Home » Blog » Tracking pixel nelle e-mail: cosa cambia con le nuove Linee Guida del Garante privacy

Tracking pixel nelle e-mail: cosa cambia con le nuove Linee Guida del Garante privacy

Il Garante privacy ha pubblicato le Linee Guida sull’uso dei tracking pixel nelle e-mail. Ecco cosa devono sapere aziende, agenzie, ESP, freelance e content creator.

in Privacy

Introduzione

Il Garante privacy ha pubblicato le Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica (Provvedimento del 17 aprile 2026).

A chi sono destinate queste Linee Guida?

A tutti i soggetti, privati o pubblici, che a qualsiasi titolo intervengano nelle operazioni di utilizzo dei pixel di tracciamento nelle e-mail.

Qual è lo scopo di queste Linee Guida?

Evidenziare le norme che si applicano e gli obblighi che nascono da queste norme se si usano nelle e-mail strumenti di tracciamento occulti, come i tracking pixel.
In particolare, le Linee Guida intendono specificare le corrette modalità per fornire l’informativa e acquisire il consenso online degli interessati, se necessario.

Tracking pixel: di cosa stiamo parlando

Cosa sono i tracking pixel (pixel di tracciamento) contenuti nelle e-mail?

Sono immagini, spesso trasparenti e di dimensioni molto ridotte, pari appunto a un solo pixel, non direttamente contenute nell’e-mail inviata, ma ospitate su server remoti.

Come funziona il tracking pixel

1

Il destinatario apre l’e-mail

2

Viene inviata automaticamente una richiesta al server del mittente, grazie a un codice HTML inserito nella e-mail

3

L’immagine viene scaricata dal client di posta elettronica del destinatario (un software specifico o un browser), in risposta alla richiesta. L’immagine viene archiviata nella memoria del dispositivo di chi ha aperto la e-mail, per essere “esposta” nel corpo della e-mail.

Informazioni trasmesse al mittente ogni volta che si apre la mail

Attraverso questo meccanismo il mittente del messaggio o uno dei suoi partner può ottenere informazioni relative alla avvenuta apertura di una e-mail da parte di un utente specifico o in un contesto specifico.
Può anche ottenere informazioni ulteriori, che possono ricavarsi dall’indirizzo IP del destinatario, come il tipo di dispositivo utilizzato, il tempo di consultazione del messaggio e il numero di aperture successive della stessa e-mail.

Come il destinatario può bloccare il tracciamento

Il meccanismo funziona, e pertanto il pixel viene scaricato nella e-mail del destinatario, soltanto se il destinatario ha abilitato la funzione di download delle immagini.
Se, invece, il destinatario imposta la funzione di lettura dell’e-mail esclusivamente in formato testo, il tracking pixel, al pari di qualsiasi altro tipo di immagine, non sarà scaricato e dunque non potrà tracciare il comportamento del destinatario dell’e-mail.

Chi usa i tracking pixel e per quali scopi

I tracking pixel vengono usati per molteplici scopi: garantire la corretta ricezione delle e-mail (cd. deliverability), contrastare lo spam, misurare l’audience e le performance della comunicazione (intesa come apertura o lettura delle e-mail o download di allegati).
Cioè, in definitiva, per avere contezza dell’interazione del destinatario con il messaggio in questione ed eventualmente personalizzare la comunicazione in base all’interesse rilevato, per identificare attività di phishing o anche per esigenze di formattazione.
Il loro impiego può riguardare dunque tanto le comunicazioni di tipo commerciale e promozionale quanto quelle più propriamente di servizio o a carattere istituzionale e informativo.
Inoltre, non ci sono differenze sostanziali basate sul modo in cui si fruisce del servizio di posta elettronica (web, client, app etc.), né sul dispositivo utilizzato.

Soggetti coinvolti e diversi tipi di e-mail

L’uso del tracking pixel coinvolge diversi soggetti, anche eventualmente in accordo tra loro.
Essi dovranno, caso per caso, definire i propri ruoli rilevanti in base alla normativa sulla privacy e al principio di accountability di cui all’art. 5, par. 2 del GDPR.
Questi sono i soggetti potenzialmente coinvolti:

Il mittente del messaggio di posta elettronica

È il soggetto, pubblico o privato, cui compete la scelta in ordine all’invio delle e-mail e che può decidere di usare il pixel di tracciamento determinandone le finalità. Questo soggetto non necessariamente cura, in concreto, la gestione del pixel, che può invece essere demandata a terzi. Ad esempio a un fornitore di servizi di invio delle e-mail.

