Con il provvedimento n. 284 del 17 aprile 2026 (doc. web n. 10241943), in corso di pubblicazione sulla Gazzetta Ufficiale, il Garante per la protezione dei dati personali ha adottato le «Linee Guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica». Si tratta di un intervento atteso, che colma un vuoto applicativo su una tecnologia diffusa, oggettivamente invasiva e fino ad oggi presidiata solo in via indiretta attraverso la disciplina generale dei cookie e degli altri strumenti di tracciamento.

L’obiettivo di queste note è duplice: da un lato restituire in forma ordinata i contenuti del provvedimento a beneficio dei titolari, dei Data Protection Officer e, in generale, degli operatori coinvolti; dall’altro sollevare — con il registro di chi applica quotidianamente la disciplina — una questione che investe il cuore del sistema delineato dal Garante e il suo rapporto con il quadro europeo del consenso.

1. Il provvedimento in breve

I tracking pixel sono immagini di dimensioni minime, tipicamente trasparenti e pari a un solo pixel, ospitate su server remoti e incorporate nel corpo delle email tramite codice HTML. Al momento dell’apertura del messaggio, il client di posta scarica l’immagine: l’operazione consente al mittente di rilevare l’avvenuta lettura e di raccogliere ulteriori informazioni — indirizzo IP, tipo di dispositivo, tempi e numero di aperture successive, eventuali identificativi univoci per ciascun destinatario.

Il Garante sottolinea la particolare invasività di tali strumenti, riconducibile al loro carattere occulto: il destinatario, nella generalità dei casi, non ha percezione della loro presenza né delle operazioni che innescano. La predisposizione delle Linee Guida intende quindi riaffermare la necessità che il loro impiego sia preventivamente reso noto al destinatario e assistito dai presupposti di liceità che la disciplina richiede.

Il provvedimento fissa un termine di sei mesi dalla pubblicazione in Gazzetta Ufficiale entro il quale i soggetti interessati devono conformarsi.

2. Il quadro normativo: l’art. 122 del Codice Privacy come lex specialis

Il Garante inquadra l’impiego dei tracking pixel nell’ambito dell’art. 122 del Codice Privacy, che recepisce l’art. 5, par. 3, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE (direttiva e-Privacy). La scelta discende dalla considerazione che il meccanismo — inserimento del pixel nel corpo dell’email e successiva lettura delle informazioni prodotte dal suo caricamento — configura la duplice modalità di accesso al terminale disciplinata dalla norma: archiviazione di informazioni nell’apparecchio terminale dell’utente e successivo accesso a informazioni già archiviate.

L’orientamento è coerente con le Linee Guida EDPB 2/2023 sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva e-Privacy, che hanno chiarito la portata della disposizione in chiave technology neutral. Il Garante richiama inoltre il considerando 173 e l’art. 95 del GDPR per ribadire il rapporto di specialità della direttiva e-Privacy rispetto al Regolamento, con applicazione prevalente della prima nelle materie per le quali esistono obblighi specifici aventi lo stesso obiettivo.

Ne consegue, ai sensi dell’art. 122, comma 2-bis, un divieto generalizzato di trattamento, salvo il ricorrere di una delle ipotesi derogatorie contemplate dalla norma.

3. I soggetti coinvolti e le tipologie di messaggi

Il provvedimento mappa i ruoli che possono assumere rilievo nel fenomeno: il mittente del messaggio, il fornitore di servizi di invio email (di norma piattaforme SaaS di marketing automation), il fornitore di servizi di noleggio di liste di distribuzione, il fornitore della tecnologia di tracciamento, il content creator e, naturalmente, il destinatario. La ricostruzione dei ruoli rilevanti ai sensi della disciplina sulla protezione dei dati — titolarità, contitolarità ex art. 26 GDPR, responsabilità del trattamento ex art. 28 — è rimessa al principio di accountability del titolare, caso per caso.

