Tracking pixel nelle e-mail: il Garante privacy detta le nuove regole

Data protection

Con il provvedimento n. 284 del 17 aprile 2026 (il “Provvedimento”), il Garante per la protezione dei dati personali ha adottato le nuove Linee Guida sull’utilizzo dei tracking pixel nelle comunicazioni di posta elettronica (le “Linee Guida”), con l’obiettivo di specificare le corrette modalità per la fornitura dell’informativa e per l’acquisizione del consenso degli interessati.

Il Provvedimento nasce dell’esigenza di arginare il fenomeno dell’utilizzo di tecnologie di tracciamento “occulte” nelle comunicazioni di posta elettronica, in particolare utilizzate all’interno di newsletter, direct e-mail marketing (DEM), e-mail transazionali, comunicazioni di servizio o messaggi istituzionali.

Il Provvedimento muove infatti dalla premessa che i tracking pixel sono dotati di particolare pervasività in quanto (i) sono immagini trasparenti e di dimensioni minime, spesso pari ad un solo pixel e dunque, impercettibili per il destinatario (ii) sono inserite nelle e-mail ma ospitate su server remoti e (iii) non hanno alcun carattere contenutistico. Quando il destinatario apre il messaggio, il client di posta scarica automaticamente l’immagine, consentendo al mittente di rilevare l’avvenuta apertura della comunicazione e, in alcuni casi, di ottenere informazioni ulteriori che possono ricavarsi dall’indirizzo IP del destinatario, come il tipo di dispositivo utilizzato, il tempo di consultazione del messaggio e il numero di aperture successive della stessa e-mail.

Il Garante ha anzitutto rilevato l’applicabilità dell’articolo 122 del d.lgs. 30 giugno 2003, n. 196 (il “Codice Privacy”), il quale disciplina l’accesso e l’archiviazione di informazioni nel terminale dell’utente, in qualità di lex specialis rispetto alla normativa privacy europea di riferimento. Tale norma prevede, come regola generale, che il trattamento sia ammesso solo in presenza del consenso o, in deroga, al ricorrere di specifiche condizioni, come nei casi in cui l’operazione sia strettamente necessaria per finalità tecniche o per l’erogazione di un servizio esplicitamente richiesto dall’utente.

Le Linee Guida operano pertanto una distinzione tra gli usi che possono beneficiare di una deroga e gli usi che richiedono una preventiva manifestazione di volontà dell’utente. Secondo quanto stabilito dal Garante, non sarà necessario acquisire uno specifico consenso, ad esempio, quando il tracking pixel sia impiegato per finalità statistiche aggregate e anonimizzate, per migliorare la deliverability, contrastare lo spam, garantire esigenze di sicurezza o verificare l’apertura di comunicazioni istituzionali o di servizio rilevanti. Al contrario, il consenso sarà necessario quando il tracciamento serva a misurare individualmente l’interazione dell’utente con messaggi promozionali, ottimizzare campagne commerciali, modulare la frequenza degli invii o creare dei profili commerciali utilizzabili anche per iniziative diverse.

In un’ottica di semplificazione, il Garante ammette che il consenso al tracciamento possa essere ricompreso in quello più generale alla ricezione di comunicazioni promozionali, purché l’utente sia informato in modo chiaro e la richiesta sia formulata senza forzature. Resta però essenziale garantire una revoca agevole e granulare: il destinatario dovrà poter scegliere se interrompere del tutto la ricezione delle e-mail oppure continuare a riceverle senza tracking pixel.

Infine, le Linee Guida chiariscono che l’informativa potrà essere fornita anche in forma agevolata, ad esempio mediante un avviso sintetico nel modulo di raccolta dell’indirizzo e-mail, accompagnato da un link a un’informativa più completa. Per i trattamenti già in corso, il titolare potrà invece integrare l’informativa nel primo messaggio utile o nel primo momento di discontinuità del rapporto con l’interessato.