Il fornitore di servizi di invio e-mail

È il soggetto che mette a disposizione del committente la soluzione tecnica, compresa la piattaforma, spesso in modalità SaaS (Software as a Service), per inviare le e-mail e agisce generalmente su mandato e secondo le istruzioni del mittente, il quale utilizza liste proprie di contatti di destinatari. La piattaforma mette a disposizione dei propri clienti un insieme di strumenti che consentono di gestire le campagne di comunicazione digitale lungo l’intero ciclo operativo, dalla selezione dei database di contatti alla predisposizione dei messaggi, fino all’invio delle e-mail e al monitoraggio delle loro performance.

Il fornitore di servizi di noleggio di liste di distribuzione e invio di e-mail

È il soggetto che si occupa in via completa ed autonoma di inviare e-mail a contatti presenti all’interno di proprie liste di distribuzione offerte in locazione al committente, per conto del quale avviene l’invio dei messaggi.

Il fornitore della tecnologia di tracciamento

È il soggetto che cura esclusivamente la messa a disposizione dello strumento tecnico utilizzato dal mittente o dal prestatore di servizi di invio.

Il content creator

È il soggetto che, nel caso di e-mail a carattere promozionale, si occupa di predisporre il messaggio pubblicitario da recapitare al destinatario, curando anche l’aspetto della sua ottimizzazione grafica volta alla miglior efficacia commerciale.

Il destinatario del messaggio di posta elettronica

È il soggetto che riceve l’e-mail all’interno della quale è stato inserito il pixel.

Tipi di e-mail

Il tracking pixel può essere contenuto in diversi tipi di e-mail.

Newsletter

E-mail periodiche generalmente inviate a destinatari iscritti in una lista di contatti e finalizzate alla diffusione di aggiornamenti, contenuti informativi, comunicazioni aziendali o materiali editoriali.

DEM (Direct E-mail Marketing)

E-mail di natura prevalentemente promozionale o commerciale, inviate a gruppi di destinatari selezionati dal cliente della piattaforma nell’ambito delle liste di contatti già nella sua disponibilità, o dal provider che usi liste proprie a beneficio di terzi committenti, con l’obiettivo di promuovere prodotti, servizi o iniziative commerciali.

E-mail transazionali e messaggi automatici

E-mail inviate automaticamente quando si verifica un determinato evento (ad esempio, messaggi di benvenuto, follow-up successivi a un’iscrizione) o quando l’utente compie una specifica azione o, ancora, legate a una transazione in corso (ad esempio, conferme di registrazione, notifiche relative ad operazioni effettuate su una piattaforma digitale, conferme d’ordine o trasmissione di credenziali temporanee ecc.).

E-mail di servizio

E-mail il cui contenuto è funzionale a esigenze del singolo o della collettività, poiché caratterizzate da una funzionalità di tipo pubblicistico intesa anche in senso lato.

L’art. 122 del Codice Privacy

L’inserimento di un elemento (il pixel) nel corpo della e-mail destinata all’utente e la “lettura” delle informazioni che ne conseguono é una fattispecie che ricade nell’ambito di applicazione dell’art. 122 del Codice Privacy.
Questa norma è frutto del recepimento in Italia della direttiva e-Privacy.
Infatti, in questo caso si ha una “archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente” (l’inserimento del pixel di tracciamento nella e-mail) e un successivo “accesso a informazioni già archiviate” (la rilevazione, tramite quel pixel, del comportamento dell’utente).

Art. 122 del Codice Privacy: il testo completo

  1. L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l’utilizzo di metodologie che assicurino l’effettiva consapevolezza del contraente o dell’utente.
  2. Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
  3. 2-bis. Salvo quanto previsto dal comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

Gli obblighi per chi usa il tracking pixel

I tracking pixel sono marcatori particolarmente invasivi soprattutto a causa del loro carattere nascosto.
La ricezione di strumenti di tracciamento non riconoscibili il cui impiego non sia noto alla persona nel cui terminale vengono installati determina una violazione, innanzitutto, del principio di correttezza, secondo cui il titolare del trattamento deve comportarsi con lealtà e buona fede (GDPR, art. 5, par. 1, lett. a)).