Quanto alle tipologie di messaggi, il Garante distingue tra newsletter, DEM (Direct E-mail Marketing), email transazionali e automatiche, email di servizio a carattere istituzionale o informativo. La distinzione non è meramente descrittiva: rileva ai fini dell’individuazione del presupposto di liceità applicabile e dell’eventuale ricorrere di una deroga al consenso.

4. L’obbligo informativo

Il Garante richiama l’attenzione sul fatto che l’impiego occulto di strumenti di tracciamento, prima ancora che con il principio del consenso, si pone in tensione con il principio di correttezza di cui all’art. 5, par. 1, lett. a), del GDPR. Da qui l’obbligo, in ogni caso, di rendere agli interessati un’informativa conforme agli artt. 12 e seguenti del Regolamento, chiara, trasparente e coerente con il principio di responsabilizzazione.

Sono ammesse modalità semplificate di informativa, anche strutturate su più livelli (sintesi al punto di contatto con un link verso l’informativa estesa) e tramite più canali (pop-up, chatbot, canali video, interazioni vocali). Per i trattamenti già in corso al momento dell’entrata in vigore delle Linee Guida, il titolare può assolvere all’obbligo informativo in occasione del primo invio utile o al primo momento di discontinuità disponibile.

5. Il consenso secondo il Garante: consenso unico e revoca granulare

Nei casi in cui non operi una delle deroghe previste — di cui al paragrafo successivo — il titolare che intenda utilizzare tracking pixel nelle email deve acquisire il consenso preventivo del destinatario. Il consenso deve essere, secondo il testo del provvedimento, informato, libero, specifico e inequivocabile.

Il Garante distingue due ipotesi. Nei trattamenti nuovi, il consenso va raccolto preferibilmente al momento stesso dell’acquisizione dell’indirizzo di posta elettronica, dopo informativa adeguata. Nei trattamenti già in corso, in regime transitorio, il titolare deve implementare un meccanismo di revoca resa immediatamente disponibile e facilmente fruibile per l’interessato.

Il passaggio decisivo del provvedimento, sotto il profilo sistemico, è però un altro. Il Garante afferma che, nella prospettiva della semplificazione e dell’evitamento della consent fatigue, il consenso alla ricezione di strumenti di tracciamento possa, in linea di principio, essere ricompreso nel consenso più generale alla ricezione delle comunicazioni promozionali, in modo da consentire che la persona esprima un unico consenso informato. La garanzia compensativa, a fronte di questa unificazione, è individuata nella possibilità di revoca granulare: l’interessato può revocare integralmente il consenso (cessazione degli invii) oppure limitarne la revoca al solo tracciamento, continuando a ricevere le comunicazioni prive di marcatori. La revoca granulare deve essere resa accessibile tramite icona standardizzata o link collocato nel footer del messaggio, che conduca l’utente verso un’area dedicata alla gestione dei propri diritti.

6. Le deroghe al consenso

Il Garante individua tre ipotesi in cui il consenso non è richiesto, fermo restando l’obbligo informativo:

  • Finalità statistiche anonime volte a misurare il tasso globale di apertura dei messaggi per migliorare la deliverability e contrastare lo spam. La deroga opera a condizione che si utilizzino pixel univoci — uguali per tutti i destinatari della campagna, non differenziati per singolo utente — e che siano anonimizzati gli altri dati tecnici correlati (indirizzo IP, informazioni sul client). Il riferimento metodologico è al Parere WP29 n. 05/2014 sulle tecniche di anonimizzazione.

  • Misure di sicurezza connesse a processi di autenticazione, conferma o aggiornamento di un account, gestione di richieste di modifica della password, soddisfacimento di richieste di esercizio dei diritti dell’interessato.

  • Comunicazioni istituzionali o di servizio che il titolare ha l’obbligo giuridico di inoltrare e rispetto alle quali rilevi l’effettiva presa di conoscenza del destinatario: avvisi su phishing o frodi, modifiche contrattuali, aggiornamenti delle informative, notifiche di incidenti di sicurezza, reminder su scadenze e adempimenti contrattuali o contributivi.

In tutte queste ipotesi, il Garante ritiene che l’informazione ricavata dall’impiego del pixel sia funzionale a una resa più efficace del servizio a beneficio dello stesso interessato.

