Tracking pixel delle email, stesso trattamento dei cookies

10 Giugno 2026  ·  9 min di lettura

Il Garante ha deciso che aprire un messaggio è un’azione che merita lo stesso livello di protezione dei cookies e se hai sempre pensato che il consenso all’invio della newsletter coprisse anche il tracciamento, sappi che ti sbagliavi. La buona notizia è che hai tempo fino al 28 ottobre per sistemarlo.

Il Garante per la protezione dei dati personali con il Provvedimento n. 284 del 17 aprile 2026, pubblicato in Gazzetta Ufficiale il 29 aprile 2026 ha adottato le prime linee guida nazionali dedicate specificamente ai tracking pixel nelle comunicazioni di posta elettronica. Analogo provvedimento è stato preso dall’omologo francese, la Commission nationale de l’informatique et des libertés (CNIL) il 12 marzo 2026, tuttavia mentre il garante francese tratta il consenso al marketing e il consenso al pixel come due consensi separati, l’organo italiano ne ritiene sufficiente uno, purchè si utilizzi un linguaggio chiaro e non “coercitivo”. Attenzione quindi a chi opera in Francia, poiché dovrà adattarsi a termini più brevi e indicazioni più stringenti.

Il termine per adeguarsi è fissato a sei mesi dalla pubblicazione, quindi entro il 28 ottobre 2026. Entro agosto in Francia.

Sei mesi. Non è molto, considerando che la maggior parte delle PMI italiane non sa nemmeno di usare un pixel di tracciamento.

Ho scritto di recente che l’email marketing non è roba da boomer, questo provvedimento non mette in discussione il canale: ma come lo si usa o chi non lo usa correttamente.

Cosa è un tracking pixel e perché il Garante lo considera un problema

I tracking pixel sono immagini di dimensioni minime, spesso trasparenti e non percepibili dal destinatario, inserite all’interno delle email e ospitate su server remoti, spesso sono quelli dei provider di posta (ESP – Email Service Provider).

Al momento dell’apertura del messaggio, il sistema rileva informazioni sull’avvenuta consultazione, sul numero di aperture, sul dispositivo utilizzato e, in alcuni casi, su ulteriori dati tecnici riconducibili al destinatario.

Ogni volta che qualcuno apre la tua newsletter, il tuo ESP registra silenziosamente ora, dispositivo, client di posta, indirizzo IP e numero di riaperture. Tutto senza che il destinatario ne sia (esplicitamente) consapevole.

Il punto critico, secondo il Garante, non è solo la raccolta di dati comportamentali. È che il tracciamento avviene in modo occulto, senza che l’utente ne sia a conoscenza, nel contesto privato della casella di posta. Diversamente da un cookie su un sito web, che almeno viene segnalato da un banner, il pixel nelle email opera nell’ombra.

La regola nuova: stesso standard dei cookie

Il cambiamento centrale è preciso: ogni pixel di tracciamento che si attiva quando il destinatario apre un messaggio e lo identifica individualmente richiede ora un consenso preventivo opt-in, lo stesso standard legale già applicato ai cookie.

Questo chiude definitivamente la zona grigia in cui molti operavano. Prima del provvedimento, il consenso al ricevere email marketing veniva spesso considerato sufficiente anche per il tracciamento. Il Garante chiarisce che non è così: il consenso all’invio e il consenso al tracciamento sono due cose distinte, e il secondo deve essere esplicito, granulare e revocabile indipendentemente dal primo.

Tradotto in italiano operativo: l’utente deve poter ricevere la tua newsletter senza essere tracciato, se lo preferisce. Non puoi condizionare l’iscrizione all’accettazione del tracking.

Cosa puoi ancora fare senza consenso

Il provvedimento non vieta il tracciamento in assoluto. Stabilisce le deroghe in cui non serve il consenso preventivo.

  1. La prima riguarda le statistiche aggregate anonime: un unico pixel condiviso per tutta la campagna, con anonimizzazione completa dei dati tecnici prima della conservazione. Puoi sapere quante email sono state aperte in totale, non chi le ha aperte. La condizione è che non avvenga nessun trattamento individuale: nessuna associazione tra l’apertura e il profilo del contatto, nessuna automazione attivata dall’evento. Il pixel standard di ActiveCampaign o Brevo, che registra l’apertura collegandola al singolo contatto, non soddisfa questa condizione e quindi non rientra nella deroga.
  2. La seconda deroga riguarda le finalità strettamente necessarie alla trasmissione: email transazionali come autenticazione, reset password, conferma ordine. Qui il tracciamento minimo è legittimo perché funzionale al servizio richiesto dall’utente. Per tutto il resto, consenso obbligatorio.