In generale, sono 3 gli aspetti a cui fare attenzione:

  1. fornire una informativa
  2. acquisire il consenso (quando necessario)
  3. garantire l’esercizio del diritto di revoca della scelta fatta.

Obbligo di informativa preventiva per tutti i titolari

Per essere lecito, l’impiego di tracking pixel nelle e-mail debba essere preventivamente reso noto al destinatario della e-mail, qualunque sia lo scopo della e-mail o il mittente.
Il titolare che già usa o intende usare il tracking pixel deve informarne adeguatamente gli interessati.
Se non li informa, non può usare il pixel e lo usa senza informali, il trattamento è illecito.

Come fornire l’informativa: modalità e canali ammessi

Il Garante privacy favorisce il ricorso a forme agevolate di informativa. Essa potrà dunque essere fornita su più livelli, ad esempio prevedendone l’inserimento in forma sintetica all’interno di un modulo di raccolta dell’indirizzo, con l’aggiunta di un link verso un’informazione più dettagliata (anche eventualmente all’interno della cookie policy, se presente) o anche tramite di più canali e modalità (multichannel), in modo da sfruttare al massimo più dinamici e meno tradizionali punti di contatto tra il titolare e gli interessati.
Ad esempio, canali video, pop-up informativi, interazioni vocali, assistenti virtuali, telefono, chatbot.
È responsabilità del titolare scegliere i modi più idonei per comunicare l’informazione che dovrà essere anche completa, chiara efficace e fruibile, secondo quanto stabilito dal GDPR.

Come adeguare l’informativa

Se state già inviando e-mail in cui è inserito tracking pixel, per adeguarvi all’obbligo di informare gli utenti potete sfruttare l’invio del primo messaggio utile oppure il primo momento di discontinuità eventualmente esistente, a seconda della relazione in essere con il destinatario (contrattuale, istituzionale, di servizio etc.).

Quando l’uso dei tracking pixel è lecito

In base all’art. 122 del Codice privacy inserire il tracking pixel nella e-mail è generalmente vietato.
Questa norma però prevede 3 ipotesi di deroga a questo divieto:

  1. il previo rilascio del consenso – informato, libero, specifico ed inequivocabile – dell’utente destinatario della comunicazione;
  2. il ricorrere di fattispecie nelle quali il trattamento dei dati sia necessario, consenta o faciliti l’effettuazione della trasmissione di una comunicazione per via elettronica;
  3. le operazioni condotte siano necessarie per fornire un servizio di comunicazione online su richiesta degli utenti.

Secondo il Garante, i titolari possano beneficiare della deroga rispetto all’acquisizione di uno specifico consenso alla ricezione di tracking pixel in un numero rilevante di casi. Ad esempio:

Caso 1 – Conteggio statistico anonimo delle aperture

Se il tracking pixel serve per fare conti di tipo statistico e quindi misurare la percentuale globale di apertura dei messaggi. Questo tipo di rilevazione serve, tra l’altro, per migliorare la deliverability delle e-mail con positive ripercussioni sul servizio di posta elettronica anche a beneficio dell’utente, come pure per contrastare fenomeni di spam.
Simili indagini di tipo statistico impongono l’adozione di tecniche di anonimizzazione delle informazioni, in modo da non consentire misurazioni personalizzate. A tal fine, il Garante suggerisce l’impiego di pixel univoci, cioè non differenziati per ciascun utente, ma uguali per tutti i destinatari di una stessa campagna e l’anonimizzazione degli altri dati tecnici correlati (indirizzo IP, client etc.).

Caso 2 – Misure di sicurezza e autenticazione

Se il tracking pixel serve per implementare misure di sicurezza che interessano il processo di autenticazione dell’utente, il suo completamento o il suo aggiornamento.
In questo caso, l’uso del tracking pixel serve per garantire che un determinato messaggio sia effettivamente aperto su un terminale noto per appartenere all’utente interessato.
Esempio: mail relativa alla conferma di attivazione di un account, alla gestione di una richiesta di modifica della password, al soddisfacimento di una richiesta di esercizio dei diritti rilevanti in materia di protezione dei dati personali tra cui quello alla portabilità dei dati ecc.
In questo caso le esigenze di sicurezza si sposano con quelle più direttamente connesse alla fornitura del servizio richiesto dall’utente.

