GUARDA QUIhttps://accademiaitalianaprivacy.it/areaprivata/foto/3366/01.jpg
lunedì 6 luglio 2026
di Avv. Gianni Dell'Aiuto

Ogni mattina, migliaia di imprenditori controllano le statistiche di apertura della loro newsletter con la stessa disinvoltura con cui controllano il meteo.
Il tasso di apertura sale, l'algoritmo del marketing sorride, il caffè si fredda sulla scrivania. Nessuno si chiede come quel numero sia stato generato. È precisamente questa la domanda che oggi separa chi è in regola da chi rischia una sanzione fino al 4% del fatturato e un ordine di misure correttive altrettanto costoso.
La risposta sta in un oggetto grande quanto un punto a fine frase: il tracking pixel. Un'immagine trasparente, invisibile, ospitata su un server remoto.
Quando il destinatario, ad esempio, delle newsletter apre la mail, quel pixel si attiva e comunica al mittente l'orario di apertura, il dispositivo usato, talvolta la posizione approssimativa. Non è fantascienza del controllo: è la normalità operativa di quasi ogni piattaforma di mail marketing in commercio, attiva di default, senza che nessuno l'abbia chiesta esplicitamente.
Qui si annida l'errore concettuale che il Garante ha deciso di correggere con il provvedimento n. 284 del 17 aprile 2026, in G.U. il 29 aprile e operativo dal giorno seguente: l'idea che la responsabilità si areni dove finisce la competenza tecnica.
È un errore comodo, perché sposta il peso su qualcun altro: il fornitore, l'agenzia, "il ragazzino smanettone" che ha configurato la piattaforma. Il meccanismo è sempre lo stesso, in ogni epoca della regolazione digitale: prima la tecnologia si diffonde silenziosamente, sfruttando il vuoto normativo; poi arriva il regolatore, non per inventare un problema, ma per nominare quello che già esisteva.
Il Garante non ha scoperto i tracking pixel nel 2026. Li ha trovati, durante due ispezioni conoscitive condotte tra l'ottobre 2025 e il febbraio 2026 presso un provider di posta elettronica e una piattaforma di marketing automation, presenti in praticamente la totalità dei casi esaminati. Non una stima. Un accertamento.
La conseguenza giuridica è netta: il tracking pixel viene qualificato come accesso al terminale dell'utente ai sensi dell'art. 122 del Codice Privacy, la stessa norma che da quindici anni disciplina i cookie. La logica è identica a quella già nota: archiviare o leggere informazioni dal dispositivo di un utente richiede consenso preventivo, libero, specifico e informato.
Salvo deroghe circoscritte quali conteggi statistici aggregati e anonimizzati, finalità di sicurezza, comunicazioni istituzionali obbligatorie, chi traccia il comportamento individuale del singolo destinatario deve aver raccolto un consenso valido. Non più "in qualche modo". In modo verificabile.
Il punto che la stampa generalista ha frainteso nelle settimane successive non è di dettaglio. Il Garante non impone una seconda casella di consenso accanto a quella per la newsletter, separata e ridondante.
Ammette esplicitamente che il consenso al tracciamento confluisca in quello generale alla ricezione delle comunicazioni, purché la richiesta sia formulata in modo neutro e l'informativa renda esplicito che le mail conterranno strumenti di misurazione. Quello che non ammette è l'ambiguità: l'utente deve sapere, deve poter revocare in modo selettivo, cioè continuare a ricevere le comunicazioni senza essere tracciato, e il titolare deve poter dimostrare di aver costruito questo sistema, non di averlo subito.
È qui che la tesi convenzionale crolla. Si tende a pensare alla responsabilità privacy come a una colpa che richiede consapevolezza: non sapevo, quindi non potevo essere negligente.
Il Garante ribalta la sequenza. La responsabilità del titolare del trattamento non dipende dal sapere, dipende dal dover sapere. Affidare la gestione tecnica a un fornitore non trasferisce l'obbligo di conoscere cosa quella tecnologia fa.
Il considerando 78 del GDPR e il principio di accountability dell'art. 5 non lasciano spazio all'outsourcing della responsabilità: si può delegare l'esecuzione, non la conoscenza.
Le aziende hanno sei mesi, fino al 29 ottobre 2026, per mappare i propri flussi mail, verificare con il fornitore se i pixel sono attivi e per quali finalità, aggiornare informative e moduli di iscrizione, costruire un meccanismo di revoca che funzioni davvero.
Sei mesi sembrano tanti. Non lo sono, per chi dovrà prima rispondere a una domanda che fino a ieri nessuno si poneva: che cosa fa esattamente il software che uso ogni giorno?
La vera notizia non è il provvedimento. È quello che il provvedimento rivela: un intero settore che per anni ha misurato il comportamento dei propri destinatari senza sapere — o senza voler sapere — di farlo.
Il Garante non ha scritto una norma punitiva. Ha scritto una certificazione di ignoranza diffusa, e l'ha resa, da oggi, non più scusabile.
venerdì 3 luglio 2026
Leggi tutto...
giovedì 2 luglio 2026
Leggi tutto...
CONDIVIDI QUESTA PAGINA!