Prenota una demo
Iscriviti

Pixel di tracciamento email: le regole del Garante e cosa fare entro il 28 ottobre 2026

Il 17 aprile 2026 il Garante per la protezione dei dati personali (il “Garante”) ha adottato il Provvedimento n. 284, le prime linee guida dedicate all’utilizzo dei pixel di tracciamento email.

Le regole sono state pubblicate nella Gazzetta Ufficiale n. 98 del 29 aprile 2026 e concedono alle organizzazioni sei mesi per adeguarsi, con scadenza al 28 ottobre 2026. Il cambiamento centrale è semplice: ogni pixel di tracciamento che si attiva quando il destinatario apre un messaggio e lo identifica richiede ora un consenso preventivo opt-in, lo stesso standard legale già applicato ai cookie.

Se gestisci email marketing per un brand italiano, o invii email a destinatari in Italia da una base UE, questa regola riguarda quasi ogni newsletter e ogni invio promozionale che produci.

💡 La versione in una riga: se un pixel può essere ricondotto a un singolo destinatario, il Garante lo tratta ora come un cookie. Stessa regola di opt-in, stesso requisito di prova del consenso, stessa finestra di transizione di sei mesi.

Cosa dicono le regole del Garante

I pixel di tracciamento sono piccole immagini incorporate nel codice HTML delle email. Si attivano automaticamente all’apertura del messaggio, generando una richiesta HTTP che invia identificatori (ID del pixel, indirizzo IP, user agent, timestamp) al server del mittente. Per un approfondimento sul funzionamento dei pixel di tracciamento, il nostro articolo precedente copre la parte tecnica.

Il Garante fonda la nuova regola sul consenso nell’articolo 122 del Codice in materia di protezione dei dati personali (Codice Privacy), che recepisce l’articolo 5(3) della Direttiva ePrivacy europea (la cookie law). Il Comitato europeo per la protezione dei dati (EDPB) ha confermato questa lettura nelle Linee guida 2/2023 sull’ambito tecnico dell’articolo 5(3) (versione finale, 7 ottobre 2024): caricare un pixel costituisce una forma di “accesso a informazioni archiviate nel terminale del destinatario”, la stessa operazione già regolata dalla normativa sui cookie. Pixel e cookie condividono ora lo stesso standard di consenso.

Perché il 28 ottobre 2026 è la data che conta

Sei mesi dalla pubblicazione in Gazzetta Ufficiale del 29 aprile 2026 cadono il 28 ottobre 2026. È la data entro la quale le organizzazioni che inviano email a destinatari in Italia devono aver aggiornato flussi di consenso, form di iscrizione e template email.

Il Garante ha previsto una certa flessibilità per gli indirizzi già presenti nelle liste. Durante la fase di transizione, gli invii promozionali esistenti con tracciamento possono continuare, a condizione che i destinatari siano informati alla prima occasione utile e abbiano una possibilità di opt-out granulare. Per i nuovi indirizzi raccolti dalla data di pubblicazione in poi, il regime consent-first si applica da subito.

Quando serve il consenso e quando no

La maggior parte dei pixel usati nelle email di marketing richiede il consenso. Un insieme ristretto di usi operativi non lo richiede.

Tipo di email/finalità del pixelPosizione del Garante
Newsletter, DEM, email promozionali, open-rate trackingConsenso richiesto
Profilazione del destinatario o targeting cross-channelConsenso richiesto
Autenticazione, MFA, reset passwordEsente
Deliverability (rimozione di destinatari inattivi, solo transazionali)Esente, a condizioni stringenti
Open rate aggregato anonimo (stesso pixel per ogni campagna)Esente, solo se anonimizzato
Email obbligatorie per legge o istituzionaliEsente

Due di queste esenzioni meritano attenzione. L’esenzione per deliverability si applica solo alle email transazionali (non agli invii promozionali), solo per eliminare destinatari realmente inattivi, e la piattaforma può conservare solo la data dell’ultima apertura, a livello di giorno, senza informazioni sull’orario. L’esenzione per dati aggregati anonimi è una concessione specifica del Garante: il pixel deve essere identico per ogni destinatario della campagna, e i dati IP e di client devono essere anonimizzati.

Il Garante richiede che, perché l’esenzione aggregata si applichi, possano essere utilizzati solo pixel di tracciamento non individualizzati e che i dati tecnici, come indirizzi IP e informazioni sul client, vengano anonimizzati prima di qualunque archiviazione. Questo si basa sugli stessi principi di minimizzazione dei dati già noti dal Regolamento generale sulla protezione dei dati (GDPR).

Come il Garante si inserisce nel quadro europeo

La Commission nationale de l’informatique et des libertés (CNIL) francese ha assunto una posizione parallela un mese prima. Il 12 marzo 2026 ha adottato la Deliberazione n° 2026-042, pubblicata il 14 aprile. Stesso principio: consenso preventivo prima di qualunque pixel individualizzato. Due differenze meritano una segnalazione se invii in entrambi i mercati.