Caso 3 – Messaggi istituzionali e di servizio obbligatori

Nel caso di messaggi istituzionali o di servizio che il titolare ha l’obbligo giuridico di inviare (ad esempio, sulla base di taluni istituti del diritto bancario e, a maggior ragione, se riferiti ad attività istituzionali di un soggetto pubblico) e rispetto ai quali rilevi l’effettiva presa di conoscenza del destinatario.
Esempio

  • mail che danno indicazioni utili su come prevenire azioni di phishing o frodi rispetto a minacce contingenti e sull’opportunità di azionare i rimedi disponibili se si verifica l’evento dannoso
  • mail relative a modifiche contrattuali o logistico-organizzative rispetto a eventi programmati, a termini di servizio o alle informative sul trattamento dei dati personali degli interessati
  • notifiche relative a incidenti di sicurezza
  • campagne istituzionali informative
  • reminder su scadenze e adempimenti contrattuali o contributivi.

Condizioni per applicare la deroga

In questi casi, non è necessario acquisire il consenso per l’impiego del tracking pixel.

Infatti, secondo il Garante in questi casi l’informazione tratta dall’impiego dei pixel di tracciamento è funzionale a garantire al destinatario (sia come singolo, sia come membro di una collettività e dunque destinatario di una tutela di rilievo sociale) che il servizio sia reso in modo più efficace ed efficiente, appunto a beneficio del destinatario stesso.

Acquisizione e gestione del consenso

Quando è obbligatorio acquisire il consenso specifico

In tutti i restanti casi che non ricadono in quelli elencati prima, il titolare che intende usare i pixel di tracciamento nelle e-mail deve acquisire il preventivo consenso dei destinatari.

Casi tipici in cui il consenso è obbligatorio

Esempio
Se analizzate e misurate il tasso di apertura delle e-mail per valutare e migliorare la performance delle campagne promozionali sulla base dei comportamenti osservati:

  • per esempio modificando l’oggetto dei messaggi in caso di basso tasso di apertura o migliorandone la pertinenza, la leggibilità o l’attrattività;
  • per adattare la frequenza o interrompere l’invio in base all’interesse manifestato dal destinatario nei confronti dei messaggi ricevuti, al quale peraltro, in caso di omessa apertura della e-mail, di regola dopo un numero di invii reiterati, determinato dal titolare, il messaggio non viene più riproposto, in quanto ritenuto indesiderato e dunque non commercialmente utile;
  • se usate il dato relativo alla lettura della e-mail per ricavarne informazioni presunte sui potenziali gusti, gli interessi e le preferenze attribuibili al destinatario allo scopo di creare dei profili commerciali utilizzabili anche per iniziative diverse.

Trattamenti dati in corso vs. nuovi trattamenti (ossia, prima e dopo le Linee Guida)

Bisogna distinguere tra 2 ipotesi:

  1. Inizierete a inviare-mail contenenti i tracking pixel dopo l’entrata in vigore di queste Linee Guida.
  2. State già inviando e-mail contenenti i tracking pixel (magari avete già una newsletter o state già usando liste di contatti per ragioni di prospezione commerciale).

Ipotesi n.1: nuovi trattamenti

Il consenso dovrà essere raccolto preferibilmente al momento stesso di acquisire l’indirizzo mail del destinatario, dopo che – in base alle regole di carattere generale – il destinatario è stato debitamente informato.
Il titolare potrà naturalmente individuare la forma di raccolta del consenso ritenuta più idonea.
Se il consenso non viene acquisito e informativa non viene fornita, il trattamento dei dati è illecito.

Finalità promozionali e tracking: è sufficiente un unico consenso

Se inviate e-mail di tipo commerciale e promozionale dovete acquisire due consensi separati (uno per ricevere e-mail di tipo commerciale e promozionale e uno per l’uso del tracking pixel)?
No, è sufficiente ottenere un unico consenso.

Infatti, il Garante ritiene che queste due finalità siano strettamente legate tra loro e che, in una logica di semplificazione, sia necessario evitare ridondanti richieste di consenso plurime che spesso si traducono, in concreto, in meccanismi di pressione o di consent fatigue.
Quindi, il consenso all’uso del tracking pixel può, in linea di principio, essere ricompreso in quello, più generale, alla ricezione delle comunicazioni promozionali, in modo da consentire che la persona esprima un unico consenso informato.
Ciò alla condizione che la richiesta sia formulata in modo neutro e privo di forzature, nel rispetto della manifestazione di volontà del destinatario.

