Con il provvedimento n. 284 del 17 aprile 2026, pubblicato in Gazzetta Ufficiale il 29 aprile 2026 , il Garante per la protezione dei dati personali ha adottato nuove linee guida sull’utilizzo dei tracking pixel nelle comunicazioni di posta elettronica, introducendo regole puntuali per imprese, professionisti e fornitori di servizi digitali.

Il documento interviene su una pratica ampiamente diffusa, soprattutto nelle attività di marketing e comunicazione digitale, chiarendo i presupposti di liceità del trattamento dei dati personali derivanti dal monitoraggio dell’apertura delle email.

 I tracking pixel, infatti, consentono di raccogliere informazioni sull’interazione degli utenti (apertura, tempo di lettura, dispositivo utilizzato), configurando veri e propri trattamenti di dati personali. Il garante precisa che si tratta di "marcatori   particolarmente   invasivi soprattutto in ragione del loro carattere nascosto. La  ricezione  di  strumenti di tracciamento non riconoscibili il cui  impiego  non  sia noto alla persona nel cui terminale vengono installati determina  una

violazione, innanzitutto, del fondamentale principio  di  correttezza. Per questo le linee guida sono rivolte quindi  a tutti i soggetti che, a qualsiasi titolo, utilizzano tali strumenti (aziende, PA, provider di servizi email e piattaforme di marketing automation)  .

Viene fissato un termine di 6 mesi dalla pubblicazione per l’adeguamento delle procedure , che deve avvenire quindi entro il 28 ottobre 2026.

La disciplina in vigore

I documento dell'autorità  Garante inquadra l’utilizzo dei tracking pixel nell’ambito della disciplina europea e nazionale sulla protezione dei dati personali, richiamando in particolare:

1. il Regolamento (UE) 2016/679 (GDPR);
2. la direttiva e-Privacy 2002/58/CE;
3. l’art. 122 del Codice Privacy (d.lgs. 196/2003).

Occorre precisare che dal punto di vista giuridico, l’inserimento del pixel in una email e la successiva raccolta delle informazioni costituiscono:

1. archiviazione di informazioni nel terminale dell’utente;
2. accesso a informazioni già archiviate,

 operazioni  che rientrano  nella disciplina dell’art. 122 del Codice Privacy, che consente il trattamento solo in presenza di:

• consenso preventivo dell’utente;
• oppure specifiche deroghe (necessità tecnica o servizio richiesto).

Il Garante ribadisce inoltre il principio di prevalenza della normativa e-Privacy, quale lex specialis rispetto al GDPR, per le attività di comunicazione elettronica.

Cosa devono fare le aziende

Le linee guida forniscono indicazioni concrete per l’adeguamento da parte di datori di lavoro, imprese e consulenti, su 4  aspetti  fondamentali

Raccolta del consenso

Deve essere preventiva, libera e informata;

• può essere unificata con il consenso marketing, se chiaramente esplicitato;
• va raccolta preferibilmente al momento dell’acquisizione dell’email.

Gestione della revoca

Le linee guida affermano che il titolare deve garantire:

• revoca semplice e immediata;
• possibilità di revoca granulare (solo tracking o anche email);
• presenza di link o area dedicata (es. footer email).

Caratteristiche dell' nformativa operativa

• è possibile : inserire una nota sintetica nei moduli di raccolta dati;
• collegare a informativa estesa (privacy/cookie policy);
• aggiornare le informative esistenti al primo invio utile.
• Misure tecniche (privacy by design)

Il Garante suggerisce specificamente::

• uso di identificativi non riconducibili direttamente all’email;
• separazione dei dati identificativi dai dati di tracciamento;
• anonimizzazione delle informazioni quando possibile.

Adeguamento dei sistemi

Piu in generale quindi è necessario che le aziende  provvedano a 

• mappare i trattamenti con tracking pixel;
• verificare le basi giuridiche applicate;
• aggiornare piattaforme e workflow di marketing automation;

per adeguarsi nel termine di  6 mesi dalla pubblicazione  delle Linee guida .

