• 24/04/2026

Tracking pixel nelle newsletter: cosa cambia davvero gdpr

Tabella del contenuto

Se la tua azienda invia newsletter, questo articolo ti riguarda. Ti servono quattro minuti. Zero legalese, zero allarmismo.

Cosa è successo

Il 17 aprile 2026 il Garante Privacy ha pubblicato il provvedimento n. 284, un documento tecnico che disciplina l’uso dei “tracking pixel” nelle email. I tracking pixel sono piccole immagini invisibili — grandi letteralmente un pixel — che le piattaforme di email marketing (Mailchimp, Brevo, HubSpot, FluentCRM, ActiveCampaign, e tutte le altre) inseriscono automaticamente nelle newsletter per rilevare quando il destinatario apre il messaggio.

Il Garante, dopo due ispezioni condotte tra ottobre 2025 e febbraio 2026, ha stabilito che l’uso di questi pixel richiede il consenso esplicito del destinatario. Non basta più l’iscrizione generica alla newsletter. La finestra per adeguarsi è di sei mesi dalla pubblicazione del provvedimento in Gazzetta Ufficiale. Dopo, si rischiano sanzioni fino al 4% del fatturato annuo.

Chi è coinvolto

Chiunque invii comunicazioni via email a destinatari europei, indipendentemente dalla sede dell’azienda. In concreto: e-commerce, agenzie per il lavoro, studi professionali, scuole di formazione, piattaforme LMS, associazioni, realtà B2B con newsletter commerciali, realtà B2C con promozioni periodiche. Nel portafoglio clienti WebWakeUp, siete praticamente tutti.

Le tre cose che servono, tra sei mesi

Tralasciando i tecnicismi, il provvedimento richiede tre adeguamenti concreti.

1. Un’informativa privacy aggiornata

La Privacy Policy del sito deve nominare esplicitamente i tracking pixel, spiegare quali dati raccolgono e con quali finalità. Se oggi la tua informativa parla genericamente di “strumenti di analisi”, non è più sufficiente.

2. Un consenso chiaro all’iscrizione

L’utente deve sapere, prima di iscriversi, che la newsletter contiene pixel di tracciamento. Contrariamente a quanto stanno proponendo alcune agenzie, non è necessaria una doppia casella di consenso separata: il Garante ha esplicitamente scritto che una richiesta unica va bene, a condizione che la revoca (punto seguente) sia granulare.

3. Un pannello preferenze nel footer di ogni email

Questa è la parte tecnicamente più impegnativa. Ogni email deve contenere, oltre al classico link “unsubscribe”, un link a una pagina dove l’utente può scegliere di: disiscriversi del tutto, oppure continuare a ricevere la newsletter senza essere tracciato. Chi sceglie “senza tracking” deve continuare a ricevere gli stessi identici contenuti degli altri — non si può penalizzare chi rifiuta il tracciamento.

La maggior parte delle piattaforme di email marketing oggi non ha questa funzionalità pronta all’uso. Costruirla bene è un progetto, non un plugin da installare.

Quando il consenso non serve: le tre eccezioni

Prima di pensare che ogni email ora richieda una firma del destinatario, una buona notizia: il Garante ha previsto tre situazioni in cui il tracciamento resta legittimo anche senza consenso esplicito.

1. Statistiche anonime e aggregate

Puoi continuare a sapere quante persone in totale hanno aperto una campagna — per esempio “il 34% dei destinatari” — senza sapere chi nello specifico. La condizione è tecnica: la piattaforma deve usare un pixel identico per tutti i destinatari (non uno diverso per ognuno) e non deve raccogliere dati che permettano di risalire al singolo utente.

2. Email di sicurezza e autenticazione

Conferme di registrazione, reset password, codici di accesso, risposte a richieste GDPR. Qui il tracciamento è ammesso perché serve a verificare che il messaggio sia arrivato davvero al destinatario giusto.

