Linee guida sull’uso di tracking pixel nelle comunicazioni elettroniche
In data 17 aprile 2026, il Garante ha emesso un provvedimento recante linee guida per l’utilizzazione di tracking pixel nelle comunicazioni elettroniche. L’obiettivo è rafforzare la trasparenza e il controllo degli utenti sui loro dati.
I tracking pixel (pixel di tracciamento) sono minuscole immagini trasparenti, praticamente invisibili, inserite nei messaggi per rilevarne l’apertura e raccogliere informazioni sui comportamenti degli utenti.
Il Garante richiama l’attenzione sulla particolare invasività di queste tecnologie, che operano spesso senza che il destinatario ne abbia piena consapevolezza.
Le Linee guida chiariscono che l’impiego dei tracking pixel rientra nella disciplina prevista dall’articolo 122 del Codice Privacy, che regola l’uso di tecnologie capaci di accedere alle informazioni presenti nei dispositivi degli utenti o di monitorarne il comportamento online. Nei casi ordinari, il loro utilizzo richiede un consenso preventivo, libero, specifico e informato.
Restano possibili specifiche eccezioni, ad esempio per finalità di sicurezza, per esigenze tecniche strettamente necessarie o per comunicazioni istituzionali e di servizio, nel rispetto dei principi di proporzionalità e minimizzazione dei dati.
Il Garante ribadisce inoltre l’obbligo di fornire agli utenti un’informativa chiara e trasparente e garantire modalità semplici per la revoca del consenso, anche in modo selettivo.
Particolare attenzione è richiesta all’adozione di misure di privacy by design e by default, per ridurre il rischio di identificabilità degli utenti e limitare la circolazione dei dati personali.
Le Linee guida si rivolgono ai fornitori di servizi della società dell’informazione, ai soggetti che offrono servizi online accessibili al pubblico, ai provider di posta elettronica, ai gestori di piattaforme per l’invio massivo di e-mail e, più in generale, a tutti i soggetti che utilizzano tracking pixel.
I soggetti interessati dovranno adeguarsi entro sei mesi dalla pubblicazione delle Linee guida in Gazzetta Ufficiale.
Esami e corsi a distanza
Il Garante ha pubblicato una serie di interessanti FAQ in merito a trattamenti di dati personali che discendono dall’erogazione di corsi a distanza online e i conseguenti esami.
I trattamenti di dati di persone fisiche (studenti, partecipanti, candidati), finalizzati al rilascio di titoli di studio aventi valore legale, nonché di titoli abilitanti o attestati la frequenza a lezioni, corsi e attività di formazione in genere, anche nel quadro di attività soggette alla vigilanza di soggetti pubblici (in particolare, il Ministero dell’istruzione e del merito, il Ministero dell’Università e della Ricerca o altri enti che hanno competenza in materia di formazione e istruzione, anche a livello locale), trovano la loro base giuridica – indipendentemente dalla natura pubblica o privata del titolare del trattamento – nella necessità di eseguire obblighi di legge o svolgere i propri compiti di interesse pubblico. Tali trattamenti non possono, invece, trovare fondamento in altre basi giuridiche quali il consenso, il contratto o il legittimo interesse.
Il trattamento deve essere necessario per lo svolgimento dell’esame o del corso. Strumenti telematici e piattaforme usati non devono consentire altre elaborazioni e non devono usare funzionalità non necessarie che possano elevare i rischi per i diritti fondamentali e le libertà dell’interessato rispetto ai tradizionali corsi ed esami in presenza.
Gli strumenti elettronici devono essere configurati in modo da evitare trattamenti non necessari, minimizzando il volume di dati personali da sottoporre a trattamento e il tempo di conservazione (es.: impostazioni della videocamera, limitazione dell’inquadratura, risoluzione, eventuale disattivazione della registrazione).
Normalmente, l’impact assessment non è necessario se il titolare del trattamento si limita a trattare i dati personali che sono strettamente necessari ai fini di condurre i corsi a distanza o gli esami, in particolare, attraverso servizi di videoconferenza online, piattaforme che non permettono il sistematico controllo degli interessati o in qualsiasi altro caso in cui non ci sia uso di nuove tecnologie invasive. Al di fuori da questi casi, quali l’uso di sistemi di supervisione della partecipazione ai consi e la conduzione di esami a distanza (proctoring), il titolare del trattamento deve condurre l’impact assessment prima che il trattamento abbia inizio, considerando l’uso di nuove tecnologie e il sistematico monitoraggio che l’uso di questi strumenti può implicare, e, ove applicabili, le condizioni di cui all’art. 35, comma 3, GDPR. Se l’impact assessment rileva un residuale e alto rischio, il titolare del trattamento deve procedere alla consultazione preventiva del Garante di cui all’art. 36, GDPR.
Intelligenza artificiale e LinkedIn: uso dei dati degli utenti che non si sono opposti
Dal 3 novembre 2025 LinkedIn può utilizzare i dati degli utenti per addestrare i suoi sistemi di intelligenza artificiale, a condizione che non sia stato esercitato il diritto di opposizione.
Gli utenti LinkedIn – e i non utenti i cui dati possono essere comunque presenti sul social network perché pubblicati da altri utenti – hanno il diritto di opporsi al trattamento dei propri dati personali per l’addestramento dei sistemi di intelligenza artificiale generativa della piattaforma, utilizzando le modalità rese disponibili online dalla società.
Lo aveva affermato il Garante a seguito dell’iniziativa di LinkedIn di utilizzare, dal 3 novembre 2025, i dati contenuti nei post pubblici degli utenti maggiorenni (post, commenti, didascalie, foto, ma anche dati relativi a offerte di lavoro o attività nei gruppi) per addestrare e migliorare i suoi modelli di AI generativa.
L’opposizione, se esercitata prima del 3 novembre, permette di sottrarre all’addestramento dell’intelligenza artificiale di LinkedIn tutte le informazioni personali, mentre se esercitata dopo interesserà solo i contenuti pubblicati successivamente e non quelli già online.
In caso di mancata opposizione, LinkedIn utilizzerà tutti i predetti dati per l’addestramento della propria intelligenza artificiale.
Nel frattempo, il Garante sta lavorando con le altre autorità di controllo europee per verificare che l’iniziativa promossa da LinkedIn sia conforme alla normativa in materia di data protection.
In particolare, l’attenzione è rivolta al corretto funzionamento dei meccanismi di opposizione, alla tipologia dei dati personali coinvolti nelle attività di trattamento ed alla sussistenza dei presupposti per l’idoneità della base giuridica del legittimo interesse.
Per agevolare l’esercizio del diritto di opposizione il Garante ha realizzato una apposita scheda informativa resa disponibile sul proprio sito. La parte di rilievo interessa le modalità rese disponibili da LinkedIn per esercitare l’opposizione e che consistono in:
- Toogle switch: il link, dopo il log-in, indirizza l’utente direttamente alla pagina web delle impostazioni sdi data protection in cui è presente il pulsante da deselezionare.
- Modulo online: il link indirizza alla pagina web predisposta da LinkedIn per l’esercizio del diritto di opposizione. Nel menu a tendina presente sotto la voce “Selezionare il tipo di richiesta di opposizione o restrizione”, è necessario scegliere l’opzione relativa a “Opposizione al trattamento per l’addestramento dei modelli di IA finalizzati alla creazione di contenuti”, senza necessità di inserire alcuna giustificazione.
Per saperne di più, contattami.