Le nuove Linee Guida del Garante sui pixel di tracciamento mostrano una verità scomoda per chi guida l’azienda: la conformità si decide a livello di dati, non di documenti. E quando i dati sono frammentati tra sistemi che non si parlano, nessuno sa davvero dove l’azienda è esposta
Il 17 aprile 2026 il Garante per la protezione dei dati personali ha adottato le Linee Guida sull’utilizzo dei pixel di tracciamento nelle comunicazioni di posta elettronica, pubblicate in Gazzetta Ufficiale il 29 aprile 2026. Oggetto del provvedimento è un’immagine invisibile, grande un solo pixel, che molte aziende inseriscono nelle email per sapere se sono state aperte, da quale dispositivo e a che ora.
Sembra un dettaglio tecnico da reparto marketing. Non lo è. Il Garante stabilisce che inserire e leggere quel pixel equivale ad accedere al dispositivo del destinatario, e che questa operazione richiede informativa preventiva e, salvo specifiche eccezioni, il consenso della persona. Le aziende hanno sei mesi dalla pubblicazione per adeguarsi.
Per chi guida un’azienda strutturata, il punto non è il pixel. Il punto è il segnale. Il GDPR (Regolamento generale sulla protezione dei dati) non è un perimetro fermo che si presidia una volta e si archivia: è un confine che si sposta, e che entra sempre più nelle operazioni quotidiane — ogni newsletter, ogni DEM (Direct Email Marketing, l’invio promozionale a liste di contatti), ogni email automatica. La domanda che un provvedimento come questo solleva non riguarda un adempimento isolato. Riguarda la capacità dell’azienda di sapere, in ogni momento, dove sono i propri dati e cosa può farne.
Vale la pena capire cosa ha deciso il Garante, perché illustra bene il meccanismo. Il pixel di tracciamento è un’immagine ospitata su un server remoto: quando il destinatario apre l’email, il programma di posta la scarica, e questa semplice richiesta comunica al mittente l’avvenuta apertura, l’indirizzo IP, il tipo di dispositivo, l’orario, il numero di riaperture. Spesso il marcatore è univoco per singolo destinatario. È, in sostanza, un tracciamento occulto: la persona non lo vede e non sa che esiste.
Su questa base il Garante richiama tre obblighi. Primo: trasparenza — l’uso del pixel va reso noto al destinatario, qualunque sia lo scopo dell’email. Secondo: consenso — necessario ogni volta che il tracciamento serve a misurare i comportamenti individuali e a profilare, mentre resta una deroga per finalità statistiche anonime, di sicurezza o per messaggi istituzionali e di servizio. Terzo: revoca granulare — la persona deve poter ritirare il consenso in modo agevole, anche solo per il tracciamento, continuando a ricevere le comunicazioni. A monte di tutto, il principio di privacy by design e by default (art. 25 del Regolamento): i sistemi vanno progettati perché il comportamento conforme sia quello predefinito.
La domanda non è «siamo a posto col GDPR?». È: «sapremmo dimostrarlo, dato per dato, se ce lo chiedessero domani?»
Tradotto per chi decide: non basta avere una privacy policy ben scritta. Bisogna che il consenso raccolto, le scelte revocate e gli accessi ai dati siano tracciati, coerenti e dimostrabili attraverso tutti i sistemi che toccano il cliente. Ed è qui che, nella maggior parte delle aziende strutturate, il meccanismo si inceppa.
Le aziende che incontriamo hanno investito in sistemi per anni. Il CRM (Customer Relationship Management, il sistema che gestisce la relazione commerciale) conserva i contatti e i consensi commerciali. La piattaforma di email marketing gestisce gli invii e le iscrizioni. Il gestionale registra ordini e fatture. L’eCommerce raccoglie comportamenti e account. Ognuno di questi sistemi custodisce dati personali. Quasi nessuno parla davvero con gli altri.
Il risultato è che una domanda apparentemente banale diventa, di fatto, senza risposta certa: se un cliente revoca oggi il consenso nella piattaforma di newsletter, quella scelta arriva anche al CRM e agli altri sistemi che lo contattano? Quasi mai in automatico. La revoca resta confinata dove è stata espressa, e l’azienda continua a essere esposta senza saperlo.
Il GDPR, all’art. 5, fissa il principio di responsabilizzazione (accountability): non è sufficiente essere conformi, bisogna essere in grado di dimostrarlo. E l’art. 7 chiede che le scelte di consenso siano registrate. Sono richieste ragionevoli sul piano giuridico. Diventano quasi impossibili sul piano operativo quando i dati di una stessa persona vivono frammentati in cinque, dieci, venti sistemi diversi, ciascuno con la propria versione della verità.