7. Architettura del sistema e configurazione tecnica

Le considerazioni che precedono sul consenso e sulle deroghe acquistano piena intelligibilità solo alla luce del meccanismo tecnico con cui i tracking pixel operano e delle architetture di implementazione attualmente disponibili. Comprendere il funzionamento non è esercizio tecnico fine a sé stesso: è il presupposto per valutare, sul piano operativo, quali configurazioni consentano al titolare di conformarsi alle Linee Guida e, più in generale, ai principi della disciplina sulla protezione dei dati.

Un tracking pixel è un elemento HTML <img> incorporato nel corpo dell’email, che punta a una risorsa — tipicamente un’immagine trasparente di dimensioni minime — ospitata su un server del titolare o del suo fornitore di servizi. Quando il client di posta elettronica del destinatario scarica automaticamente le immagini del messaggio, invia una richiesta HTTP GET al server: tale richiesta trasporta, oltre agli identificativi che il titolare ha incorporato nell’URL della risorsa (tipicamente un identificativo di campagna, di messaggio e di destinatario), anche una serie di informazioni che il client trasmette per impostazione predefinita — l’indirizzo IP del destinatario, lo User-Agent che identifica il dispositivo e il client di posta, la lingua del browser, il timestamp della richiesta. Il server restituisce l’immagine e registra la richiesta nei propri log: su tale registrazione si costruiscono le metriche di apertura che le piattaforme presentano in dashboard.

Due precisazioni tecniche hanno rilevanza ai fini dell’analisi giuridica. La prima è che il pixel, sul piano strettamente tecnico, non estrae informazioni dal terminale dell’utente in senso proprio: la raccolta avviene tramite il meccanismo standard della richiesta HTTP, generata spontaneamente dal client per scaricare la risorsa. Proprio questa apparente innocuità — un semplice GET di un’immagine — è il motivo per cui l’EDPB, nelle Linee Guida 2/2023 sull’ambito di applicazione tecnico dell’art. 5, par. 3, della direttiva e-Privacy, ha ritenuto necessario chiarire che l’operazione rientra comunque nel perimetro della norma, configurando un’istruzione al terminale di inviare informazioni specifiche al server remoto. La seconda precisazione riguarda la natura dell’identificativo associato al pixel: nella generalità delle implementazioni commerciali, l’identificativo è univoco per singolo destinatario di ciascuna campagna, e tale univocità — costruita a beneficio della granularità delle metriche — è precisamente ciò che il Garante qualifica come tracciamento individuale richiedente il consenso dell’interessato.

Sul piano architetturale, le configurazioni possibili si dispongono lungo uno spettro. Una loro ricognizione ordinata è utile a misurare il grado di conformità delle soluzioni effettivamente diffuse sul mercato.

Nella configurazione più comune — che costituisce l’impostazione predefinita delle principali piattaforme SaaS di marketing automation — il pixel incorpora un identificativo univoco per ciascun destinatario e la sua presenza è automatica in ogni email inviata. Il titolare che predispone la campagna non compie alcuna azione specifica per attivare il tracking: è il default della piattaforma. La sua disattivazione, dove tecnicamente consentita, è frequentemente binaria per l’intera campagna, non segmentabile per destinatario, e in alcuni casi riservata a piani tariffari superiori. È la configurazione che, nel linguaggio del provvedimento del Garante, non può operare in regime di deroga statistica: il tracciamento è individuale e richiede, fuori dalle ipotesi derogatorie, il consenso dell’interessato.

