Tracking pixel nelle email: le Linee Guida del Garante e il confronto con la Raccomandazione CNIL

Il 17 aprile 2026 il Garante per la Protezione dei Dati Personali ha adottato le Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica (provvedimento n. 284), in corso di pubblicazione sulla Gazzetta Ufficiale. A circa un mese di distanza, il 12 marzo 2026, la CNIL francese aveva adottato una propria Raccomandazione sulla medesima materia, all’esito di una consultazione pubblica avviata nel giugno 2025. Due atti di natura diversa – vincolante il primo, orientativo il secondo – che convergono sulla stessa esigenza regolatoria: ricondurre i pixel di tracciamento nelle email nell’alveo delle garanzie previste dalla direttiva e-Privacy e dal GDPR, ponendo fine a una zona grigia che ne aveva fino ad oggi consentito un utilizzo pressoché indiscriminato.

La natura giuridica dei tracking pixel e il quadro normativo applicabile

I tracking pixel sono immagini di dimensioni infinitesimali non incorporate direttamente nel corpo dell’email ma ospitate su server c.d. remoti. Al momento dell’apertura del messaggio, un codice HTML avvia automaticamente una richiesta HTTP al server del mittente: l’immagine viene scaricata e archiviata nella memoria del terminale del destinatario, che non percepisce alcunché. Il mittente acquisisce invece un insieme di informazioni che può comprendere l’avvenuta apertura, l’indirizzo IP, il tipo di dispositivo, l’orario di consultazione e il numero di riaperture successive.

Questa sequenza integra, sul piano giuridico, una duplice operazione: l’archiviazione di informazioni nel terminale dell’utente (l’inserimento del pixel nell’email) e il successivo accesso a informazioni già archiviate (la rilevazione del comportamento tramite quel pixel). Entrambe le operazioni ricadono nell’ambito di applicazione dell’art. 122 del Codice Privacy italiano – norma di recepimento dell’art. 5.3 della direttiva e-Privacy – e del corrispondente art. 82 della Loi Informatique et Libertés francese, come confermato dalle Linee Guida EDPB 2/2023 sull’ambito di applicazione tecnico dell’art. 5.3 della direttiva.

Ne consegue che la direttiva e-Privacy si applica in quanto lex specialis rispetto al GDPR, che rimane invece applicabile come cornice regolatoria generale per tutti gli aspetti non specificamente disciplinati dalla direttiva. Sul piano delle basi giuridiche, questa architettura normativa ha un’implicazione pratica dirimente: il legittimo interesse è escluso dal novero dei presupposti utilizzabili per le operazioni di accesso al terminale, le quali possono fondarsi esclusivamente sul consenso dell’interessato ovvero su una delle esenzioni espressamente previste dalla norma.

I soggetti coinvolti e la qualificazione dei ruoli

La corretta qualificazione dei soggetti coinvolti nell’utilizzo dei tracking pixel è un passaggio preliminare imprescindibile, su cui sia il Garante che la CNIL si soffermano con un certo dettaglio, pur con differenze di impostazione.

La posizione del Garante

Il Garante individua le seguenti figure, precisando che la qualificazione del ruolo di ciascuna va operata caso per caso nel rispetto del principio di accountability di cui all’art. 5, par. 2 GDPR, tenendo conto della possibile applicazione della disciplina sulla contitolarità di cui all’art. 26 GDPR.

