Il 17 aprile 2026 il Garante Privacy ha pubblicato il Provvedimento n. 284 sull’uso dei tracking pixel nelle email.
Pubblicato in Gazzetta Ufficiale il 29 aprile 2026, fissa un termine di adeguamento di 6 mesi: entro il 29 ottobre 2026 ogni azienda che usa questi sistemi di monitoraggio nelle email dovrà essere in regola.
Se gestite newsletter, DEM o campagne di email marketing, questo provvedimento vi riguarda direttamente.
Ecco una sintesi di cosa prevede e cosa fare.
Niente tracciamento senza consenso
Il tracking pixel è una minuscola immagine, invisibile all’occhio umano, che si carica automaticamente quando un destinatario apre un’email. Il caricamento avviene da un server remoto e permette di sapere se e quando l’email è stata aperta, quante volte, da quale indirizzo IP e con quale dispositivo.
Il Garante ha chiarito un punto centrale: questo meccanismo equivale a un accesso al dispositivo dell’utente, disciplinato dall’art. 122 del Codice Privacy.
Di conseguenza, salvo eccezioni specifiche, serve il consenso preventivo del destinatario.
Le tre eccezioni che esonerano dal consenso
Il provvedimento individua tre casi in cui il pixel può essere usato senza chiedere il consenso:
- Statistiche aggregate e anonime: se si misura solo il tasso di apertura complessivo di una campagna, senza tracciare il singolo utente. Il Garante suggerisce di usare pixel identici per tutti i destinatari della stessa campagna, in modo che il dato non sia riconducibile al singolo indirizzo.
- Sicurezza e autenticazione: quando il pixel serve a verificare che un’email sensibile (reset password, conferma account, riscontro a una richiesta legata ai diritti GDPR) sia stata aperta su un dispositivo noto all’utente.
- Comunicazioni obbligatorie per legge: notifiche di data breach, variazioni contrattuali, comunicazioni istituzionali: casi in cui l’invio è un obbligo giuridico e sapere se il messaggio è stato ricevuto è funzionale a quell’obbligo.
Fuori da questi tre casi, quindi nella quasi totalità delle campagne di marketing e delle newsletter, il consenso resta necessario.
Come va chiesto il consenso
Una buona notizia per chi gestisce moduli di iscrizione: il Garante ammette che un solo consenso informato possa coprire sia la ricezione delle comunicazioni promozionali sia il tracciamento tramite pixel, senza bisogno di richieste separate.
Questo è possibile a condizione che:
- la formula sia chiara e neutra, senza forzature;
- l’informativa privacy specifichi che le email conterranno sistemi di tracciamento;
- l’utente possa in ogni momento disattivare solo il tracciamento, continuando a ricevere le email.
Quest’ultimo punto, la cosiddetta revoca granulare, è uno degli obblighi più operativi del provvedimento: bisogna offrire due opzioni distinte, non una sola.
L’utente deve poter scegliere tra disiscriversi del tutto oppure continuare a ricevere le comunicazioni senza essere tracciato.
I database già esistenti sono a rischio?
Per i trattamenti già in corso, il Garante non richiede una nuova raccolta del consenso: basta aggiornare l’informativa privacy in occasione del primo invio utile (o del primo momento utile disponibile) e attivare, in parallelo, un meccanismo di revoca granulare per chi è già in lista.
È una misura transitoria: verrà superata man mano che i nuovi iscritti daranno un consenso unico fin dall’inizio.
Come mettersi in regola: le azioni concrete
Per arrivare pronti alla scadenza del 29 ottobre 2026, ecco le azioni da mettere in agenda:
- Aggiornare l’informativa privacy, aggiungendo una sezione dedicata ai tracking pixel (dati raccolti, finalità, conservazione, modalità di revoca).
- Creare un centro preferenze raggiungibile dal footer di ogni email, dove l’utente possa gestire separatamente iscrizione e tracciamento.
- Rivedere i form di iscrizione, rendendo esplicita la presenza dei sistemi di monitoraggio nel testo accanto alla casella di consenso.
Con l’occasione, raccomandiamo sempre di fare pulizia del database, eliminando i contatti privi di un consenso documentato, indipendentemente dalla questione pixel.
Il mercato francese: le regole della CNIL
Se il vostro raggio d’azione si estende alla Francia, c’è un altro adempimento da tenere d’occhio: il 14 aprile anche la CNIL, l’autorità francese per la protezione dei dati, ha pubblicato le sue raccomandazioni sui pixel di tracciamento nelle email.
Qui il termine è più stretto: per i contatti già in lista, la scadenza per informarli e dare loro un modo semplice per opporsi è fissata al 14 luglio 2026, tre mesi dopo la pubblicazione.
Una differenza importante: in Francia, di regola, serve un consenso separato per ogni finalità, ossia uno per ricevere le email commerciali e uno diverso per essere tracciati. Un consenso unico è ammesso solo se le email sono già presentate come “personalizzate” in base agli interessi del destinatario.
Se si opera su entrambi i mercati, ricordatevi di differenziare i testi di consenso e i moduli di iscrizione: i contatti francesi richiedono un checkbox in più rispetto a quelli italiani.
Un’attenzione in più per chi usa piattaforme di marketing automation
Molti strumenti di marketing automation e di email marketing mantengono, ad oggi, il tracciamento delle aperture attivo per tutti gli invii, senza un interruttore nativo che lo scolleghi dall’invio della mail.
Questo significa che, per rispettare la revoca granulare, potrebbero servire configurazioni personalizzate o soluzioni di integrazione ad hoc: un aspetto da pianificare per tempo insieme al team tecnico.