Una seconda configurazione — corrispondente alle misure che il Garante richiama espressamente nel proprio provvedimento come applicazione dell’art. 25 del GDPR — sostituisce l’identificativo direttamente riconducibile all’indirizzo email con un token inintelligibile e non sequenziale, mantenendo la corrispondenza tra il token e l’email in un layer interno separato della piattaforma. L’indirizzo IP del destinatario, raccolto nella richiesta HTTP, può essere anonimizzato all’ingresso mediante troncamento (dell’ultimo ottetto per IPv4, dei 64 bit meno significativi per IPv6). L’effetto di tale configurazione è la riduzione dell’esposizione dei dati personali nei log del server: in caso di violazione della sicurezza o di accesso non autorizzato ai log, chi vi accede non trova indirizzi email né IP completi in chiaro. La configurazione opera sul piano della pseudonimizzazione; non modifica, tuttavia, la natura individuale del trattamento, poiché attraverso la corrispondenza mantenuta nel layer interno il titolare può comunque ricostruire il comportamento di ciascun destinatario.

Una terza configurazione — l’unica compatibile con la deroga statistica individuata dal provvedimento — utilizza un pixel univoco per campagna anziché per destinatario: tutti i messaggi inviati nell’ambito della medesima campagna incorporano lo stesso identificativo, e il server registra solo il numero complessivo di richieste ricevute, senza possibilità di associarle a singoli utenti. L’anonimizzazione dei dati tecnici accessori (indirizzo IP, User-Agent) completa la configurazione. Tale architettura consente al titolare di conoscere il tasso globale di apertura delle proprie campagne e di intervenire sulla deliverability e sul contrasto allo spam, ma rinuncia per scelta progettuale a ogni possibilità di misurazione individuale e, dunque, a ogni forma di profilazione comportamentale.

Esiste infine una quarta configurazione, che nella lettura qui sostenuta appare la configurazione più coerente con il requisito dell’art. 25, par. 2, del GDPR. In essa il pixel non è incorporato per impostazione predefinita in alcun messaggio: il suo inserimento avviene soltanto per i destinatari che abbiano prestato un consenso specifico e distinto alla finalità di tracciamento, consenso raccolto separatamente da quello all’iscrizione alla lista o alla ricezione delle comunicazioni promozionali, documentato in modo autonomo e revocabile in forma immediata. La lista degli invii è segmentata a monte in due gruppi: il primo riceve il messaggio con il pixel attivo, il secondo riceve lo stesso messaggio privo di ogni elemento di tracciamento. Il trattamento per default è il non-tracciamento; l’attivazione è l’eccezione consapevole, documentata e revocabile, che l’interessato rivendica per una finalità specifica. Questa configurazione è tecnicamente realizzabile: non richiede tecnologie che non esistano, né infrastrutture di particolare complessità. Richiede, tuttavia, una progettazione della piattaforma che orienti il proprio default verso la minimizzazione e che tratti la finalità di tracciamento come attivazione separata e documentata, anziché come funzione inclusa nel pacchetto standard del servizio.

A complemento del quadro descritto sul piano della progettazione lato invio, è opportuno considerare che il panorama tecnico si è consolidato, negli ultimi anni, anche lato ricezione. Una parte significativa dei client di posta elettronica e dei provider implementa contromisure al tracciamento via pixel: il blocco preventivo del download automatico delle immagini esterne, funzione risalente e oggi diffusa nei client privacy-oriented (Thunderbird, Proton Mail, Tutanota e diversi altri); l’identificazione attiva dei tracking pixel, funzione offerta da client come MailMate che, come documentato nelle release notes ufficiali del produttore, applicano per default il blocco delle immagini provenienti da tracker noti — sulla base di una lista dedicata di servizi di tracciamento — e segnalano esplicitamente il download di pixel 1×1 come probabile indicatore di tracciamento email; il proxying sistematico delle richieste, introdotto da Apple con la Mail Privacy Protection nel 2021 e adottato in forme analoghe da altri provider, che scarica i pixel in modo indiscriminato per tutti i destinatari e rende le metriche di apertura strutturalmente inaffidabili per i mittenti; i filtri di rete a livello di risoluzione DNS, diffusi negli ambienti tecnicamente attrezzati.

