Tracking pixel nelle email: cosa cambia con le linee guida del Garante Privacy (aprile 2026)

DiTeam AI Policy Italia

Se usi uno strumento di email marketing come MailerLite, Brevo o Mailchimp, quasi certamente le tue email contengono un tracking pixel. Dal 21 aprile 2026 le regole su come puoi usarlo sono cambiate: il Garante Privacy ha pubblicato le prime linee guida italiane specificamente dedicate ai pixel di tracciamento nelle email, con una scadenza precisa per adeguarsi.

Hai sei mesi dalla pubblicazione in Gazzetta Ufficiale per essere in regola. In questa guida trovi tutto quello che devi sapere: cosa sono i tracking pixel, cosa dice esattamente il provvedimento, chi è obbligato ad adeguarsi e cosa devi fare in concreto.

⚠️ Aggiornamento normativo – Garante Privacy, Linee guida n. 284 del 17 aprile 2026, comunicato stampa del 21 aprile 2026. Scadenza adeguamento: sei mesi dalla pubblicazione in Gazzetta Ufficiale (indicativamente ottobre 2026).

Cosa sono i tracking pixel e perché il Garante li ha regolamentati

Un tracking pixel è un’immagine minuscola, spesso completamente trasparente e delle dimensioni di un solo pixel, incorporata nel codice HTML di un’email. Non la vedi, ma ogni volta che apri il messaggio il tuo client di posta scarica quell’immagine da un server remoto. Quella richiesta al server trasmette automaticamente informazioni su di te: che hai aperto il messaggio, quando, quante volte, da quale dispositivo e, spesso, da quale posizione geografica approssimativa.

Il mittente riceve questi dati nella sua piattaforma di email marketing come statistiche di apertura. Da soli sembrano innocui. Il problema, secondo il Garante, è che operano senza che il destinatario ne abbia piena consapevolezza e senza che abbia espresso un consenso specifico a quel tipo di tracciamento.

Il Garante aveva già regolamentato cookie e altri strumenti di tracciamento nel 2021. I tracking pixel nelle email erano rimasti in una zona grigia: tecnicamente simili ai cookie, ma operativi in un canale diverso, la posta elettronica, con regole non del tutto chiare. Le linee guida del 17 aprile 2026 colmano questa lacuna.

Cosa dicono le linee guida del Garante: i punti chiave

Il provvedimento n. 284 del 17 aprile 2026 chiarisce l’inquadramento normativo e stabilisce le regole operative. Ecco i punti che riguardano direttamente PMI e freelance.

1. I tracking pixel rientrano nell’articolo 122 del Codice Privacy

Le linee guida chiariscono che i pixel di tracciamento nelle email ricadono nella disciplina dell’articolo 122 del Codice Privacy, la stessa norma che regola l’uso dei cookie. Questo significa che si applica la regola del consenso preventivo, libero, specifico e informato: non puoi dare per scontato che il destinatario accetti il tracciamento solo perché ha aperto la tua email o si è iscritto alla tua newsletter.

2. Il consenso deve essere preventivo e granulare

Non basta un’informativa generica nella privacy policy. Il Garante richiede che il consenso al tracciamento tramite pixel nelle email sia:

  • Preventivo – ottenuto prima che il tracking pixel venga attivato, non dopo
  • Libero – l’utente non subisce conseguenze negative se non consente (non puoi subordinare l’iscrizione alla newsletter all’accettazione del tracciamento)
  • Specifico – il consenso deve riguardare esplicitamente il tracciamento delle aperture, non essere generico
  • Informato – l’utente deve sapere cosa viene tracciato, da chi e per quale finalità

3. Revoca del consenso semplice e selettiva

Il Garante richiede che la revoca del consenso al tracciamento sia altrettanto semplice da esercitare quanto la sua prestazione. L’utente deve poter revocare il consenso al tracking pixel in modo selettivo, cioè senza dover per forza disiscriversi dalla newsletter o rinunciare a ricevere le email. Revoca del tracciamento e revoca dell’iscrizione sono due cose distinte.