Il team Data & Technology Innovation di LEXIA fornisce assistenza nelle fasi operative dell’adeguamento al Provvedimento, che deve avvenire entro sei mesi dalla data di pubblicazione delle Linee Guida.

Governance digitale, AI e cybersecurity: il D.Lgs. 47/2026 porta i rischi tecnologici dentro gli assetti societari

Corporate Governance & Technology Regulation

Con il D.Lgs. 27 marzo 2026, n. 47, il legislatore interviene sul Testo Unico della Finanza e sulla disciplina delle società di capitali per rafforzare la competitività del mercato dei capitali e semplificare il quadro regolatorio. Tuttavia, al di là delle finalità dichiarate, il decreto introduce un passaggio destinato ad avere un impatto ben più ampio: cybersecurity, intelligenza artificiale e protezione dei dati personali entrano stabilmente nella governance societaria.  

Il decreto, infatti, non modifica direttamente né il GDPR né la disciplina NIS2; non introduce nuovi obblighi sostanziali in materia di sicurezza informatica o data protection: la novità è più profonda e riguarda il modo in cui i rischi tecnologici devono essere governati all’interno dell’impresa.

Particolarmente significativa è la modifica dell’art. 123-bis TUF, che impone alle società quotate di descrivere nella relazione sul governo societario – ove adottate – le politiche relative all’utilizzo e al monitoraggio delle nuove tecnologie, con specifico riferimento ai sistemi di intelligenza artificiale e ai rischi informatici. La governance dell’AI e della cybersecurity esce quindi dalla dimensione puramente tecnica e diventa oggetto di disclosure verso il mercato.  

A ciò si aggiunge il nuovo art. 149-ter TUF, che richiama l’adozione di sistemi di monitoraggio continuo e strumenti di controllo automatici e predittivi “adeguati e proporzionati” rispetto ai rischi dell’impresa. È un richiamo che riecheggia principi ormai centrali anche nel GDPR e nella normativa cyber europea: proporzionalità, accountability, risk-based approach e controllo effettivo sui processi automatizzati.  

Il punto centrale della riforma è probabilmente proprio questo: la sicurezza informatica e la protezione dei dati non vengono più trattate come funzioni specialistiche separate, ma come componenti degli assetti organizzativi dell’impresa. Ne deriva che il consiglio di amministrazione non può più limitarsi a “delegare” i temi tecnologici alle funzioni IT o compliance, ma deve essere in grado di comprenderli, supervisionarli e integrarli nei processi decisionali e nei sistemi di controllo interno.

In questa prospettiva, cambia anche il significato della compliance. La conformità non si esaurisce più nella predisposizione di policy o documentazione formale, ma richiede strutture organizzative capaci di dimostrare concretamente come l’impresa governi i rischi legati all’AI, alla cybersecurity e ai trattamenti di dati personali.

Il D.Lgs. 47/2026 segna quindi un ulteriore passaggio verso un modello di governance digitale integrata, in cui diritto societario, tecnologia e gestione del rischio convergono progressivamente in un unico sistema di responsabilità e controllo.

NIS 2: le Linee Guida ACN sul modello di categorizzazione delle attività e dei servizi

Cybersicurezza

L’Agenzia per la Cybersicurezza Nazionale (“ACN”) ha pubblicato nell’aprile 2026 le Linee Guida sul modello di categorizzazione delle attività e dei servizi (le “Linee Guida”), volte a fornire supporto ai soggetti essenziali e importanti nell’adempimento previsto dall’art. 30 del D.Lgs. n. 138/2024 (“Decreto NIS”), che impone la comunicazione annuale ad ACN di un elenco dei propri servizi e attività, categorizzati in base alla loro rilevanza. In particolare, le Linee Guida forniscono una guida su come applicare concretamente il modello che i soggetti sono tenuti a seguire per categorizzare i propri servizi e attività, adottato con la Determinazione ACN n. 155238/2026 dell’ACN (il “Modello di Categorizzazione”). Il Modello di Categorizzazione dovrà essere compilato entro la finestra obbligatoria compresa tra l’1 maggio e il 30 giugno 2026, tramite il “Servizio NIS/Categorizzazione” del portale ACN, disciplinato dalla Determinazione ACN n. 127437/2026 dell’ACN.