La presenza di queste contromisure comporta due implicazioni rilevanti ai fini dell’analisi qui condotta. La prima è che il tracciamento via pixel è riconosciuto come intrinsecamente invasivo dalla stessa comunità tecnica, al punto che si sono sviluppate famiglie di strumenti specificamente dedicate a contrastarlo: un dato che conferma, sul piano fattuale, la qualificazione di particolare invasività formulata dal Garante e, prima ancora, dall’EDPB. La seconda è che la tutela effettiva dipende oggi, in misura significativa, dalla scelta consapevole dello strumento di lettura da parte del destinatario — scelta che presuppone competenze tecniche e livelli di attenzione alla riservatezza non uniformemente distribuiti tra la popolazione degli utenti. Un modello regolatorio che affidi la protezione dei dati alla diligenza dei singoli nella selezione del proprio client di posta si discosta, a nostro avviso, dalla logica dell’art. 25, par. 2, del GDPR, che individua nel titolare del trattamento il soggetto onerato della progettazione di un sistema protettivo per impostazione predefinita.

Merita infine una considerazione autonoma il fenomeno del proxying sistematico. Quando il provider del destinatario scarica automaticamente i pixel per ogni messaggio, indipendentemente dall’effettiva apertura, le metriche raccolte dal titolare perdono valore segnaletico: il tasso di apertura si gonfia artificialmente, gli indirizzi IP raccolti sono quelli dei proxy del provider e non quelli reali dei destinatari, il tempismo delle richieste non corrisponde al momento effettivo di lettura. L’effetto cumulativo è duplice. Da un lato, una quota rilevante del tracciamento individuale produce oggi, strutturalmente, dati comportamentali inutilizzabili: il che suggerisce che la ratio economica del tracking individuale con identificativo univoco si sta progressivamente erodendo anche sul piano dell’interesse del titolare. Dall’altro, poiché il proxying riguarda in modo non uniforme le diverse popolazioni di utenti — colpendo in misura maggiore chi utilizza client Apple rispetto a chi utilizza altri sistemi — il tracciamento individuale residuo finisce per riferirsi in misura crescente alle fasce di destinatari meno protette, con un effetto di selezione che non risponde a ragioni di progettazione ma a circostanze tecniche contingenti e che, anche sotto questo profilo, si pone in tensione con il principio di correttezza di cui all’art. 5, par. 1, lett. a), del GDPR.

Su quest’ultimo piano si profila un nodo operativo che le Linee Guida non affrontano e che merita di essere segnalato per i riflessi che ha sulla responsabilità dei titolari. Nella prassi di mercato, non è affatto scontato che le piattaforme commerciali di email marketing più diffuse — adottate dalla generalità dei titolari italiani per la gestione di newsletter, comunicazioni promozionali, email transazionali — offrano nativamente la quarta architettura sopra descritta. Il tracking individuale con identificativo univoco per destinatario costituisce, nelle configurazioni standard, l’impostazione predefinita; la disattivazione è di regola binaria per l’intera campagna e non segmentabile per destinatario; la segmentazione della lista di invio in funzione del consenso alla specifica finalità di tracciamento non si configura, da quanto risulta, quale funzione nativa nelle soluzioni di mercato più comuni.

Il titolare che intenda conformarsi pienamente al principio di privacy by design, nella lettura che si svilupperà nel paragrafo seguente, si trova pertanto di fronte a un perimetro di scelte più ristretto di quanto il provvedimento del Garante lasci intravedere: negoziare con il proprio fornitore configurazioni custom — possibilità astrattamente contemplata sui piani enterprise, ma nei fatti raramente praticabile per organizzazioni di dimensione ordinaria; adottare soluzioni di email marketing self-hosted, sulle quali l’architettura PbD-compliant può essere implementata con lavoro tecnico dedicato; operare stabilmente in regime di deroga statistica, rinunciando alle metriche individuali a beneficio del rispetto del principio di minimizzazione. La catena tra la responsabilità giuridica del titolare — fondata sugli artt. 24, 25 e 28 del GDPR — e la configurazione tecnica effettivamente disponibile sulle piattaforme di mercato appare, nei fatti, non perfettamente saldata. Il provvedimento del Garante, concentrando le proprie indicazioni tecniche sulla pseudonimizzazione degli identificativi e sulla minimizzazione dei dati accessori, non interviene su questo profilo — che a nostro avviso costituisce uno dei terreni sui quali la prassi applicativa, e soprattutto la governance contrattuale tra titolari e fornitori di servizi di invio, sarà chiamata a misurarsi in modo particolare nei mesi successivi all’entrata in vigore delle Linee Guida.

