IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, Presidente, la prof.ssa Ginevra Cerrina Feroni, Vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
Vista la direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (c.d. direttiva quadro), come successivamente modificata e integrata;
Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva e-Privacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche regolamento o GDPR);
Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato regolamento (di seguito anche Codice);
Visto il decreto legislativo 28 maggio 2012, n. 69, recante «Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori»;
Visto il parere del WP29 (Working Party art. 29) n. 05/2014 del 10 aprile 2014 sulle tecniche di anonimizzazione;
Visto il parere dell'EDPB n. 05/2019 del 12 marzo 2019 sulle interrelazioni tra la direttiva e-Privacy ed il regolamento, con particolare riguardo alle competenze, ai compiti ed ai poteri delle autorita' di protezione dati;
Visto il provvedimento del Garante n. 229, dell'8 maggio 2014, relativo alla «Individuazione delle modalita' semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie», pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale - del 3 giugno 2014 n. 126;
Visto il provvedimento del Garante n. 161, del 19 marzo 2015, recante le «Linee guida in materia di trattamento di dati personali per profilazione on-line», pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale - n. 103 del 6 maggio 2015;
Visto il provvedimento del Garante n. 231, del 10 giugno 2021, recante le «Linee guida cookie e altri strumenti di tracciamento», pubblicato nella Gazzetta Ufficiale della Repubblica italiana - Serie generale - n. 163 del 9 luglio 2021;
Viste le Linee guida dell'EDPB (European Data Protection Board) 2/2023, del 7 ottobre 2024, sull'ambito di applicazione tecnico dell'art. 5, par. 3, della direttiva e-privacy;
Vista la documentazione in atti;
Viste le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il prof. Pasquale Stanzione;
Premesso
1. Considerazioni preliminari e ambito di applicazione normativo.
Negli ultimi anni si e' assistito ad un crescente fenomeno di utilizzo, da parte dei gestori delle piattaforme, di fornitori di servizi o di semplici intermediari, di strumenti di tracciamento o di acquisizione di informazioni sui comportamenti degli utenti e sulle loro modalita' di fruizione dei servizi, specie nell'ambiente on-line.
Parallelamente, la consapevolezza degli utenti e, in modo particolare, il loro interesse e la loro attenzione circa l'esistenza, le caratteristiche e gli effetti di tali strumenti pare, in generale, incrementata, come dimostrato dal crescente numero di istanze che pervengono quotidianamente all'Autorita' in questo ambito.
Un clima di fiducia nell'ecosistema digitale e' senza dubbio una delle condizioni essenziali affinche' le persone possano fruire al meglio dei diversi servizi loro offerti, beneficiando dei vantaggi promessi. Esso non puo' prescindere, tuttavia, innanzitutto dalla possibilita' che la persona eserciti un controllo sulle informazioni che la riguardano, specie con riferimento a trattamenti che avvengono nel contesto digitale, e dunque dalla adozione di interventi di tutela specifici che tengano nel debito conto, tra l'altro, le diverse tipologie degli strumenti di tracciamento.
Tra questi ultimi, quali ad esempio cookie, fingerprinting, web beacon, script, javascript, mouseflow, widget etc., ve ne sono alcuni che, ampiamente diffusi nelle comunicazioni elettroniche, hanno caratteristiche particolari, potendo agire quali strumenti occulti, non identificabili dall'interessato e, pertanto, connotati da una maggiore invasivita'.
Tra essi devono essere annoverati i pixel di tracciamento, o tracking pixel, nei messaggi di posta elettronica: si tratta di immagini, spesso trasparenti e di dimensioni molto ridotte, pari appunto a un solo pixel, non direttamente contenute nell'e-mail in questione, ma ospitate su server remoti.
Di regola al momento di ogni apertura del messaggio di posta elettronica da parte del destinatario, che sia la prima o anche le eventuali aperture successive, un codice HTML inserito nel messaggio aziona in automatico un comando che comporta l'inoltro di una richiesta al server del mittente. In risposta a questa richiesta, l'immagine viene scaricata dal client di posta elettronica del destinatario (un software specifico o un browser) e archiviata nella memoria del terminale dell'interessato per essere «esposta» nel corpo della e-mail.
E' appena il caso di rilevare che il servizio di posta elettronica deve essere qualificato come per sua stessa natura destinato a veicolare contenuti privati, anche considerato il diritto, di rilevanza costituzionale, alla riservatezza ed inviolabilita' della corrispondenza.