4. Privacy by design e by default

Le linee guida richiedono l’adozione di misure tecniche che riducano al minimo il rischio di identificabilità degli utenti e la circolazione non necessaria di dati personali. In pratica: il tracking pixel non deve essere attivo per default su tutti i destinatari. Chi non ha espresso consenso non deve essere tracciato.

5. Le eccezioni al consenso

Le linee guida prevedono alcune situazioni in cui il consenso non è necessario, ma le eccezioni sono delimitate con precisione:

  • Finalità di sicurezza tecnica strettamente necessarie – ad esempio verificare che un’email transazionale sia stata consegnata correttamente, non come strumento di profilazione
  • Comunicazioni istituzionali e di servizio – comunicazioni obbligatorie per legge o indispensabili all’erogazione del servizio richiesto

Queste eccezioni non si applicano alle email di marketing, alle newsletter commerciali o alle comunicazioni promozionali. Per quelle, il consenso è sempre necessario.

Chi deve adeguarsi

Il provvedimento si rivolge a un perimetro ampio. Devono rispettare le linee guida tutti i soggetti che:

  • inviano newsletter o email di marketing con tracciamento delle aperture
  • usano piattaforme per l’invio massivo di email (Brevo, MailerLite, Mailchimp, ActiveCampaign e simili)
  • offrono servizi di email marketing a terzi (agenzie, consulenti)
  • gestiscono piattaforme che integrano funzioni di tracciamento nelle email

In sintesi: se invii email con un tool che ti mostra il tasso di apertura, sei nel perimetro di applicazione delle linee guida.

La scadenza: sei mesi dalla Gazzetta Ufficiale

I soggetti interessati devono adeguarsi entro sei mesi dalla pubblicazione delle linee guida in Gazzetta Ufficiale. La pubblicazione in GU era indicata come “in corso” al momento del comunicato stampa del 21 aprile 2026. Considerando i tempi ordinari di pubblicazione, la scadenza si colloca indicativamente a ottobre 2026.

Non aspettare la pubblicazione in GU per iniziare a lavorare sull’adeguamento: i sei mesi sono sufficienti ma richiedono interventi concreti sulle piattaforme e sui flussi di consenso.

Cosa fare concretamente: la checklist per PMI e freelance

Ecco le azioni da mettere in agenda prima della scadenza.

Verifica se le tue email contengono tracking pixel

Accedi alle impostazioni della tua piattaforma di email marketing e controlla se il tracciamento delle aperture è attivo. Su Brevo, MailerLite e Mailchimp è quasi sempre abilitato per default. Se vedi statistiche di apertura nelle tue campagne, stai usando tracking pixel.

Aggiorna il modulo di iscrizione alla newsletter

Aggiungi una casella di consenso separata e specifica per il tracciamento delle aperture, distinta dal consenso all’invio delle email. Non può essere pre-selezionata e deve spiegare in modo chiaro cosa viene tracciato e perché. Se usi una piattaforma di email marketing, verifica se offre questa funzione nativamente o se devi gestirla manualmente.

Aggiorna l’informativa privacy

La tua informativa deve descrivere esplicitamente l’uso dei tracking pixel nelle email: cosa viene raccolto, per quanto tempo, con quale base giuridica (consenso) e chi tratta i dati, incluso il provider della piattaforma di email marketing come responsabile del trattamento ai sensi dell’art. 28 GDPR.

Implementa la revoca selettiva

Predisponi un meccanismo che permetta all’utente di revocare il consenso al tracciamento senza dover disiscriversi dalla newsletter. Può essere un link specifico nelle email o una sezione nel pannello di gestione preferenze. Controlla se la tua piattaforma lo supporta: alcune lo permettono già, altre richiedono personalizzazioni.

Disabilita il tracking di default per i destinatari senza consenso

Per i destinatari che non prestano il consenso al tracking, il pixel di tracciamento non deve essere attivo. Molte piattaforme consentono di segmentare i destinatari per consenso e di escludere il tracciamento per i segmenti senza consenso specifico.

Valuta cosa fare per gli iscritti esistenti

Per chi è già iscritto alla newsletter e non ha mai espresso un consenso specifico al tracking, dovrai valutare se raccogliere il consenso retroattivamente con una campagna dedicata o disabilitare il tracciamento per questi contatti. Tracciare chi non ha mai acconsentito dopo l’entrata in vigore delle linee guida non è conforme.

