Email e privacy, stretta sui tracking pixel: servono trasparenza e consenso

Il Garante per la protezione dei dati personali ha adottato nuove linee guida sull’uso dei tracking pixel nelle comunicazioni e-mail, strumenti sempre più diffusi ma spesso poco trasparenti per gli utenti. Si tratta di minuscole immagini invisibili inserite nei messaggi che permettono al mittente di sapere se e quando un’email viene aperta, raccogliendo anche informazioni tecniche come indirizzo IP, dispositivo utilizzato e tempi di lettura.

Secondo l’Autorità, questi strumenti rappresentano una forma di tracciamento potenzialmente invasiva, soprattutto perché l’utente non ne è generalmente consapevole. Per questo motivo, il loro utilizzo deve rispettare i principi di liceità, correttezza e trasparenza previsti dalla normativa europea e nazionale in materia di protezione dei dati.

Le linee guida chiariscono che l’impiego dei tracking pixel equivale a un accesso alle informazioni presenti nel dispositivo dell’utente e, in quanto tale, richiede di norma il consenso preventivo dell’interessato. Fanno eccezione alcuni casi specifici, come l’uso per fini statistici in forma anonima, per esigenze di sicurezza o per comunicazioni di servizio e istituzionali, dove il tracciamento è considerato necessario al funzionamento del servizio o alla tutela dell’utente.

Diverso il caso delle comunicazioni commerciali e di marketing: quando i pixel sono utilizzati per analizzare comportamenti individuali, profilare gli utenti o ottimizzare le campagne promozionali, il consenso diventa obbligatorio. Il Garante ammette tuttavia la possibilità di raccogliere un consenso unico, che includa sia l’invio di comunicazioni promozionali sia il relativo tracciamento, purché l’utente sia adeguatamente informato.

Particolare attenzione viene posta anche agli obblighi di informativa: i destinatari devono essere messi chiaramente a conoscenza dell’uso di questi strumenti, anche attraverso modalità semplificate e multilivello. Inoltre, deve essere sempre garantita la possibilità di revocare il consenso in modo semplice e anche selettivo, ad esempio continuando a ricevere le email ma senza essere tracciati.

Il provvedimento si rivolge a tutti i soggetti coinvolti nell’invio di email, dai mittenti ai fornitori di servizi e piattaforme, e introduce anche indicazioni tecniche per ridurre i rischi di identificazione degli utenti, in linea con i principi di “privacy by design” e “by default”.

Infine, il Garante concede sei mesi di tempo dalla pubblicazione in Gazzetta Ufficiale per adeguarsi alle nuove disposizioni, segnando un ulteriore passo verso una maggiore tutela della riservatezza nelle comunicazioni digitali.

Il testo del provvedimento pubblicato in Gazzetta Ufficiale