La visualizzazione del pixel all'interno del corpo della e-mail, che consegue alla implementazione del meccanismo descritto, di per se', non ha generalmente valore informativo per l'utente ne' e' da questi neppure percepita, date le dimensioni e la trasparenza del pixel; il processo che porta a tale visualizzazione consente, invece, al mittente del messaggio o a uno dei suoi partner di ottenere informazioni relative alla avvenuta apertura e dunque alla consultazione di un'e-mail da parte di un utente specifico o in un contesto specifico, ivi comprese eventualmente informazioni ulteriori che possono ricavarsi dall'indirizzo IP del destinatario, relative al tipo di dispositivo utilizzato, fino al tempo di consultazione del messaggio e al numero di aperture successive della stessa e-mail.
Necessarie due importanti precisazioni: la prima e' relativa al fatto che deve escludersi che i pixel di tracciamento attengano, in via immediata e diretta, all'aspetto contenutistico dei messaggi, dal momento che monitorano esclusivamente l'evento dell'avvenuta apertura della e-mail; con l'effetto che la loro pervasivita' e' correlata innanzitutto alla mancata consapevolezza del destinatario, ancor prima e ancor piu' che alle possibili inferenze comportamentali o relative a gusti e preferenze che il titolare puo' desumere dal loro impiego.
La seconda precisazione attiene alla circostanza che il descritto meccanismo ha luogo, e pertanto il pixel viene scaricato nella e-mail dell'utente, soltanto nel caso in cui questi mantenga abilitata la relativa funzione di download delle immagini; qualora, invece, l'utente imposti la funzione di lettura dell'e-mail esclusivamente in formato testo, il tracking pixel, al pari di qualsiasi altra immagine, non sara' scaricato e dunque non potra' tracciare il comportamento del destinatario della comunicazione.
Si tratta comunque di accorgimenti che non possono escludere in modo selettivo la ricezione soltanto di alcuni pixel di tracciamento, ad esempio quelli utilizzati quali strumenti di digital marketing, ma interessano tutte le immagini indistintamente. Cio' in quanto ad oggi, tra l'altro, non consta l'esistenza di una standardizzazione dei nomi dei tracking pixel, ne' esiste allo stato attuale una loro codifica, ne' una sintassi universalmente condivise.
Al fine della determinazione della disciplina di legge applicabile, con ogni riflesso in ordine agli aspetti che interessano la competenza dell'Autorita' cui e' attribuita, tra l'altro, l'attivita' di enforcement, devono dunque essere considerati come fondamentali due elementi, di seguito indicati:
a) innanzitutto, sulla base del meccanismo rappresentato, l'inserimento di un elemento (il pixel) nel corpo della e-mail destinata all'utente nonche' la «lettura» delle informazioni che ne conseguono e che danno conto dell'azione dell'utente in relazione alla avvenuta apertura della e-mail (il tracciamento) sono operazioni conformi alla fattispecie di accesso al terminale disciplinata dall'art. 122 del Codice, sulla quale si tornera' tra breve. Tale conformita' interessa la duplice modalita' di accesso ivi prevista che, nel caso in esame, si concreta sia nella «archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente» (l'inserimento del pixel di tracciamento nella e-mail) sia nel successivo «accesso a informazioni gia' archiviate» (la rilevazione, tramite quel pixel, del comportamento dell'utente);
b) in secondo luogo e' necessario anche considerare che l'inclusione dei pixel di tracciamento nelle e-mail costituisce un'istruzione, diretta al terminale dell'utente, di inviare informazioni specifiche ai soggetti che li utilizzano come, ad esempio, l'identificativo del pixel, l'indirizzo IP, lo user ID, il message ID, il delivery ID sotto forma di time stamp in relazione all'invio effettivo, eventuali token di sicurezza a presidio dell'integrita' del messaggio etc.
In altri termini, e' possibile affermare che di regola i tracciatori sono univoci per singolo destinatario. Queste informazioni vengono comunicate tramite i parametri della richiesta e la loro raccolta da parte del server che ospita l'immagine costituisce un'operazione di lettura sul terminale dell'utente. Di conseguenza, e conformemente alla posizione espressa dall'EDPB nelle Linee guida sull'ambito di applicazione tecnico dell'art. 5, par. 3, della direttiva e-Privacy, le disposizioni della direttiva e, di conseguenza, il menzionato art. 122 del Codice, che ne costituisce la disciplina di recepimento a livello nazionale di carattere speciale, si applicano all'uso dei pixel di tracciamento nelle e-mail.
