12 Maggio 2026
Con il provvedimento n. 284 del 17 aprile 2026, pubblicato in Gazzetta Ufficiale il 29 aprile 2026, il Garante Privacy ha introdotto nuove regole sull’uso dei tracking pixel nelle email.
I tracking pixel sono strumenti invisibili inseriti nei messaggi di posta elettronica che permettono di capire se una email è stata aperta, quanto tempo è stata letta e quale dispositivo è stato utilizzato. Per questo motivo, il loro utilizzo comporta un trattamento di dati personali.
Secondo il Garante, questi strumenti sono particolarmente invasivi perché agiscono in modo nascosto e spesso l’utente non sa di essere monitorato. L’uso di tali tecnologie senza adeguata trasparenza viola quindi il principio di correttezza previsto dalla normativa privacy.
Le nuove linee guida si applicano a tutti i soggetti che utilizzano sistemi di tracciamento nelle email, comprese aziende, pubbliche amministrazioni, provider di posta elettronica e piattaforme di marketing automation.
Il provvedimento concede 6 mesi di tempo per adeguarsi alle nuove regole: le procedure dovranno quindi essere conformi entro il 28 ottobre 2026.
Il documento del Garante Privacy chiarisce che l’uso dei tracking pixel nelle email deve rispettare sia le norme europee sia quelle italiane sulla protezione dei dati personali. In particolare, richiama il GDPR, la direttiva e-Privacy e l’art. 122 del Codice Privacy italiano.
Dal punto di vista giuridico, inserire un tracking pixel in una email significa raccogliere informazioni dal dispositivo dell’utente, ad esempio sapere se il messaggio è stato aperto o letto. Questa attività è consentita solo in 2 casi:
• se l’utente ha dato un consenso preventivo;
• oppure se il tracciamento è strettamente necessario per fornire un servizio richiesto dall’utente.
Il Garante sottolinea inoltre che, nelle comunicazioni elettroniche, le regole della normativa e-Privacy prevalgono su quelle generali del GDPR, perché sono norme più specifiche per questo tipo di attività.
Le linee guida del Garante Privacy spiegano come usare correttamente i tracking pixel nelle email.
In sintesi, serve prima di tutto il consenso esplicito dell’utente, raccolto in modo chiaro e prima del tracciamento (anche insieme al consenso marketing, ma sempre ben spiegato).
L’utente deve poter revocare facilmente il consenso, ad esempio con un link nelle email, scegliendo se bloccare solo il tracciamento o tutte le comunicazioni.
Le aziende devono anche aggiornare l’informativa privacy, rendendola più chiara e sintetica nei moduli, con rimando a una versione completa.
Dal punto di vista tecnico, bisogna ridurre i rischi per la privacy applicando misure come: separare i dati personali da quelli di tracciamento, usare identificativi non diretti e anonimizzare quando possibile.
Infine, le imprese devono mappare i sistemi utilizzati, verificare la base giuridica e aggiornare le procedure entro il 28 ottobre 2026.
Le regole valgono per tutti i principali tipi di email: newsletter, email promozionali (DEM), messaggi automatici e email di servizio.