La tipologia di messaggi considerati nelle Linee guida: 

Dal punto di vista della loro tipologia, e' possibile distinguere i messaggi che  vengono  inviati  all'utente  secondo  diversi  modelli ricorrenti: 

1.     Newsletter, cioe' comunicazioni periodiche generalmente inviate a destinatari iscritti in una lista  di  contatti  e  finalizzate  alla diffusione di  aggiornamenti,  contenuti  informativi,  comunicazioni aziendali o materiali editoriali; 
2.     DEM (Direct E-mail Marketing), categoria alla quale  appartengono le   comunicazioni   di   natura   prevalentemente   promozionale   o commerciale, inviate a gruppi di destinatari selezionati dal  cliente della piattaforma ovvero dal provider  che  utilizzi  liste  proprie  a  beneficio  di  terzi
3.     e-mail transazionali e messaggi automatici: comunicazioni inviate automaticamente in relazione al verificarsi di determinati eventi (ad esempio messaggi di benvenuto, follow-up successivi a  un'iscrizione),o ad una specifica azione  compiuta  dall'utente  o  a  una  transazione in corso, quali ad  esempio  conferme  di  registrazione,  d'ordine o trasmissione di credenziali  temporanee
4.     e-mail di servizio, che contengono, in linea  generale,  messaggi il cui contenuto e' funzionale a specifiche esigenze  del  singolo  o  anche   della   collettivita',   poiche'   caratterizzate   da    una funzionalita' di tipo pubblicistico

FAQ operative sui tracking pixel nelle email

Cosa sono i tracking pixel?

I tracking pixel sono immagini di dimensioni minime (spesso 1×1 pixel), generalmente invisibili all’utente, inserite nel codice HTML delle email. Quando il destinatario apre il messaggio, il pixel viene caricato da un server remoto, consentendo al mittente di rilevare informazioni sull’apertura e sull’interazione con la comunicazione.

Quali dati possono raccogliere?

I pixel possono rilevare diversi dati tecnici, tra cui:

• apertura dell’email;
• data e ora di lettura;
• indirizzo IP;
• tipo di dispositivo o client di posta;
• numero di aperture del messaggio.

L’utente può evitare il tracciamento?

Sì, ma con limiti operativi. Il tracciamento può essere impedito disabilitando il caricamento automatico delle immagini o visualizzando le email in formato solo testo. Tuttavia, questa scelta blocca tutte le immagini, non solo i tracking pixel.

I tracking pixel leggono il contenuto delle email?

No. I pixel non accedono al contenuto del messaggio, ma monitorano esclusivamente l’evento di apertura e alcuni dati tecnici correlati.

Sono sempre illegali?

No. Il loro utilizzo è lecito se rispettano le condizioni previste dalla normativa privacy: informativa adeguata, consenso quando richiesto o presenza di una delle deroghe previste dall’art. 122 del Codice Privacy.

È possibile usare i pixel nelle newsletter aziendali?

Sì, ma:

• per analisi aggregate e anonime possono essere utilizzati senza consenso;
• per analisi individuali o profilazione è necessario il consenso preventivo dell’utente.

Chi è responsabile del trattamento dei dati?

Dipende dalla configurazione operativa del sistema IT aziendale. Possono essere coinvolti:

il mittente dell’email (titolare del trattamento);

il provider della piattaforma di invio;

eventuali fornitori di tecnologia di tracciamento.

I pixel possono essere utilizzati nelle email di servizio o obbligatorie?

Sì, in alcuni casi senza consenso, se il loro utilizzo è necessario per garantire sicurezza, corretta erogazione del servizio o adempimenti obbligatori (es. notifiche, conferme, comunicazioni istituzionali).

Cosa si intende per revoca granulare del consenso?

La revoca granulare è la possibilità per l’utente di ritirare il consenso solo per alcune finalità, senza interrompere completamente il servizio.

Ad esempio, può scegliere di continuare a ricevere le email ma senza essere tracciato tramite tracking pixel, oppure revocare tutto e non ricevere più comunicazioni.

• Provvedimento Garante Privacy 584 del 16.4.2026 - Linee guida Tracking pixel

Con il provvedimento n. 755 del 18 dicembre 2025, il Garante per la protezione dei dati personali è intervenuto su un tema di grande attualità per datori di lavoro e consulenti: l’utilizzo di sistemi di telematica satellitare installati sui veicoli aziendali assegnati ai dipendenti.

 Il caso esaminato riguarda l’adozione di dispositivi in grado di raccogliere dati dettagliati sullo stile di guida, finalizzati all’attribuzione di punteggi di rischio e alla successiva valutazione dei comportamenti dei lavoratori.