3. Comunicazioni di servizio obbligatorie

Modifiche contrattuali, avvisi importanti, notifiche di data breach, reminder di scadenze. Anche in questi casi il consenso non è richiesto.

Tutto il resto — e qui sta il punto — richiede consenso. Tutto quello che normalmente fa una newsletter aziendale: capire se l’oggetto funziona, adattare la frequenza degli invii al comportamento del lettore, distinguere i lettori attivi dagli inattivi, personalizzare il prossimo messaggio. È esattamente il modo in cui le piattaforme di email marketing funzionano di serie, senza bisogno di configurarle. Ed è esattamente ciò che adesso va ripensato.

Cosa stiamo facendo per i nostri clienti

Appena pubblicato il provvedimento, l’abbiamo letto integralmente (tutte e quarantotto le pagine) e abbiamo definito un piano di adeguamento. I clienti WebWakeUp sono già in fase di intervento, su tre fronti:

  • CRM e piattaforme email. Abbiamo aperto un dialogo diretto con gli sviluppatori degli strumenti che usiamo, per ottenere le funzionalità native di opt-out granulare. In parallelo, stiamo sviluppando integrazioni personalizzate che permettono di gestire il consenso al tracking in modo indipendente dall’iscrizione alla newsletter.
  • Siti WordPress. Stiamo aggiornando le informative privacy con la menzione esplicita dei pixel e costruendo le pagine di gestione preferenze, linkate dal footer di ogni email.
  • Database e campagne attive. Audit individuale cliente per cliente, con un piano personalizzato di adeguamento — tempi, priorità, eventuali campagne di re-consent mirate.

La differenza tra affrontare questo adeguamento adesso e farlo tra cinque mesi è la stessa differenza che c’è tra un trasloco pianificato con due mesi di anticipo e un trasloco fatto in tre giorni. Il risultato finale è diverso. I costi anche.

Se non sei nostro cliente: tre verifiche da fare questa settimana

  1. Nella tua Privacy Policy attuale, la parola “email pixel” compare? (Se no, l’informativa non è adeguata.)
  2. La tua piattaforma di email marketing ti permette di inviare la stessa campagna a chi ha accettato il tracking e a chi no, senza duplicare manualmente il lavoro? (Se non lo sai, è quasi sicuro di no.)
  3. Nel footer delle tue email c’è un link a una pagina dove l’utente può gestire separatamente iscrizione e tracking? (Se c’è solo “unsubscribe”, la risposta è no.)

Tre “no” su tre significano che l’adeguamento va pianificato adesso, non ad agosto. Nella nostra esperienza, un lavoro fatto bene richiede dalle sei alle dodici settimane di lavoro coordinato — informativa, stack, pannello preferenze, architettura, campagna di re-consent, testing. I sei mesi del Garante non sono molti.

Parliamone

Offriamo una call gratuita per inquadrare la tua situazione. Nessun impegno, nessun preventivo mandato per email il giorno dopo senza averne parlato. Ti diciamo in modo onesto se sei già a posto, se ti basta un intervento mirato, o se serve un lavoro più strutturato.

È il tipo di verifica che conviene fare oggi, finché c’è margine di scelta. Ad ottobre il tempo stringe e le opzioni si riducono.

👉 Prenota la call gratuita — rispondiamo entro 24 ore lavorative.

Fonti ufficiali

Edoardo Guzzi
imprenditore, sviluppatore full-stack e consulente tecnologico con oltre 10 anni di esperienza nel mondo digitale. Fondatore di An Idea For Business (AIFB), aiuta startup e aziende a trasformare le loro idee in progetti concreti, offrendo soluzioni su misura per lo sviluppo web, software, automazioni e strategie di marketing digitale. Appassionato di tecnologia, innovazione e cultura giapponese, Edoardo condivide le sue conoscenze attraverso articoli e progetti che semplificano la complessità del digitale.
Website