Le Linee Guida definiscono la struttura del Modello di Categorizzazione, articolata in dieci macro-aree – da “Monitoraggio e controllo” ad “Altri servizi e attività” – ciascuna identificata da una denominazione, una descrizione e una categoria di rilevanza preassegnata. Le categorie di rilevanza sono quattro, in ordine crescente di impatto: minimo, basso, medio e alto. Le Linee Guida chiariscono che la finalità del processo non è meramente classificatoria: le categorie di rilevanza attribuite a ciascuna attività o servizio costituiranno infatti la base sulla quale ACN definirà le future misure di sicurezza di lungo termine.

Il processo di categorizzazione descritto nelle Linee Guida si articola in tre fasi:

• nella prima fase, il soggetto identifica tutte le attività e i servizi supportati da sistemi informativi e di rete; non è imposta una metodologia specifica, fermo restando il livello di dettaglio necessario a distinguere attività con categorie di rilevanza omogenee;
• nella seconda fase, ciascuna attività viene associata a una sola macro-area, ricorrendo alla macro-area residuale “Altri servizi e attività” soltanto qualora nessuna delle altre risulti pertinente;
• nella terza fase, viene attribuita la categoria di rilevanza: quella preassegnata si applica in via predefinita, ma il soggetto può discostarsene sulla base di una Business Impact Analysis semplificata – condotta secondo i principi di riservatezza, integrità e disponibilità – conservando la relativa documentazione, che potrà essere richiesta dall’ACN nell’ambito delle verifiche di conformità a campione.

La Determinazione ACN n. 155238/2026 prevede due versioni distinte del Modello di Categorizzazione: l’Allegato 1, applicabile ai soggetti operanti in determinati settori (energia, trasporti, sanità, infrastrutture digitali), e l’Allegato 2, applicabile a tutti gli altri soggetti.

Decorso il termine del 30 giugno 2026, l’elenco categorizzato si intende definitivamente acquisito e non più modificabile, salvo il caso di documentate criticità tecnico-operative, comunque non imputabili al soggetto.

Trattamento dei dati personali per scopi di ricerca scientifica: le nuove Linee Guida dell’EDPB

Data protection

Il 15 aprile 2026, l’European Data Protection Board (EDPB) ha adottato le Linee Guida 1/2026, fornendo chiarimenti essenziali sull’interpretazione del GDPR quando i dati personali sono trattati per finalità di ricerca scientifica. In un contesto caratterizzato da rapidi progressi tecnologici, come l’intelligenza artificiale, il documento mira a bilanciare la libertà della scienza con la tutela dei diritti fondamentali degli interessati.

Definizione e fattori indicativi di ricerca scientifica

Sebbene il GDPR suggerisca un’interpretazione ampia del concetto, le Linee Guida chiariscono che la ricerca deve essere genuinamente scientifica e condotta in conformità con gli standard metodologici ed etici di settore. L’EDPB introduce sei fattori chiave per presumere l’esistenza di tale finalità:

• Approccio metodico e sistematico.
• Adesione a standard etici.
• Verificabilità e trasparenza dei risultati.
• Autonomia e indipendenza dei ricercatori.
• Obiettivo di contribuire alla conoscenza generale e al benessere della società.
• Potenziale contributo scientifico o applicazione innovativa di conoscenze esistenti.

Basi giuridiche e regimi semplificati

Il documento approfondisce le principali basi giuridiche applicabili (consenso, interesse pubblico, legittimo interesse), introducendo importanti precisazioni:

• presunzione di compatibilità: il trattamento ulteriore per scopi scientifici è presunto compatibile con le finalità iniziali della raccolta, esonerando il titolare dal test di compatibilità, pur dovendo garantire una base legale per il nuovo trattamento.
• consenso “broad” e “dynamic“: è ammesso il consenso ampio (broad) per aree generali di ricerca quando le finalità non sono pienamente note all’inizio, a condizione che siano adottate tutele supplementari. Il consenso dinamico (dynamic) permette invece un coinvolgimento costante dell’interessato per singoli progetti.
• limitazione della conservazione: i dati possono essere conservati per periodi più lunghi rispetto a quelli necessari per le finalità originali, purché limitati a quanto necessario per la ricerca.