💡 Serve una DPIA? Se la tua piattaforma di email marketing traccia sistematicamente tutti i destinatari su larga scala e combina i dati di apertura con altre informazioni per costruire profili dettagliati, potresti rientrare nei casi in cui è necessaria una valutazione d’impatto (DPIA). Verifica i criteri prima della scadenza.

Il contesto: perché questa norma arriva adesso

Il Garante non ha scoperto i tracking pixel oggi: ne ha discusso in numerosi procedimenti negli ultimi anni. Le linee guida del 2026 arrivano dopo un’istruttoria approfondita che ha incluso consultazioni con i principali attori del settore – provider di posta elettronica, piattaforme di email marketing, rappresentanti delle imprese – condotte nell’ottobre 2025 e nel febbraio 2026.

L’intervento si inserisce in un quadro normativo più ampio. Le linee guida sui cookie del 2021 avevano già stabilito il principio che gli strumenti di tracciamento sul web richiedono consenso. I tracking pixel nelle email erano rimasti esclusi da quel perimetro, creando una asimmetria: le stesse informazioni comportamentali degli utenti venivano raccolte senza consenso via email, mentre sul sito web il consenso era obbligatorio. Le nuove linee guida allineano i due canali.

Il tema si collega anche al più ampio dibattito sul GDPR Omnibus in corso a livello europeo, che punta a semplificare alcuni obblighi per le PMI. Ma la semplificazione non riguarda la raccolta del consenso per il tracciamento: su questo punto le regole restano ferme, e le linee guida del Garante ne sono la conferma.

Il collegamento con l’email marketing e la profilazione

I tracking pixel non rilevano solo se un’email è stata aperta. Nelle piattaforme di email marketing più avanzate, i dati di apertura alimentano logiche di segmentazione e scoring: chi apre regolarmente le email viene classificato come “contatto attivo”, chi non apre mai come “inattivo”. Queste classificazioni possono influenzare quali offerte riceve il contatto, a quale prezzo e con quale frequenza.

Quando il tracking pixel smette di essere solo una statistica e diventa un input per decisioni commerciali sui singoli clienti, si entra nel territorio della profilazione. Un territorio che il Garante conosce bene, come dimostrato dalla sanzione da 17,6 milioni a Intesa Sanpaolo per la profilazione illecita dei clienti Isybank: anche in quel caso la base giuridica per la segmentazione automatica era assente o insufficiente.

Il principio sottostante è lo stesso: non puoi raccogliere dati comportamentali sulle persone per prendere decisioni che le riguardano senza una base giuridica valida. Per il tracking nelle email, quella base è il consenso.

Conclusione

Le linee guida del Garante sui tracking pixel nelle email non sono una sorpresa normativa: sono la naturale estensione al canale email di principi già consolidati per il web. Chi usa piattaforme di email marketing con tracciamento delle aperture ha un lavoro da fare entro ottobre 2026: aggiornare i moduli di consenso, le informative, i meccanismi di revoca e le impostazioni delle piattaforme.

Non è un adeguamento complesso, ma richiede attenzione ai dettagli: il consenso deve essere specifico per il tracking, separato dal consenso all’invio delle email e revocabile selettivamente. La buona notizia è che le principali piattaforme di email marketing stanno già lavorando per offrire queste funzionalità in modo nativo.

Approfondisci

📄 DPIA per strumenti AI in azienda: quando serve davvero
Quando il tracciamento via email puo richiedere una valutazione d’impatto.

📄 Sanzione Isybank: cosa insegna alle PMI sulla profilazione
Il caso in cui la segmentazione automatica dei clienti senza consenso e costata 17,6 milioni.

📄 GDPR Omnibus PMI: le 5 semplificazioni in arrivo
Il quadro delle modifiche al GDPR in discussione a livello europeo nel 2026.

📄 Guida GDPR e AI per PMI
Il punto di partenza per capire come si incrociano protezione dei dati e strumenti digitali.

Fonti e riferimenti ufficiali

Articoli simili