• Mittente del messaggio: il soggetto – pubblico o privato – che decide l’invio delle comunicazioni e determina le finalità dell’utilizzo dei pixel. È il titolare del trattamento, indipendentemente dal fatto che la gestione operativa sia affidata a terzi.
• Fornitore di servizi di emailing: il soggetto che mette a disposizione del committente la soluzione tecnica – spesso in modalità SaaS – per la gestione delle campagne, dall’invio dei messaggi al monitoraggio delle performance. Agisce generalmente su mandato e secondo le istruzioni del mittente: il suo ruolo naturale è quello di responsabile del trattamento ai sensi dell’art. 28 GDPR.
• Fornitore di servizi di noleggio di liste di distribuzione: si distingue dal precedente perché gestisce in modo autonomo e completo l’invio delle comunicazioni a contatti presenti nelle proprie liste, offerte in locazione al committente. Il grado di autonomia operativa può far propendere, a seconda degli accordi contrattuali, per una qualificazione come titolare autonomo o contitolare.
• Fornitore della tecnologia di tracciamento: il soggetto che mette a disposizione esclusivamente lo strumento tecnico utilizzato per il tracciamento. Il Garante precisa che il suo ruolo va valutato anche in relazione all’eventuale compartecipazione alle decisioni relative al trattamento: laddove utilizzi i dati raccolti tramite i pixel anche per finalità proprie, potrà configurarsi una contitolarità ai sensi dell’art. 26 GDPR.
• Destinatario del messaggio: l’interessato nel cui terminale il pixel viene installato. Il Garante distingue tra l’ipotesi in cui l’indirizzo email sia stato acquisito all’esito di una procedura di autenticazione e quella in cui sia stato raccolto in altro modo – ad esempio nel corso di una transazione commerciale, rilevante anche ai fini dell’eventuale applicazione della deroga per il soft spam di cui all’art. 130, par. 4, del Codice.

La posizione della CNIL

La CNIL individua cinque figure soggettive, con una qualificazione più sistematica e alcune precisazioni che non trovano un corrispondente esplicito nelle Linee Guida italiane.

• Expéditeur du courriel: qualificato come titolare del trattamento. La CNIL precisa che, quando il mittente accetta contrattualmente operazioni di lettura o scrittura effettuate da terzi all’interno delle email di cui ha richiesto l’invio, egli sarà in linea di principio anche responsabile congiunto di tali operazioni – poiché finalità e mezzi sono in quel caso determinati congiuntamente – pur restando le operazioni di trattamento successive eventualmente sotto la responsabilità indipendente di ciascuna parte.
• Prestataire de service d’emailing: qualificato come responsabile del trattamento, in modo speculare alla posizione italiana, in quanto agisce per conto del mittente e secondo le sue istruzioni.
• Prestataire de services de location de listes de diffusion: richiede un’analisi caso per caso. Quando integra strumenti di tracciamento per fornire informazioni al proprio cliente titolare, agisce tendenzialmente come responsabile del trattamento. Può invece configurarsi una contitolarità quando il fornitore utilizzi i pixel per finalità proprie – ad esempio per migliorare la pertinenza delle proprie liste o la deliverability – e il cliente abbia contrattualmente accettato tali operazioni. In tal caso la CNIL richiama espressamente l’art. 26 GDPR, sottolineando la necessità di una ripartizione chiara e trasparente degli obblighi, in particolare in materia di informativa e di esercizio dei diritti degli interessati.
• Fournisseur de la technologie de suivi: qualificato come responsabile del trattamento se le operazioni sono effettuate esclusivamente per conto del mittente. Diventa contitolare se i dati raccolti tramite i pixel sono utilizzati anche per finalità proprie del fornitore – ad esempio per migliorare la soluzione tecnica offerta – e il cliente ha contrattualmente accettato tali operazioni.
• Fournisseur de service de messagerie: figura non espressamente menzionata dal Garante. La CNIL chiarisce che, pur essendo un attore tecnico indispensabile, il fornitore del servizio di messagerie non interviene direttamente nel trattamento connesso all’uso dei pixel. Può tecnicamente influenzarne il funzionamento – ad esempio bloccando il caricamento automatico delle immagini – ma, nella misura in cui non utilizza i dati generati dal pixel, non è né responsabile né titolare del trattamento.