L’impatto che nessuno sta ancora calcolando: le automazioni

Qui sta il problema più profondo, quello che quasi nessuna analisi sul provvedimento ha ancora affrontato con chiarezza.

Il pixel individuale non è un optional dell’email marketing automation. È il motore logico su cui girano i flussi automatizzati. Le piattaforme di email marketing promettono metriche sempre più precise sull’apertura dei messaggi, ma il punto di equilibrio si trova nella trasparenza dell’informativa e in un consenso davvero granulare, capace di distinguere iscrizione e tracciamento. Come sarà possibile riprogettare i propri flussi senza svuotare l’efficacia delle campagne?

Il trigger “ha aperto l’email X” per avviare la sequenza successiva. Il tag “utente attivo” basato sulle aperture degli ultimi 90 giorni. Il flusso di re-engagement che parte dopo 30 giorni di inattività, dove l’inattività è misurata dalle mancate aperture. Il lead scoring che assegna punti a ogni apertura. La segmentazione attivi/inattivi usata per proteggere la deliverability. La pulizia automatica delle liste basata sull’assenza di aperture.

Tutti questi flussi, nella stragrande maggioranza delle installazioni italiane, funzionano senza consenso esplicito al tracciamento. Dal 28 ottobre sono fuori norma.
Non si tratta di aggiustare un form di iscrizione. Si tratta di riprogettare la logica dei flussi automatizzati partendo da un segnale diverso dall’apertura.

Chi non ottiene il consenso al tracking si ritrova con automazioni che sparano nel buio: non sa chi ha letto, non sa chi è inattivo, non sa a che punto del funnel si trova ogni contatto. Il flusso continua a girare tecnicamente, ma la sua intelligenza si azzera.

L’impatto sul CRM: il dato di engagement che non hai più

Molti CRM si alimentano con i dati comportamentali delle email: aperture, click, sequenze completate, punteggi di engagement. Questi dati entrano nei record dei contatti, guidano la prioritizzazione dei lead, determinano quando un commerciale deve fare follow-up.

Senza consenso al tracking, questo flusso di dati si interrompe parzialmente. I contatti che non hanno dato il consenso smettono di aggiornare il proprio profilo CRM attraverso il comportamento email. Rimangono statici, con dati sempre più vecchi, mentre il CRM continua a mostrarli con lo stesso punteggio di engagement di sei mesi fa.

Il CRM diventa progressivamente meno affidabile come strumento di prioritizzazione commerciale, a meno di non sostituire i dati impliciti delle aperture con dati espliciti di altra natura.

La soluzione non è teoricamente difficile: si costruisce su click tracciati, comportamento sul sito con consenso cookie corretto, dati dichiarati nei form, risposte dirette alle email, interazioni con il preference center. Sono tutti segnali che non richiedono il pixel e che, in molti casi, sono indicatori di engagement più affidabili dell’apertura. Un click vale molto di più di un’apertura passiva. Una risposta diretta vale ancora di più.

Ma richiede un lavoro di riprogettazione che va fatto prima della scadenza, non dopo.

Gli open rate che conosci oggi sono già parzialmente falsi. Vale la pena dirlo chiaramente, perché è un dato che molti ignorano.

Da quando Apple ha introdotto Mail Privacy Protection nel 2021, gli open rate sono già distorti su tutti i client Apple Mail: il sistema pre-carica le immagini delle email, incluso il pixel, indipendentemente dal fatto che l’utente abbia effettivamente aperto il messaggio. Su alcune liste con alta penetrazione Apple, gli open rate dichiarati possono essere gonfiati del 20-40% rispetto alla realtà.

Con il provvedimento del Garante, la distorsione andrà nella direzione opposta: gli open rate caleranno perché solo chi ha dato il consenso verrà tracciato individualmente. Su liste con bassa propensione al consenso, i numeri potrebbero dimezzarsi, non perché le email vengano lette meno, ma perché smetti di vederle lette.

Questa non è una cattiva notizia in assoluto. È un ritorno alla realtà. Chi ha sempre ottimizzato le campagne sui click, sulle conversioni e sul fatturato attribuito, non sui tassi di apertura, sentirà questo cambiamento molto meno di chi ha costruito tutto sulla metrica più facile da misurare e più facile da gonfiare.