Ai sensi dell'art. 122 del Codice, infatti:
«1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni gia' archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalita' semplificate. Cio' non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni gia' archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della societa' dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalita' semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente.
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilita' per il contraente o l'utente.
2-bis. Salvo quanto previsto dal comma 1, e' vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente».
Questa disposizione e' stata introdotta nell'ordinamento nazionale a seguito del recepimento della direttiva e-Privacy, precedente rispetto alla data della piena operativita' degli effetti del regolamento e, al pari delle norme di diritto interno che la recepiscono, e' tuttora applicabile allo specifico settore che riguarda i trattamenti di dati effettuati nell'ambito delle comunicazioni elettroniche (v., in proposito, il considerando 173 del regolamento secondo cui «E' opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle liberta' fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio ...»).
La successiva entrata in vigore del regolamento ha imposto tuttavia una indagine, tesa a ricercare il coordinamento tra le regole poste. Ad esclusione delle fattispecie disciplinate in via esclusiva ed esaustiva dalla direttiva e-Privacy, molte attivita' di trattamento devono infatti essere ricondotte all'ambito di applicazione tanto della direttiva quanto del regolamento, con l'avvertenza che, per la parte di potenziale sovrapposizione - in virtu' del rapporto di genus a species sussistente tra le due discipline e di quanto disposto dall'art. 1, par. 2, della direttiva e-Privacy, il quale chiarisce proprio come le norme di questa precisino e integrino quelle del regolamento - ogniqualvolta la direttiva renda piu' specifiche le prescrizioni del regolamento, essa, in quanto lex specialis, dovra' essere applicata e prevarra' sulle (piu' generali) disposizioni del regolamento.
Queste ultime restano invece applicabili per tutte quelle fattispecie non specificamente previste dalla direttiva nonche' per offrire, alle norme di questa, la cornice regolatoria di carattere generale entro cui collocarne i precetti. Il regolamento, infatti, come precisato all'art. 95, «non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE».
Piu' nello specifico, in relazione al fenomeno oggetto di queste Linee guida, deve essere poi ricordato che il regolamento espressamente afferma, al considerando 30, che «Le persone fisiche possono essere associate a identificativi on-line prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle».
Con riferimento, allora, a tale fenomeno e sulla base dei menzionati presupposti, l'Autorita' intende rivolgersi a tutti i soggetti, privati o pubblici, che a qualsiasi titolo intervengano nelle operazioni di utilizzo dei pixel di tracciamento nelle e-mail, con l'intento di:
effettuare una ricognizione del diritto applicabile alle operazioni di lettura e di scrittura all'interno del terminale di un utente condotte tramite strumenti di tracciamento occulti, quali i tracking pixel, nelle comunicazioni di posta elettronica;
specificare, al riguardo, le corrette modalita' per la fornitura dell'informativa e per l'acquisizione del consenso on-line degli interessati, ove necessario, alla luce della piena applicazione del Codice e del regolamento.
2. Finalita' perseguite mediante l'impiego dei tracking pixel.
Nelle giornate del 6-8 ottobre 2025 e del 9-11 febbraio 2026, al fine di approfondire il tema in vista della predisposizione delle presenti Linee guida, l'Autorita' ha condotto una serie di accertamenti ispettivi, di carattere conoscitivo, rispettivamente presso un provider di servizi di posta elettronica ed un fornitore di piattaforma cd. di marketing automation per la gestione professionale del servizio di inoltro comunicazioni di posta elettronica per conto di committenti. All'esito di tale attivita' ispettiva e' stato possibile accertare, tra l'altro, che i tracking pixel vengono utilizzati pressoche' nella totalita' dei casi, sebbene per il conseguimento di molteplici scopi diversi: garantire la corretta ricezione delle e-mail (cd. deliverability), contrastare lo spam, misurare l'audience e le performance della comunicazione (intesa come apertura o lettura delle e-mail o download di allegati), cioe' in definitiva per avere contezza dell'interazione del destinatario con il messaggio in questione ed eventualmente personalizzare la comunicazione in base all'interesse rilevato, per identificare attivita' di phishing o anche per esigenze di formattazione.