Le esenzioni dal consenso: il punto di maggiore divergenza

Il nodo centrale della disciplina riguarda la determinazione delle finalità per le quali il trattamento può essere effettuato senza il previo consenso dell’interessato. È su questo punto che le posizioni delle due autorità divergono in misura più significativa.

Il Garante individua tre categorie di esenzione.

1. La prima riguarda le misurazioni statistiche aggregate sull’apertura delle email, a condizione che i dati siano effettivamente anonimizzati: il pixel deve essere identico per tutti i destinatari di una campagna – e dunque non differenziato per singolo utente – e i dati tecnici correlati, incluso l’indirizzo IP, devono essere sottoposti ad anonimizzazione nel senso rigoroso elaborato dal WP29 nel Parere 05/2014.
2. La seconda esenzione attiene alle misure di sicurezza connesse all’autenticazione dell’utente, come la verifica che un’email contenente un codice OTP o un link di attivazione account venga aperta dal terminale riconducibile all’utente interessato.
3. La terza – e più ampia – esenzione copre le email istituzionali o di servizio che il titolare ha l’obbligo giuridico di inviare e rispetto alle quali assume rilievo l’effettiva presa di conoscenza da parte del destinatario: vi rientrano, a titolo esemplificativo, le comunicazioni bancarie imposte dalla normativa di settore, le notifiche di incidenti di sicurezza, le comunicazioni relative a modifiche contrattuali, i reminder su scadenze e adempimenti, le campagne istituzionali informative.

La CNIL adotta un perimetro di esenzione più ristretto, articolato in due sole categorie.

1. La prima coincide con quella italiana relativa all’autenticazione.
2. La seconda riguarda la misurazione individuale del tasso di apertura a fini di deliverability, ma con condizioni particolarmente stringenti: il trattamento deve essere strettamente limitato a quanto necessario per adattare la frequenza degli invii o interrompere le comunicazioni verso destinatari inattivi, con conservazione del solo dato della data dell’ultima apertura – senza registrazione dell’orario – aggiornata ad ogni nuova apertura con cancellazione della precedente.

La terza categoria italiana, relativa alle email istituzionali ad ampio spettro, non trova un corrispondente nella raccomandazione francese, che si limita a menzionare le email della Pubblica Amministrazione nell’esercizio di missioni di servizio pubblico.

La raccolta del consenso: semplificazione versus granularità

Nei casi in cui il consenso è necessario, le due autorità seguono approcci parzialmente divergenti anche sul piano delle modalità di raccolta.

Il Garante privilegia un’impostazione orientata alla semplificazione: il consenso all’utilizzo dei pixel può essere ricompreso nel consenso generale alla ricezione di comunicazioni promozionali, purché la richiesta sia formulata in modo neutro, privo di forzature, e l’interessato sia stato previamente informato in modo adeguato. La ratio è quella di evitare la consent fatigue – la saturazione da richieste di consenso plurime e ridondanti che, paradossalmente, finisce per ridurre la consapevolezza degli interessati anziché accrescerla.

La CNIL, pur ammettendo la possibilità di un consenso unico per finalità tra loro connesse – ad esempio, il trattamento a fini di prospecting commerciale personalizzato e l’utilizzo di pixel che contribuiscono direttamente a quella personalizzazione – richiede consensi separati e indipendenti per finalità distinte e non connesse. L’approccio è più granulare e impone un’analisi puntuale delle finalità effettivamente perseguite in ciascuna campagna.

Su un profilo entrambe le autorità convergono con chiarezza: l’inattività del destinatario non può in alcun caso essere equiparata a consenso; quest’ultimo deve necessariamente derivare da un atto positivo e inequivocabile dell’interessato.