Cosa fare entro il 28 ottobre 2026

Il lavoro da fare si articola su quattro livelli distinti.

  • Livello 1: acquisizione del consenso. Aggiornare i form di iscrizione con una checkbox separata, non pre-selezionata, per il consenso al tracciamento. Costruire un preference center che permetta la revoca granulare: l’utente revoca il tracking mantenendo l’iscrizione. Se l’utente non risponde o nega il consenso, è necessario disattivare il pixel per quel destinatario, pur potendo continuare a inviargli la newsletter standard. Fino a quando non si ottiene il nuovo consenso, la scelta più sicura in termini di privacy by default è impostare il software di invio in modo da non inserire il pixel nelle email inviate ai vecchi iscritti che non hanno ancora espresso una preferenza.
  • Livello 2: revisione delle automazioni. Audit completo dei flussi esistenti. Identificare quali trigger dipendono dalle aperture. Riprogettare quei trigger su click, comportamento sul sito o dati dichiarati. Non è un lavoro di un pomeriggio: su automazioni complesse con molti flussi interconnessi, può richiedere settimane.
  • Livello 3: aggiornamento del CRM. Rivedere i campi di engagement alimentati dalle aperture email. Costruire logiche di scoring alternative basate su segnali che non richiedono il pixel. Formare il team commerciale sul fatto che il dato di engagement email cambierà aspetto.
  • Livello 4: aspetti legali e contrattuali. Aggiornare la privacy policy e l’informativa agli iscritti. Il Garante richiede l’implementazione delle regole di privacy by design e by default, che impone ai titolari del trattamento di adottare, fin dalla fase di progettazione dei sistemi, misure tecniche e organizzative idonee ad attuare in modo efficace i principi di protezione dei dati. Aggiornare i contratti con gli ESP come responsabili del trattamento. Per le liste esistenti, inviare l’informativa aggiornata nel primo messaggio utile. Razorpay

Questo provvedimento non è una punizione per chi fa email marketing. Chi fa email marketing in modo professionale, con liste di qualità, contenuti rilevanti e processi corretti, ha già gli ingredienti per ottenere tassi di consenso al tracking alti. Chi manda comunicazioni irrilevanti se ne accorgerà subito.

Il consenso al tracciamento diventa un indicatore di qualità della relazione con il proprio database. Non è una metrica che trovi nei report di nessun ESP, ma è esattamente questo: se le persone ti danno il permesso di tracciarle, significa che si fidano di te e si aspettano qualcosa di utile in cambio.

Chi trasforma la compliance in un processo trasparente, comunicando chiaramente perché traccia e cosa fa con quei dati, costruisce una relazione di fiducia difficile da replicare da chi arriva dopo. Questo non è ottimismo di maniera. È la stessa logica che ha premiato chi ha gestito bene il GDPR nel 2018 rispetto a chi ha ignorato il problema: liste più pulite, engagement più alto, sanzioni zero.

Se gestisci campagne email per la tua azienda o per i tuoi clienti e non hai ancora avviato questo processo di adeguamento, il momento per iniziare è adesso. Non il 27 ottobre. Se vuoi capire da dove partire nel tuo caso specifico, prenota una call.

Fonte: Garante della Privacy – Provvedimento Tracciamento Pixel 

← Tutti gli articoli
Iniziamo a parlare

Hai un'idea ambiziosa?
Costruiamola insieme.

Prenota una call Scrivici una mail →
Email
hello@gianluigipari.it
Telefono
+39 — 0541 164 7040
Dove siamo
Italia · da remoto · ovunque serva

I cookie necessari abilitano funzioni essenziali del sito come accessi sicuri e regolazioni delle preferenze di consenso. Non memorizzano dati personali.
Nessuno
I cookie funzionali supportano funzioni come la condivisione di contenuti sui social media, la raccolta di feedback e l’attivazione di strumenti di terze parti.
Nessuno
I cookie analitici tracciano le interazioni dei visitatori, fornendo dati su metriche come numero di visitatori, frequenza di rimbalzo e fonti di traffico.
Nessuno
I cookie pubblicitari forniscono annunci personalizzati basati sulle tue visite precedenti e analizzano l’efficacia delle campagne pubblicitarie.
Nessuno
Cookie Policy