L’Autorità ha svolto un’istruttoria  a seguito di un reclamo, per verificare la conformità del trattamento dei dati personali ai principi in materia di protezione dei dati e alla disciplina lavoristica. L’esito del procedimento ha portato alla dichiarazione di illiceità del trattamento, all’ordine di cancellazione dei dati e all’applicazione di una sanzione amministrativa pecuniaria. Il provvedimento offre indicazioni operative rilevanti per tutte le imprese che utilizzano o intendono utilizzare strumenti tecnologici di monitoraggio connessi all’attività lavorativa.

Il caso sottoposto al Garante Privacy

L’istruttoria ha riguardato l’installazione, su veicoli aziendali concessi anche ad uso promiscuo, di dispositivi telematici capaci di rilevare informazioni sui viaggi effettuati e sui comportamenti di guida, come frenate, accelerazioni, velocità e sterzate. Tali dati venivano elaborati dal sistema per assegnare a ciascun conducente uno “score” e un livello di rischio, utilizzati nell’ambito di un programma aziendale di sicurezza.

Dall’attività ispettiva è emerso che i dati raccolti includevano non solo quelli relativi ai viaggi di lavoro, ma anche quelli riferiti agli spostamenti privati, pur in assenza di geolocalizzazione puntuale.

Inoltre le informazioni erano conservate per un periodo significativo e rese accessibili, con diversi livelli di dettaglio, a soggetti interni ed esterni al datore di lavoro, appartenenti anche ad altre società del gruppo.

L’Autorità ha rilevato  anche criticità nella documentazione informativa fornita ai dipendenti, ritenuta non idonea a descrivere in modo chiaro finalità, presupposti di liceità, ruoli dei soggetti coinvolti e flussi di dati. 

È stato inoltre accertato che non erano state attivate le procedure di garanzia previste per i controlli a distanza dei lavoratori, nonostante il sistema lo consentisse ; il trattamento risultava quindi esteso anche a dati non strettamente pertinenti all’attitudine professionale.

La decisione e le sanzioni all’impresa

Al termine del procedimento, il Garante ha dichiarato illecito il trattamento dei dati personali effettuato mediante il programma di telematica satellitare. 

La decisione si fonda, come detto, su una pluralità di violazioni, tra cui il mancato rispetto dei principi di trasparenza, correttezza, limitazione delle finalità e minimizzazione dei dati, nonché sull’assenza di un valido presupposto di liceità per il trattamento basato sul legittimo interesse.

Particolarmente rilevante è la valutazione dell’Autorità secondo cui la raccolta e l’analisi dei dati relativi anche ai viaggi privati, unitamente all’assegnazione di punteggi individuali, integrano una forma di controllo sull’attività del lavoratore. Tale controllo, se effettuato senza le garanzie previste dallo Statuto dei lavoratori e richiamate dal Codice in materia di protezione dei dati personali, rende il trattamento non conforme alla normativa.

Il Garante ha inoltre evidenziato l’irregolare comunicazione dei dati a soggetti terzi, in assenza di una corretta designazione dei responsabili del trattamento e di istruzioni documentate, nonché l’inadeguatezza delle valutazioni preventive svolte dall’azienda.

In conseguenza delle violazioni accertate, l’Autorità ha ordinato la cancellazione dei dati utilizzati per l’attribuzione degli score e ha irrogato una sanzione amministrativa di 120.000 euro, disponendo anche la pubblicazione del provvedimento. La decisione conferma che l’uso di strumenti tecnologici sui veicoli aziendali richiede un’attenta valutazione preventiva, il rispetto delle garanzie previste per il controllo dei lavoratori e una rigorosa gestione dei dati personali, in coerenza con il Regolamento (UE) 2016/679.

Con provvedimento n. 389 del 10 luglio 2025, il Garante per la protezione dei dati personali ha accertato una grave violazione della normativa in materia di privacy da parte di una compagnia assicurativa, sanzionata con 80.000 euro. 

Il caso ha origine da un reclamo presentato ai sensi dell’art. 77 del Regolamento (UE) 2016/679, che ha evidenziato la comunicazione non autorizzata di informazioni personali relative a tre polizze vita a un indirizzo email estraneo alla titolare.

Secondo quanto ricostruito, la compagnia aveva ricevuto diverse richieste contenenti informazioni dettagliate sulle polizze, corredate da firma autografa e altri dati identificativi. In buona fede, ritenendo legittime le richieste, l’azienda ha fornito riscontro a tali comunicazioni tra il 2021 e il 2023, senza verificare con certezza l’identità del mittente. Solo nel settembre 2024, a seguito della segnalazione della reale intestataria, è emerso che le comunicazioni erano state inviate da un soggetto terzo che si era finto lei, utilizzando un indirizzo email tedesco mai registrato dalla cliente, in un caso di "phishing" contro il quale la compagnia non aveva messo in atto le dovute precauzioni.