8. Privacy by design e consenso: una configurazione da verificare

Alla luce delle configurazioni tecniche ora descritte, il piano critico può essere affrontato in modo più preciso. Le Linee Guida richiamano espressamente l’applicazione dell’art. 25 del GDPR e suggeriscono alcune misure tecniche di rilievo: l’utilizzo di un identificativo inintelligibile e non sequenziale da associare all’indirizzo di posta elettronica del destinatario, con mantenimento della corrispondenza in un layer interno e separato della piattaforma; il conteggio degli eventi di apertura per il tramite dell’identificativo, senza che l’indirizzo email transiti nella richiesta tecnica generata dal caricamento del pixel; la registrazione documentata delle scelte espresse dall’interessato, ai fini della prova del consenso ex art. 7, par. 1, del GDPR.

Sono indicazioni puntuali, tecnicamente condivisibili e meritoriamente volte a ridurre il rischio di identificabilità dei destinatari. La riflessione che a nostro avviso merita di essere condotta, tuttavia, riguarda un piano diverso — e più ampio — rispetto a quello delle misure tecniche. La privacy by design, quale principio sancito dall’art. 25 del GDPR, non si esaurisce nelle misure di minimizzazione o di pseudonimizzazione adottate a trattamento in corso: essa impone, al titolare, di configurare il sistema — i mezzi del trattamento, le impostazioni predefinite, l’architettura delle scelte offerte all’interessato — in modo tale che la protezione dei dati sia una caratteristica strutturale, e non una conseguenza di una rivendicazione individuale.

L’art. 25 è, su questo punto, testuale. Il par. 1 impone al titolare di adottare misure appropriate «sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso»: la prima sede di intervento è dunque la fase di progettazione, non quella esecutiva. Il par. 2 aggiunge che il titolare mette in atto misure tecniche e organizzative adeguate per garantire che, «per impostazione predefinita», siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento. Il default — il comportamento del sistema in assenza di interventi dell’utente — deve essere orientato alla minimizzazione.

La questione che si profila non è dunque se il consenso e la privacy by design siano, in astratto, compatibili: lo sono, dal momento che il consenso può legittimare trattamenti ulteriori rispetto a quelli necessari all’erogazione del servizio o all’esecuzione del rapporto, purché siano rispettati i requisiti di validità della manifestazione di volontà. La questione è, più esattamente, se la configurazione del consenso disegnata dalle Linee Guida si regga sui parametri della privacy by design — ovvero se un sistema costruito attorno a un consenso unico per la ricezione di comunicazioni promozionali e per il tracciamento, con revoca granulare delegata a un link nel footer del messaggio, soddisfi il requisito per cui «per impostazione predefinita» il titolare deve trattare solo i dati personali necessari alla specifica finalità perseguita.

A nostro avviso il punto merita attenta riflessione. Nel modello delineato dal provvedimento, il tracciamento individuale del comportamento di apertura non è un trattamento necessario all’erogazione del servizio di posta elettronica né alla consegna del messaggio promozionale: è un trattamento ulteriore, perseguito per finalità proprie del titolare (misurazione delle performance commerciali, adattamento delle campagne, profilazione degli interessi). Proprio perché non è necessario, il GDPR ne subordina la liceità al consenso. Ma nel momento in cui il consenso viene acquisito in forma cumulativa con quello alla ricezione, e la scelta dell’interessato sulla finalità autonoma del tracciamento viene rinviata a una revoca successiva — per di più, resa accessibile attraverso un link collocato nel footer di ciascuna email — la configurazione del sistema è tale che, per impostazione predefinita, il tracciamento avviene. L’interessato che desideri la sola ricezione senza tracciamento, pur avendone astrattamente il diritto, deve attivarsi per ottenerlo. La condizione di non-tracciamento non è il default del sistema: è una scelta che l’utente deve rivendicare.