Ipotesi 2: trattamenti già in corso

State già inviando mail di carattere commerciale con tracking pixel?
In questo caso, in qualità di titolari del trattamento dovete fornire l’informativa con il primo invio utile o comunque nel primo momento di discontinuità disponibile allo scopo.

Si tratta di un regime transitorio, applicabile esclusivamente ai trattamenti già in corso, destinato ad essere progressivamente dismesso via via che nuovi trattamenti di dati personali verranno intrapresi ex novo e saranno dunque assoggettati alla regola della preventiva acquisizione del consenso unico.

Il diritto di revoca (granulare e anche parziale)

Nelle ipotesi 1 e 2, il destinatario che abbia acconsentito al trattamento deve poter successivamente revocare in modo agevole le scelte pregresse, anche in modo granulare.
Cioè deve poter scegliere se:

  • revocare il consenso unico fornito, con l’effetto di impedire la futura ricezione di ulteriori e-mail
  • revocare il consenso parzialmente, con esclusivo riguardo soltanto al tracciamento connesso alla ricezione di tracking pixel (cioè potrà ricevere ulteriori e-mail che però non dovranno contenere il tracking pixel).

Come garantire l’esercizio del diritto di revoca

Dovrete implementare e rendere noto agli utenti un meccanismo che consenta la revoca anche granulare del consenso. La soluzione implementata dovrà essere improntata alla massima riconoscibilità, visibilità e facilità d’uso a beneficio del destinatario.

La possibilità di esercizio del diritto di revoca, anche in forma granulare, potrà essere assicurata inserendo, ad esempio, all’interno di ogni messaggio e-mail inviato una icona standardizzata o un link, posizionato nel footer, che conduca il destinatario verso un’area dedicata all’esercizio dei suoi diritti.
In tale area il destinatario potrà chiedere:

  • di cessare l’invio di e-mail indesiderate (come già accade ad esempio cliccando sul link “disiscriviti” o simili), oppure
  • di cessare soltanto la ricezione dei tracking pixel, continuando cioè a ricevere soltanto le e-mail prive dei tracking pixel.

Ulteriori aspetti a cui fare attenzione (in tutte e due le ipotesi):

  • Alla persona che intenda rifiutare il tracciamento dovrà essere garantita la piena fruibilità del servizio, che non dovrà comunque subire, per questa sola ragione, alcuna limitazione.
  • Tutte le scelte dell’interessato devono essere debitamente registrate dal titolare, anche ai fini della dimostrazione cui questi potrebbe essere chiamato, specie in caso di controversie (art. 7, par. 1 del GDPR).

Misure tecniche raccomandate

Si suggerisce che, per ridurre il rischio di identificabilità dei destinatari, nell’utilizzare i pixel di tracciamento il mittente generi un identificativo inintelligibile e non sequenziale e lo associ all’indirizzo di posta elettronica del destinatario, mantenendo tale corrispondenza in un layer interno e separato della piattaforma utilizzata.
In questo modo il conteggio degli eventi di apertura del messaggio avverrà tramite l’identificativo, senza che l’indirizzo e-mail sia ricompreso nella richiesta tecnica generata dal caricamento del pixel.
Ciò ridurrà l’esposizione dell’indirizzo e-mail minimizzando il rischio di identificabilità dei dati che transitano nella rete.

Entro quando bisogna adeguarsi

Entro il 29 ottobre

(ossia entro 6 mesi dalla pubblicazione in Gazzetta Ufficiale, avvenuta il 29 aprile 2026 )

Checklist operativa — tracking pixel nelle e-mail

Linee Guida Garante privacy, Provvedimento 17 aprile 2026

Scadenza per l’adeguamento 29 ottobre 2026

Design, parole e diritto

Curo una newsletter dedicata al legal design e alla scrittura giuridica: parlo del mio lavoro, di come progettare documenti, servizi e testi legali, con uno sguardo su ciò che è realizzato in Italia e nel resto del mondo. La invio non più di una volta al mese.

Iscriviti alla newsletter

Chi sono, in breve

Sono un avvocato e un legal designer: semplifico i documenti legali rendendoli comprensibili a chiunque. Mi occupo anche di contratti per imprese e freelance e di privacy.