoca totale | No (solo email obbligatorie ex deroghe) | Solo se in deroga | Solo dati aggregati anonimi |
| Nessun consenso (nuovo iscritto) | No | No | — |
Il regime transitorio per chi tratta già
Le aziende che alla data delle Linee guida hanno già liste di contatti attive e flussi di email marketing in corso non devono raccogliere un nuovo consenso da zero. Il Garante prevede un regime transitorio specifico (par. 6 del provvedimento):
- al primo invio utile, o nel primo momento di discontinuità (rinnovo iscrizione, modifica preferenze, scadenza contrattuale), va fornita l’informativa aggiornata
- va implementato il meccanismo di revoca granulare descritto sopra
- gli utenti che non revocano si considerano confermati nel consenso esistente, purché la base giuridica originaria fosse valida
Il regime transitorio si esaurisce automaticamente: tutti i nuovi iscritti dopo l’entrata in vigore delle Linee guida vanno trattati con il regime ordinario (consenso unico o separato preventivo).
Attenzione. Se il consenso originario è stato raccolto in modo non conforme (caselle preselezionate, consenso forzato come condizione di servizio, informativa generica), il regime transitorio non sana il vizio. Va riacquisito un consenso valido. La verifica della validità storica dei consensi è il primo passo dell’audit.
Checklist operativa per adeguarsi entro il 28 ottobre 2026
- Mappa i flussi email. Per ogni invio (newsletter, DEM, transazionale, di servizio), documenta: chi è il mittente, chi è il fornitore, quale piattaforma, quale tipo di pixel (univoco o aggregato), quali dati vengono raccolti, dove sono conservati.
- Verifica i consensi storici. Per le liste già attive, controlla che il consenso sia stato acquisito in modo libero, specifico e documentato. I consensi viziati vanno riacquisiti.
- Decidi la strategia per ciascun flusso. Per ogni invio, scegli: rientro in deroga (statistico anonimo, sicurezza, istituzionale) oppure consenso preventivo. Documenta la scelta nel registro dei trattamenti.
- Riconfigura la piattaforma di invio. Per i flussi in deroga statistica, attiva pixel non univoco e anonimizzazione IP. Se il fornitore non lo permette, valuta cambio piattaforma.
- Aggiorna l’informativa privacy. Indica esplicitamente l’uso del tracking pixel, le finalità, i soggetti coinvolti, il periodo di conservazione, il diritto di revoca anche granulare.
- Implementa il consenso conforme. Aggiorna i moduli di iscrizione: niente caselle preselezionate, niente condizionamento del servizio, formulazione neutra. Decidi se consenso unico o separato.
- Implementa la revoca granulare. Aggiungi nel footer di ogni email un link a un centro preferenze a due livelli: revoca totale e revoca solo del tracciamento. Verifica che la piattaforma supporti l’invio senza pixel ai revocanti parziali.
- Aggiorna i contratti con i fornitori. Rivedi i DPA con piattaforme di emailing, fornitori di liste, agenzie di marketing. Inserisci clausole specifiche sulla configurazione del pixel e sul rispetto delle Linee guida.
- Aggiorna registro dei trattamenti e DPIA. Per i trattamenti con profilazione individuale, valuta se è dovuta la DPIA ex art. 35 GDPR. Aggiorna il registro ex art. 30.
- Forma chi gestisce le campagne. Marketing, sales, customer care: chi tocca le email deve sapere cosa è ammesso e cosa no. Documenta la formazione.
Come ti aiutiamo
Lo Studio Legale Calzoni offre un servizio strutturato di audit e adeguamento al provvedimento Garante n. 284/2026 rivolto a imprese, pubbliche amministrazioni e operatori di email marketing. L’audit include la mappatura dei flussi email, la verifica dei consensi storici, la revisione di informative e moduli, la valutazione dei contratti con i fornitori, la definizione del piano di adeguamento entro il 28 ottobre 2026.
FAQ
Il tracking pixel è giuridicamente equiparato al cookie? Sì. Il Garante chiarisce che ricade nello stesso regime dell’art. 122 Codice Privacy, perché realizza un accesso al terminale dell’utente. I presidi giuridici (informativa più consenso, salvo deroghe) sono i medesimi.
Le piattaforme come Mailchimp, Brevo, ActiveCampaign restano utilizzabili? Sì, ma vanno configurate correttamente. In particolare va attivata, dove disponibile, l’opzione di disabilitazione del tracking pixel univoco, e va sottoscritto un DPA aggiornato che recepisca le Linee guida.
Se l’utente blocca il caricamento delle immagini, il pixel non si carica. Serve comunque informativa e consenso? Sì. Il blocco lato utente è una scelta dell’interessato, non una conformità del titolare. L’obbligo grava sul mittente, indipendentemente da come il client di posta sia configurato.
Le email transazionali (conferme d’ordine, fatture, ricevute) richiedono consenso al pixel? Dipende. Se il pixel raccoglie solo dati strettamente necessari alla consegna, può rientrare in deroga. Se raccoglie statistiche di apertura individuali per finalità di analisi commerciale, serve consenso. Vale la pena disabilitarlo per default sui flussi transazionali.
Il soft opt-in dell’art. 130, comma 4, Codice Privacy giustifica anche il tracking pixel? No. Il soft opt-in legittima l’invio della comunicazione commerciale a chi ha già acquistato un prodotto o servizio analogo, ma non copre automaticamente l’inserimento di tracking pixel. Per il pixel, anche in regime di soft opt-in, va valutata l’ipotesi di deroga statistica anonima oppure va raccolto un consenso specifico.
Quali sanzioni rischio se non mi adeguo entro il 28 ottobre 2026? Il regime sanzionatorio è quello dell’art. 166 del Codice Privacy e dell’art. 83 GDPR: fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo globale. A queste si aggiungono limitazione del trattamento e obbligo di cancellazione dei dati raccolti illecitamente.
La PA che invia newsletter istituzionali può usare il pixel senza consenso? Spesso sì, perché rientra nella deroga “comunicazioni istituzionali e di servizio”. Ma il principio di minimizzazione (art. 5 GDPR) impone di valutare se il pixel è effettivamente necessario alla finalità istituzionale. In molti casi è preferibile disabilitarlo del tutto e usare metriche alternative (iscrizioni, click espliciti).
Il consenso al pixel può essere ricompreso nel consenso alla newsletter? Sì, il Garante lo ammette espressamente per evitare consent fatigue, purché la richiesta sia neutra, non condizionante, e l’informativa chiarisca entrambe le finalità. La revoca, però, deve essere granulare.
Fonti e riferimenti normativi
- Provvedimento del Garante n. 284 del 17 aprile 2026 — Linee Guida tracking pixel nelle email (doc. web n. 10241943)
- Comunicato stampa del Garante del 21 aprile 2026
- Pubblicazione in Gazzetta Ufficiale n. 98 del 29 aprile 2026
- D.lgs. 30 giugno 2003, n. 196 — Codice in materia di protezione dei dati personali, art. 122
- Direttiva 2002/58/CE (ePrivacy), art. 5, par. 3
- Regolamento (UE) 2016/679 (GDPR), artt. 5, 7, 12-14, 25, 28, 30, 35, 83
- Provvedimento Garante n. 231 del 10 giugno 2021 — Linee guida cookie e altri strumenti di tracciamento
- Linee guida EDPB 2/2023 sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva ePrivacy (adottate il 7 ottobre 2024)
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.