Non si può dimostrare ciò che non si riesce a vedere. La compliance, prima ancora che un problema legale, è un problema di controllo dei dati.
Il caso del pixel lo rende concreto. Il Garante chiede gestione granulare del consenso, registrazione delle scelte e privacy by design. Se la piattaforma di invio, il CRM e gli altri sistemi non condividono un unico stato del consenso, nessuno di questi tre requisiti regge davvero. Non per cattiva volontà: per architettura. L’esposizione non nasce da una decisione sbagliata, nasce da sistemi che non si parlano.
La richiesta che sentiamo più spesso da chi guida l’azienda si riassume in due verbi: verificare ed evolvere. Verificare dove siamo, evolvere perché regga nel tempo. Il primo passo non è un audit legale dei documenti. È una mappa di dove i dati personali dei clienti vivono e si muovono davvero, attraverso tutti i sistemi aziendali.
È quello che chiamiamo Mappa della Complessità: una ricognizione che mostra quali sistemi custodiscono dati personali, quali non comunicano tra loro, dove il consenso è registrato e dove si perde nei passaggi. Non produce una promessa di conformità futura: produce una fotografia onesta della situazione attuale, che è il presupposto di qualsiasi intervento sensato.
Sono quattro le domande a cui, terminata la verifica, chi guida l’azienda dovrebbe poter rispondere con sicurezza:
Il Customer Lifecycle Management dice dove vuoi portare il cliente. Le Customer Lifecycle Operations sono il come ci arrivi davvero.
Se a queste domande l’azienda non sa rispondere, ed è il caso più frequente, il problema non è formale. È operativo. E si risolve costruendo, sopra i sistemi esistenti, il livello che oggi manca.
Adeguarsi a un singolo provvedimento con un progetto una tantum significa essere di nuovo scoperti al provvedimento successivo. La compliance che regge nel tempo non è una rincorsa: è una proprietà dell’infrastruttura operativa. Significa progettare dati e processi perché il comportamento conforme sia quello predefinito, e perché la conformità sia dimostrabile per costruzione.
Tre componenti rendono questo possibile, e parlano direttamente ai requisiti del Garante:
La governance non è il vincolo che rallenta l’azienda. È ciò che le permette di muoversi in fretta senza perdere il controllo dei dati.
Questo approccio si appoggia su credenziali verificabili, non su promesse: le certificazioni ISO 27001, ISO 27017, ISO 27018 e ISO 9001 attestano come i dati vengono gestiti e protetti. E un principio guida tutto il resto: conformità al GDPR, audit trail e data governance non sono un servizio aggiuntivo da acquistare a parte. Sono parte nativa di ogni soluzione.
Una precisazione, perché la credibilità si costruisce anche sapendo dire dove non si arriva. Costruire il controllo operativo sui dati — sapere dove sono, governare i consensi, dimostrare gli accessi — è terreno nostro. La consulenza regolamentare verticale di settori come banking, assicurazioni o pharma resta agli specialisti del diritto. Le due cose lavorano insieme: nessun parere legale, per quanto solido, regge se i dati sottostanti non sono sotto controllo.
Le Linee Guida sui pixel di tracciamento sono un caso specifico. Ma il pattern che rivelano è generale: la conformità non si gioca sui documenti, si gioca sui dati. E chi non vede i propri dati non può né verificare dove è esposto, né evolvere per restare conforme mentre l’azienda cresce, acquisisce, apre nuovi mercati.
La domanda da portare al tavolo non è «siamo conformi?». È «sapremmo dimostrarlo, e reggerebbe alla prossima regola?». Se la risposta non è un sì sereno, c’è un livello operativo da costruire — e si comincia dal capire, oggi, dove i vostri sistemi non si parlano.
Se questa domanda vi riguarda, parliamone. Il primo passo non è un progetto di adeguamento: è una fotografia onesta di dove i dati dei vostri clienti vivono, si muovono e talvolta sfuggono al controllo. Una Mappa della Complessità mostra quali sistemi custodiscono dati personali, quali non comunicano e dove la conformità si perde nei passaggi. È da lì che parte una compliance che regge nel tempo.
→ Fonte: Garante per la protezione dei dati personali — Linee Guida sui tracking pixel (17 aprile 2026)