L’istruttoria del Garante e le responsabilità accertate

La compagnia ha riferito di aver agito con diligenza e in buona fede, spiegando che le richieste apparivano verosimili per la presenza di dettagli specifici, come importi e date dei versamenti, e la firma autografa dell’intestataria. Tuttavia, il Garante ha sottolineato che la cliente non aveva mai fornito un indirizzo email per ricevere comunicazioni ufficiali e  che pertanto l’azienda avrebbe dovuto adottare misure più rigorose per verificare l’identità del richiedente.

Nel corso dell’istruttoria è emerso che, pur essendo a conoscenza del disconoscimento dell’indirizzo email già da settembre 2024, la compagnia ha notificato la violazione all’Autorità solo a gennaio 2025, superando il termine di 72 ore previsto dall’art. 33 del Regolamento (UE) 2016/679. Secondo le Linee guida 9/2022 del Comitato europeo per la protezione dei dati, il titolare del trattamento è considerato “a conoscenza” della violazione non appena ha ragionevole certezza che si sia verificato un incidente di sicurezza.

Il Garante ha evidenziato come la mancanza di verifica preventiva e il ritardo nella notifica abbiano costituito violazioni dei principi di liceità, correttezza e sicurezza dei dati (art. 5, par. 1, lett. a) e f), e art. 33, par. 1 del Regolamento), dichiarando illecito il trattamento dei dati personali da parte della compagnia

.

La sanzione e le misure correttive adottate

Alla luce della natura colposa della violazione e del fatto che questa ha interessato dati personali riferiti a polizze vita, il Garante ha disposto una sanzione amministrativa pecuniaria pari a 80.000 euro. Nella determinazione dell’importo sono state considerate anche le misure correttive adottate dalla compagnia, tra cui:

• sospensione immediata delle comunicazioni all’indirizzo email disconosciuto;
• avvio di una revisione delle procedure aziendali per rafforzare i controlli sull’identità dei richiedenti;
• collaborazione con l’Autorità durante il procedimento;
• assenza di precedenti specifici.

Inoltre, la società ha presentato denuncia contro ignoti e ha previsto che, in futuro, le richieste relative ai rapporti contrattuali potranno essere evase solo in presenza di specifiche condizioni, come l’uso di recapiti certificati o l’allegazione di un documento di identità.

Il Garante ha disposto la pubblicazione dell’ordinanza di ingiunzione sul proprio sito istituzionale, come previsto dall’art. 166 del Codice in materia di protezione dei dati personali, per garantire la massima trasparenza e informare cittadini e operatori sulle conseguenze delle violazioni in materia di trattamento dei dati personali.

Con un provvedimento del 10 luglio 2025, il Garante per la protezione dei dati personali ha sanzionato una società per aver trattato in modo illecito i dati dei lavoratori in occasione di colloqui di rientro dopo assenze per motivi di salute. 

L’uso di un modulo specifico per raccogliere informazioni personali, seppur finalizzato al reinserimento lavorativo, è risultato non conforme al Regolamento (UE) 2016/679 (GDPR) e alla normativa nazionale in materia di privacy.

Il caso: questionario per il rientro al lavoro

La vicenda trae origine da una segnalazione sindacale relativa alla prassi aziendale di sottoporre i dipendenti, dopo periodi di assenza per malattia, infortunio o ricovero, a un colloquio strutturato con un proprio responsabile. In tale occasione veniva compilato un modulo denominato Return to Work Interview (RTWI), successivamente archiviato nelle risorse umane.

La finalità dichiarata dall’azienda era quella di tutelare la salute e il benessere psico-fisico dei lavoratori e facilitare il loro reinserimento. Tuttavia, il Garante ha riscontrato che il modulo poteva raccogliere dati sanitari, anche indirettamente, in violazione delle disposizioni che riservano tali trattamenti al solo medico competente. Inoltre, non veniva fornita un’informativa adeguata né era garantita la libertà del consenso.