La revoca granulare: un elemento qualificante delle Linee Guida italiane

Uno degli elementi più innovativi del provvedimento del Garante è la previsione espressa del diritto di revoca granulare del consenso. L’interessato deve poter scegliere non soltanto tra accettare o rifiutare in blocco il trattamento, ma anche – ed è questa la novità – di continuare a ricevere le comunicazioni commerciali rinunciando al solo tracciamento tramite pixel. Il meccanismo deve essere implementato nel footer di ogni email, tramite un’icona standardizzata o un link che conduca a un’area dedicata all’esercizio dei diritti, nella quale l’utente possa optare per la cessazione degli invii ovvero per la sola disattivazione del tracciamento.

La CNIL richiede anch’essa un meccanismo di revoca accessibile tramite link nel footer di ogni messaggio, ma non elabora con la stessa intensità la dimensione della granularità tra consenso all’email e consenso al pixel come diritto autonomamente esercitabile dall’interessato.

Privacy by design: le indicazioni tecniche del Garante

Le Linee Guida italiane si distinguono per la specificità delle indicazioni tecniche fornite in attuazione del principio di privacy by design e by default di cui all’art. 25 GDPR. Il Garante suggerisce che il mittente generi, per ciascun destinatario, un identificativo non sequenziale e inintelligibile da associare all’indirizzo email in un layer interno e separato della piattaforma utilizzata. In questo modo il conteggio delle aperture avviene tramite l’identificativo, senza che l’indirizzo email del destinatario transiti nella richiesta tecnica generata dal caricamento del pixel, riducendo così il rischio di identificabilità dei dati che circolano in rete.

La Raccomandazione CNIL non elabora indicazioni tecniche di dettaglio equivalenti su questo punto, preferendo rinviare ai principi generali di minimizzazione dei dati di cui all’art. 5.1(b) GDPR.

Gli obblighi informativi

Entrambe le autorità confermano l’obbligo di informativa preventiva in capo al titolare del trattamento, indipendentemente dalla tipologia di email inviata e dalla natura – pubblica o privata – del mittente. L’informativa può essere strutturata su più livelli, con una sintesi al primo livello e un rinvio a contenuti più dettagliati, ed essere veicolata attraverso canali diversi.

Per i trattamenti già in corso al momento dell’entrata in vigore dei rispettivi provvedimenti, entrambe le autorità ammettono che l’informativa sia fornita con il primo invio utile successivo, senza necessità di interrompere le campagne in corso.

I termini di adeguamento

Il Garante concede sei mesi dalla pubblicazione in Gazzetta Ufficiale, riconoscendo la potenziale complessità degli adeguamenti tecnici e organizzativi richiesti. La CNIL ha fissato un termine più breve di tre mesi dalla pubblicazione della Raccomandazione (avvenuta il 12 marzo 2026), con la previsione che per gli indirizzi email già in uso sia sufficiente, entro quel termine, inviare un’informativa chiara e accessibile ai destinatari, mettendoli in grado di opporsi al tracciamento per le comunicazioni future.

Conclusioni

L’adozione quasi contestuale di questi due provvedimenti da parte delle autorità italiana e francese riflette una convergenza di fondo nella qualificazione giuridica dei tracking pixel come strumenti di accesso al terminale soggetti alla disciplina della direttiva e-Privacy, e nella conseguente applicazione del regime di consenso previsto dalle rispettive norme di recepimento nazionale. Le divergenze riguardano essenzialmente l’ampiezza delle esenzioni – più estesa nell’impostazione italiana, più restrittiva in quella francese – e il grado di proceduralizzazione delle modalità di raccolta del consenso, su cui la CNIL si mostra più analitica.

Per i titolari del trattamento che operano in entrambe le giurisdizioni, la scelta operativa più prudente è quella di calibrare i propri sistemi sul regime più restrittivo applicabile caso per caso, tenendo conto in particolare delle differenze in materia di deliverability individuale e di consenso granulare. Il termine di sei mesi concesso dal Garante consente una finestra di adeguamento ragionevole, ma la complessità degli interventi tecnici richiesti – dalla revisione delle piattaforme di emailing all’implementazione dei meccanismi di revoca granulare – rende opportuno avviare il processo senza indugio.