Questa configurazione, a nostro avviso, si pone in tensione con la logica dell’art. 25, par. 2. Il principio della privacy by default individua nella minimizzazione la condizione di partenza del sistema e colloca la scelta di trattamenti ulteriori — inclusi quelli fondati sul consenso — nella sfera dell’azione affermativa dell’interessato, riferita a ciascuna finalità distinta. Una configurazione più coerente con tale principio avrebbe più verosimilmente comportato: un default senza tracking pixel; un’azione affermativa dell’interessato, specifica e riferita alla sola finalità di tracciamento, per attivarlo; la documentazione separata di tale azione rispetto al consenso alla ricezione del messaggio promozionale. Le Linee Guida, nel loro punto decisivo, muovono in una direzione diversa: il consenso unico e la revoca granulare ex post restituiscono un sistema in cui la privacy non emerge come condizione predefinita, ma come eventualità che l’utente ottiene attivandosi.

Le misure tecniche suggerite dal provvedimento — pur apprezzabili — operano all’interno di questa configurazione, non la correggono. Un identificativo inintelligibile è una misura di pseudonimizzazione applicata a un trattamento che, nel modello disegnato, è già in corso per default. È una mitigazione del rischio, non una sua prevenzione strutturale. La differenza, sul piano dell’art. 25, non è di poco conto: il principio di privacy by design richiede di agire sulla progettazione del sistema prima ancora che sulle misure di riduzione del rischio adottate a trattamento attivo.

Il nucleo della privacy by design, quale emerso dalla elaborazione sviluppatasi da Ann Cavoukian in poi e codificato nell’art. 25 del GDPR, è precisamente questo: la privacy non è una scelta offerta all’utente, ma una condizione del sistema. Le Linee Guida del Garante, nell’opzione di semplificazione adottata in logica di contrasto alla consent fatigue, costruiscono un modello in cui la tutela dell’interessato dipende in misura determinante dall’iniziativa individuale di chi riceve il messaggio — iniziativa che, come dimostrano anni di esperienza applicativa in materia di cookie banner, nella grande maggioranza dei casi non viene esercitata. Il risultato è un sistema in cui il consenso, formalmente acquisito, copre un trattamento che, in una configurazione pienamente PbD-compliant, presumibilmente non avrebbe luogo di default.

9. Un secondo profilo: il rapporto con i requisiti di specificità e granularità ricostruiti dall’EDPB

Alla questione della configurazione del sistema, che si è ora illustrata sul piano dell’art. 25, si affianca un secondo profilo, interno al regime del consenso ex art. 4, punto 11, del GDPR. I due profili convergono, ma operano su piani distinti: il primo riguarda il disegno complessivo del trattamento, il secondo i requisiti di validità del consenso come base giuridica.

Il consenso richiesto dall’art. 122 del Codice, come recepimento dell’art. 5, par. 3, della direttiva e-Privacy, rinvia, quanto alla nozione, alla disciplina generale in materia di protezione dei dati personali: l’art. 2, lett. f), della direttiva e-Privacy fa infatti corrispondere il consenso dell’utente o abbonato al consenso dell’interessato, come definito dalla direttiva 95/46/CE, oggi sostituita dal GDPR ai sensi dell’art. 94, par. 2. L’EDPB, nell’Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, ha espressamente ribadito tale rinvio. Ne discende l’applicabilità integrale dei requisiti dell’art. 4, punto 11, del GDPR, come declinati nelle Linee Guida EDPB 05/2020 sul consenso.

Tra questi requisiti figura la specificità, articolata secondo l’EDPB in più vincoli cumulativi, tra cui la granularità nella richiesta di consenso: quando il trattamento persegue più finalità, il consenso deve poter essere prestato separatamente per ciascuna. Il considerando 43 del GDPR è, sul punto, testuale: il consenso è presunto non liberamente espresso se non è possibile esprimerne uno separato per distinte operazioni di trattamento. La sede della granularità è il momento genetico in cui il consenso si forma. La revoca, pur dovuta ex art. 7, par. 3, del GDPR, opera come presidio aggiuntivo e non come strumento sostitutivo della granularità.