La decisione del Garante: gravi violazioni accertate

L’Autorità ha  evidenziato dunque diverse serie  criticità, tra cui:

1. Mancanza di un’informativa chiara e completa: le poche righe presenti all’inizio del modulo non descrivevano in modo esaustivo il trattamento dei dati. Anche le informazioni fornite nei portali aziendali risultavano generiche e non riferibili allo specifico trattamento.
2. Trattamento illecito di dati sanitari: alcune domande contenute nel modulo potevano comportare, direttamente o attraverso i commenti del lavoratore, la rivelazione di dati sensibili. Secondo il GDPR, tali trattamenti devono essere autorizzati dal diritto dell’Unione o nazionale, oppure essere effettuati esclusivamente dal medico competente, come previsto dal D.lgs. 81/2008.
3. Base giuridica inadeguata: la società faceva riferimento alternativamente a obblighi di legge (art. 2087 c.c.), consenso o legittimo interesse. Il Garante ha ribadito che, nel rapporto di lavoro, il consenso non è di norma valido a causa del disequilibrio tra le parti, e che il trattamento di dati sanitari richiede presupposti specifici.
4. Violazione dei principi di minimizzazione e limitazione della conservazione: le informazioni raccolte erano in parte superflue, già note all’ufficio del personale, e conservate fino a 10 anni, senza criteri chiari per la loro cancellazione.

Le misure: sanzione e obbligo di cancellazione –

Il Garante ha concluso che il trattamento non rispettava diversi articoli del Regolamento (in particolare artt. 5, 6, 9, 13 e 88) e l’art. 113 del Codice Privacy. 

Ha quindi disposto:

• Il divieto di proseguire nel trattamento dei dati raccolti tramite i moduli;
• La cancellazione dei dati già acquisiti, entro 60 giorni dalla notifica del provvedimento;
• L’irrogazione di una sanzione pecuniaria pari a 50.000 euro.

Il provvedimento è stato pubblicato sul sito dell’Autorità, anche per l’alto numero di lavoratori coinvolti e la durata della violazione, protrattasi dal 2020.

Questo caso sottolinea l’importanza, per le aziende, di coniugare le buone prassi organizzative con il rispetto della normativa in materia di privacy. 

Inoltre, anche iniziative finalizzate alla tutela del benessere lavorativo devono essere progettate nel rispetto del principio di liceità e della normativa sul trattamento dei dati. In particolare, quando si sfiorano dati relativi alla salute, occorre che il trattamento sia strettamente necessario, autorizzato dalla legge e condotto da soggetti legittimati.

Nell'ordinanza della Corte di Cassazione n. 807 del 13 gennaio scorso vengono chiariti ulteriormente i vincoli  che la normativa del lavoro e il Regolamento sulla privacy  pongono ai datori di lavoro in merito all'utilizzo   dei dispositivi elettronici aziendali . La nuova pronuncia si occupa in particolare di un caso di  licenziamento a seguito  di indagini sul pc di un dipendente a causa di fondati sospetti di attività illecita , nel quale la Suprema corte  conferma la decisione di merito sottolineando   che il  controllo  sui  periodi precedenti il sospetto, è vietato,  per cui le eventuali  informazioni  acquisite non sono  utilizzabili a fini  di una contestazione disciplinare verso il dipendente.

Controllo posta elettronica : i limiti dello Statuto dei lavoratori e Jobs At

La Cassazione afferma ancora una volta come , i controlli tecnologici sugli strumenti digitali aziendali, sebbene ammessi dallo Statuto dei lavoratori modificato dal Jobs Act del 2015, devono rispettare specifici parametri di bilanciamento tra  il rispetto della privacy del lavoratore e le esigenze di tutela degli interessi aziendali.

 In particolare, le verifiche sono ammesse:

• solo in presenza di un fondato sospetto  di attività illecite e 
•  devono limitarsi ai dati raccolti successivamente al suo insorgere .

 Qualsiasi verifica retrospettiva, come quella effettuata nel caso analizzato, viola l’articolo 4 dello Statuto dei lavoratori, che consente controlli unicamente ex post.

 Inoltre, viene precisato che l’informativa sulla privacy  regolarmente visionata e accettata dal dipendente , non può sanare l’illegittimità di controlli eseguiti in violazione delle norme, poiché tale adempimento ha finalità diverse. 

La sentenza sottolinea   che l’azione disciplinare può basarsi solo su dati raccolti nel rispetto di questi limiti, impedendo al datore di lavoro di utilizzare prove raccolte in modo improprio o di cercare conferme di un sospetto esplorando dati archiviati precedentemente.