Primo, la CNIL tratta il consenso al marketing e il consenso al pixel come due consensi separati. Il Garante consente di raggrupparli in un unico consenso informato, purché il linguaggio sia neutro e non coercitivo. Secondo, la CNIL non riconosce l’esenzione per statistiche aggregate anonimizzate; il Garante sì.

Anche le finestre di transizione differiscono. La CNIL ha concesso tre mesi per gli indirizzi pre-esistenti, con scadenza al 14 luglio 2026. Il Garante ne ha concessi sei. Se operi in entrambe le giurisdizioni, dovrai soddisfare entrambi i set di requisiti, perché ciascuno include obblighi specifici che l’altro non replica. Un’impostazione che soddisfa i requisiti di granularità della CNIL coprirà generalmente lo standard di consenso del Garante, ma il Garante aggiunge requisiti che la CNIL non prescrive con la stessa specificità, tra cui un meccanismo di ritiro a due livelli obbligatorio e un’architettura esplicita di pixel ID opachi.

💡 Invii in entrambi i mercati? Nessuno dei due regolamenti è in assoluto più rigoroso. Pianifica l’unione di entrambi: consenso separato per marketing e pixel (CNIL), più ritiro a due livelli e pixel ID opachi (Garante). La scadenza CNIL più ravvicinata del 14 luglio 2026 fissa la tempistica pratica per qualunque setup che debba soddisfare entrambe le autorità.

Cosa devono fare agenzie e team di marketing entro il 28 ottobre 2026

La maggior parte del lavoro riguarda form, template e policy, non l’infrastruttura di invio. Dieci azioni concrete:

  1. Verifica il tuo programma email. Elenca ogni tipo di email (promozionale, newsletter, transazionale) e ogni pixel in uso. Segnala quali invii si basano già su un consenso valido e quali no.
  2. Aggiorna i tuoi form di iscrizione. Aggiungi un’informativa specifica per il pixel e una casella di opt-in non pre-selezionata. Nomina il titolare e qualunque vendor che utilizzi i dati del pixel anche per finalità proprie (un contitolare ai sensi dell’articolo 26 GDPR).
  3. Aggiorna la tua privacy policy. Aggiungi una sezione sul trattamento via pixel: dati raccolti, base giuridica (consenso), conservazione, destinatari terzi e ruolo di responsabile o contitolare. Il brand è il proprietario di questo documento. Se sei un’agenzia che lavora per un cliente la cui policy non menziona ancora i pixel, segnala l’aggiornamento al team legale del cliente con anticipo.
  4. Rivedi la tua pagina delle preferenze. La destinazione del link nel footer deve essere informativa e offrire una scelta granulare: opt-out solo per il pixel, disiscrizione completa, o entrambi.
  5. Aggiungi un link “gestisci le preferenze di tracciamento” nel footer di ogni template email tracciato.
  6. Costruisci un ritiro a due livelli. I destinatari devono poter disattivare il tracciamento via pixel senza disiscriversi. Registra entrambe le scelte separatamente.
  7. Invia una comunicazione di transizione. Prima della scadenza, informa gli iscritti esistenti tramite la prima email utile e offri loro l’opt-out, in particolare per gli indirizzi raccolti prima della pubblicazione.
  8. Usa ID di pixel opachi. Gli URL del pixel devono contenere un identificatore interno, non sequenziale, mai l’indirizzo email stesso.
  9. Aggiungi una variante HTML senza tracciamento. La tua piattaforma di invio dovrebbe poter consegnare una versione dell’email priva di pixel quando il consenso manca o viene revocato, non solo bloccare lato server.
  10. Mantieni un log dei consensi. Un registro immutabile per indirizzo: timestamp del consenso, finalità, versione del testo, ed eventuali modifiche successive. Il nostro Consent Database lo fornisce out-of-the-box, inclusa la prova in caso di revoca.

💡 Un punto di inquadramento da tenere a mente: il mittente è il titolare, anche quando la gestione del pixel è completamente esternalizzata a un email service provider. Una clausola contrattuale che richiede al tuo ESP di raccogliere il consenso per tuo conto non basta; servono anche i registri di prova sottostanti.

Come iubenda può aiutarti

Il nostro Privacy and Cookie Policy Generator copre già la divulgazione di cookie e tracker per la maggior parte dei setup di marketing, incluse clausole personalizzate che riflettono l’effettivo utilizzo dei pixel, in modo che l’aggiornamento della privacy policy (azione 3 sopra) sia semplice da implementare.

Il Consent Database gestisce il log dei consensi per ogni indirizzo, con timestamp, finalità e prova in caso di revoca. Se utilizzi già iubenda per la tua privacy policy e i tuoi registri di consenso, hai i due elementi di compliance più critici già in atto. La scadenza del 28 ottobre 2026 è abbastanza vicina da rendere utile rivedere la tua configurazione attuale fin da ora.

Scopri il nostro Privacy and Cookie Policy Generator →

Related Posts