Con provvedimento dello scorso 17 aprile il Garante per la protezione dei dati personali ha fornito delle linee guida in materia di utilizzo di tracking pixel nelle comunicazioni di posta elettronica.

L’esigenza di prevedere specifiche indicazioni sul tema è nata dal fatto che, negli ultimi anni, da un lato i gestori di piattaforme ed i fornitori di servizi utilizzano sempre più strumenti di tracciamento e/o di acquisizione di informazioni sui comportamenti tenuti dagli utenti nell’ambiente online e dall’altro cresce la consapevolezza degli utenti circa l’esistenza, le caratteristiche e gli effetti di tali strumenti.

Andiamo, quindi, a vedere insieme che cosa si intende per tracking pixel e soprattutto quali sono gli adempimenti che i titolari del trattamento dovranno realizzare entro il prossimo 29.10 per non incorrere in una violazione della normativa vigente.

COSA SI INTENDE PER TRACKING PIXEL?

Si tratta di immagini – spesso trasparenti e di dimensioni molto ridotte, pari appunto ad un solo pixel – non direttamente contenute nella comunicazione di posta elettronica, ma ospitate su server remoti, che si attivano nel momento in cui il client di posta elettronica del destinatario della comunicazione scarica le immagini contenute nel messaggio (ovviamente deve essere abilitata la relativa funzione di download delle immagini).

Detto meccanismo consente, quindi, al mittente non solo di venire a conoscenza del fatto che la comunicazione di posta elettronica sia stata o meno aperta e consultata, ma anche quando, quante volte, su che dispositivo e di ulteriori dati connessi all’indirizzo IP.

QUAL È IL QUADRO NORMATIVO APPLICABILE?

Il Garante è chiaro nello stabilire che ai tracking pixel si applicano le disposizioni normative contenute nella direttiva e-Privacy e recepite a livello nazionale nell’art.122 del D. Lgs. 196/2003 (Codice Privacy), che assume carattere speciale rispetto al Regolamento UE 2016/679 (GDPR).

Il GDPR, quindi, resta il quadro generale, ma è l’art. 122 del Codice Privacy a definire l’ambito di applicazione (tutti i soggetti pubblici e privati che a qualsiasi titolo intervengono nelle operazioni di utilizzo dei tracking pixel nelle comunicazioni di posta elettronica) e le condizioni di liceità dell’utilizzo dei tracking pixel (consenso, salvo specifiche eccezioni).

QUALI SONO LE INDICAZIONI DEL GARANTE?

Il Garante si sofferma dapprima sulle finalità perseguite con l’impiego dei tracking pixel, stabilendo che tali meccanismi possono essere utilizzati per garantire la corretta ricezione delle comunicazioni di posta elettronica (cd. deliverability), contrastare lo spam, misurare l’audience e le performance della comunicazione per eventualmente personalizzare la comunicazione in base all’interesse rilevato, identificare attività di phishing e per esigenze di formattazione.

Prosegue poi:

  • fornendo una definizione dei soggetti coinvolti nell’impiego dei tracking pixel (tra cui il mittente del messaggio di posta elettronica, il fornitore di servizi di invio e-mail (o e-mailing) e il fornitore della tecnologia di tracciamento) ed invitando i titolari del trattamento ad effettuare le opportune valutazioni ai fini dell’attribuzione dei rispettivi ruoli privacy;
  • prevedendo una definizione delle diverse tipologie di messaggi, che possono essere inviate all’utente. Nello specifico newsletter, DEM, e-mail transazionali e messaggi automatici ed e-mail di servizio;
  • evidenziando la necessità di fornire agli interessati un’idonea informativa. Stante la natura invasiva dei tracking pixel data dal loro carattere nascosto, i titolari del trattamento che ne facciano uso devono informare adeguatamente gli interessati della loro sussistenza, anche impiegando forme agevolate (informativa a più livelli o per il tramite di più canali e modalità);
  • individuando il consenso, quale condizione di liceità per il trattamento dei tracking pixel, fatto salvo il caso in cui il tracciamento sia strettamente necessario per: i) attività statistiche aggregate e anonimizzate, ii) esigenze di sicurezza e iii) l’invio di messaggi di servizio o istituzionali necessari o obbligatori. In questi tre casi, il Garante quindi ammette una deroga all’acquisizione preventiva del consenso.

COSA FARE?

Il suggerimento è quello anzitutto di verificare l’utilizzo di tracking pixel nelle comunicazioni di posta elettronica e valutarne le finalità, così da individuare la corretta base giuridica del trattamento dei dati personali e, successivamente, implementare tutti gli opportuni accorgimenti al fine di garantire il rispetto delle prescrizioni del Garante e di attuare un lecito trattamento di dati personali.