Diritti degli interessati e salvaguardie

Il GDPR prevede specifiche eccezioni al diritto all’erasure (cancellazione) e limitazioni al diritto di opposizione se l’esercizio di tali diritti rischia di rendere impossibile o pregiudicare gravemente il conseguimento degli obiettivi della ricerca. Resta fermo l’obbligo di adottare misure tecniche e organizzative adeguate, come la pseudonimizzazione o l’anonimizzazione, in conformità al principio di minimizzazione dei dati.

Agcom adotta nuove direttive per trasparenza e comparabilità per la misurazione delle audience digitali

Media & Comunicazione

Con la delibera n. 87/26/CONS (la “Delibera”), Agcom conclude l’istruttoria avviata nel 2025 sulla misurazione delle audience nell’ecosistema digitale e definisce un quadro di direttive volto a rafforzare trasparenza e comparabilità dei dati. Il provvedimento si inserisce in un contesto di profonda trasformazione del mercato dei media, caratterizzato dalla crescente centralità delle piattaforme online e della pubblicità digitale.

L’Autorità evidenzia come la frammentazione delle metodologie di rilevazione, spesso basate su sistemi proprietari delle piattaforme e non sottoposte a verifiche indipendenti, generi asimmetrie informative e rischi di distorsione concorrenziale. I dati di audience, infatti, rappresentano la “currency” del mercato pubblicitario e incidono direttamente sulla valorizzazione economica dei contenuti editoriali e degli investimenti pubblicitari, con impatti anche sul pluralismo informativo.

Agcom richiama dunque la necessità di evitare la proliferazione di metriche non confrontabili e di favorire la costruzione di una misurazione crossmediale coerente, in grado di rappresentare in modo completo la fruizione dei contenuti su tutte le piattaforme.

La Delibera stabilisce dunque il ruolo centrale dei sistemi di misurazione condivisi e, in particolare, del Joint Industry Committee (il “JIC”), ritenuto dall’Autorità il modello di governance più idoneo a garantire trasparenza, indipendenza, rappresentatività e verificabilità del dato di audience. La Delibera prevede dunque  che la misurazione dell’audience dei contenuti diffusi da piattaforme digitali sia effettuata dal JIC a ciò preposto, cioè Audicom, secondo regole metodologiche omogenee, dichiarate e verificabili, definite e governate dal JIC stesso.

Sul piano tecnologico, la Delibera non impone una soluzione unica, chiarendo che l’omogeneità dei dati non dipende dallo strumento utilizzato, bensì dal rispetto di regole condivise e verificabili. La Delibera da un lato riconosce nell’utilizzo dello standard SDK unico il metodo più avanzato in termini di coerenza, comparabilità e indipendenza della rilevazione. Dall’altro lato, prende atto della diffusione di modelli alternativi, come il server-to-server, e ne consente l’affiancamento allo standard SDK unico, purché tali soluzioni garantiscano un livello equivalente di trasparenza e controllo da parte di soggetti terzi.

Infine, la Delibera impone ad Audicom di adottare i requisiti minimi che un sistema di misurazione basato su tecnologia server-to-server deve necessariamente soddisfare per produrre la currency ufficiale dell’audience audiovisiva digitale, quali il tracciamento omogeneo, l’accesso e il controllo sui dati, l’audit indipendente, il sistema ping/audit e la sicurezza.

Nel complesso, la delibera segna un passaggio rilevante nel processo di regolazione dell’ecosistema digitale, ponendo le basi per un sistema di misurazione più trasparente e affidabile, al fine di evitare storture concorrenziali nel mercato pubblicitario.