Nel sistema delineato dal Garante, la scelta è diversa. La scelta dell’interessato su ciascuna finalità distinta — ricezione della comunicazione promozionale, da un lato; tracciamento del comportamento di interazione con essa, dall’altro — non si forma al momento genetico del consenso, che è unico, ma si esercita successivamente tramite il meccanismo della revoca parziale. La granularità risulta così attenuata nella sua dimensione genetica ex ante e affidata, quale presidio compensativo, alla revoca granulare ex post: una configurazione che, pur mantenendo formalmente lo schema del consenso preventivo, presenta una possibile frizione con i criteri ricostruiti dall’EDPB, i quali individuano nella granularità della richiesta, e non della sola revoca, un requisito della libera e specifica manifestazione di volontà.

Si profila, inoltre, una tensione logica interna al ragionamento del provvedimento. La giustificazione della semplificazione poggia sulla «stretta correlazione tra finalità perseguite». Ma se le due finalità sono tanto correlate da poter essere oggetto di un consenso unico, si indebolisce proprio la premessa della loro autonomia — quella stessa autonomia che fonda la necessità di un consenso dedicato al tracciamento. O le finalità sono autonome, e allora opera la granularità genetica; o sono così contigue da costituire sostanzialmente un unico trattamento, e allora andrebbe ripensato il presupposto stesso dell’obbligo di consenso separato.

Va segnalato, per completezza, che ragioni di politica regolatoria depongono a favore della scelta del Garante: la consent fatigue è fenomeno reale, riconosciuto dalla stessa prassi europea, e la semplificazione può costituire misura di tutela sostanziale. Tuttavia, il punto è che tale semplificazione — letta congiuntamente con la riflessione condotta al paragrafo che precede sul piano dell’art. 25 — costruisce un sistema nel quale la protezione dei dati non è la condizione predefinita e la specificità del consenso è attenuata nella sua dimensione genetica. I due profili si rafforzano reciprocamente: la frizione con i parametri europei del consenso, da un lato, e la tensione con il principio di privacy by design, dall’altro, convergono nel suggerire che il modello adottato dal provvedimento merita di essere attentamente osservato nella sua applicazione concreta — e, se del caso, rivisto nel dialogo tra Autorità nazionali, EDPB e Corti.

10. Termine di adeguamento e raccomandazioni operative

Il termine di sei mesi dalla pubblicazione in Gazzetta Ufficiale richiede ai titolari un percorso di adeguamento che, per i flussi di comunicazione più articolati, non è banale. A titolo di sintesi, si segnala l’opportunità di: effettuare una ricognizione dei flussi di invio attualmente in essere, distinguendo per tipologia (newsletter, DEM, transazionali, di servizio) e per finalità; mappare i fornitori coinvolti nell’erogazione del servizio, con verifica dei contratti ex artt. 26 e 28 del GDPR; aggiornare le informative e le modalità di acquisizione del consenso; implementare il meccanismo di revoca granulare secondo criteri di effettiva riconoscibilità e accessibilità; adottare le misure di privacy by design suggerite dal Garante; predisporre la documentazione utile alla prova del consenso.

L’effettività della tutela dipenderà in misura significativa dalla qualità dell’attuazione — in particolare dalla visibilità e immediatezza del meccanismo di revoca, la cui implementazione è rimessa all’autonomia del titolare.

11. Osservazioni conclusive

Il provvedimento del Garante è un intervento meritorio: affronta una tecnologia largamente diffusa e oggettivamente invasiva, la riconduce al quadro giuridico applicabile e fornisce indicazioni operative che colmano un vuoto avvertito da tempo. Le questioni che esso lascia aperte — e che qui si sono segnalate con il registro di chi applica la disciplina — non ne intaccano il valore sistemico. Segnalano, piuttosto, che la compatibilità tra semplificazione e parametri europei del consenso resta un terreno in evoluzione, sul quale il dialogo tra Autorità nazionali ed EDPB è destinato a proseguire.

Riferimenti