Il loro impiego puo' riguardare dunque tanto le comunicazioni di tipo commerciale e promozionale quanto quelle piu' propriamente di servizio o a carattere istituzionale e informativo. Inoltre non vengono di regola effettuate distinzioni, in relazione al loro utilizzo, sulla base della modalita' di fruizione del servizio di posta elettronica (web, client, app etc.), come pure del dispositivo utilizzato.
3. Soggetti coinvolti e diverse tipologie di messaggi.
L'impiego di tracking pixel puo' avvenire ad opera di diversi soggetti, anche eventualmente in accordo tra loro, i quali dovranno, caso per caso, e in ossequio al principio di accountability di cui all'art. 5, par. 2, del regolamento, definire i propri ruoli rilevanti dal punto di vista delle norme in materia di protezione dei dati personali, anche eventualmente alla luce della disposizione di cui all'art. 26 del regolamento sulla contitolarita' del trattamento di dati. Tra le figure soggettive in questione e' possibile annoverare:
il mittente del messaggio di posta elettronica, intendendo con tale termine il soggetto, pubblico o privato, cui compete la scelta in ordine all'invio delle comunicazioni e che puo' decidere di far uso di pixel di tracciamento determinandone le finalita', ancorche' non necessariamente curandone, in concreto, la gestione che puo' invece essere demandata a terzi, come ad esempio ad un fornitore di servizi di inoltro delle e-mail;
il fornitore di servizi di invio e-mail (o emailing), ovvero il soggetto che mette a disposizione del committente la soluzione tecnica, compresa la piattaforma, spesso in modalita' SaaS (Software as a Service), per effettuare l'invio delle e-mail ed agisce generalmente su mandato e secondo le istruzioni del mittente, il quale utilizza liste proprie di contatti di destinatari. In altri termini, la piattaforma mette a disposizione dei propri clienti un insieme di strumenti applicativi che consentono la gestione delle campagne di comunicazione digitale lungo l'intero ciclo operativo, dalla selezione dei database di contatti alla predisposizione dei messaggi, fino all'invio delle comunicazioni e al monitoraggio delle relative performance. Tale operazione di invio, a seconda dei casi e sulla base degli accordi contrattuali in essere tra le parti, puo' essere effettuata dal provider dei servizi ovvero anche, autonomamente, dal committente stesso;
il fornitore di servizi di noleggio di liste di distribuzione e invio di e-mail, cioe' il soggetto che si occupa in via completa ed autonoma di inviare comunicazioni a contatti presenti all'interno di proprie liste di distribuzione offerte in locazione al committente, per conto del quale avviene l'invio dei messaggi;
il fornitore della tecnologia di tracciamento, ossia il soggetto che cura esclusivamente la messa a disposizione dello strumento tecnico utilizzato dal mittente o dal prestatore di servizi di invio, il cui ruolo rileva tanto ai fini del considerando 78 del regolamento («... i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorche' sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far si' che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati ...»), quanto nel caso di una sua eventuale compartecipazione agli aspetti decisionali relativi al trattamento dei dati derivante dall'uso dei marcatori in questione;
il content creator che, nel caso di e-mail a carattere promozionale, si occupa di predisporre il messaggio pubblicitario da recapitare al destinatario, curando anche l'aspetto della sua ottimizzazione grafica volta alla miglior efficacia commerciale;
il destinatario del messaggio di posta elettronica, ossia il soggetto che riceve la comunicazione all'interno della quale e' stato inserito l'elemento tracciante ed il cui indirizzo e-mail puo' essere stato acquisito dal titolare del trattamento all'esito di una specifica procedura di autenticazione (ad esempio, la creazione di un account) oppure in altro modo (ad esempio nel corso di una transazione commerciale on-line rilevante anche per l'eventuale ricorso alla deroga di cui all'art. 130, par. 4, del Codice in materia di soft spam ovvero per procedure di upselling).
Dal punto di vista della loro tipologia, e' possibile distinguere i messaggi che vengono inviati all'utente secondo diversi modelli ricorrenti:
Newsletter, cioe' comunicazioni periodiche generalmente inviate a destinatari iscritti in una lista di contatti e finalizzate alla diffusione di aggiornamenti, contenuti informativi, comunicazioni aziendali o materiali editoriali;
DEM (Direct E-mail Marketing), categoria alla quale appartengono le comunicazioni di natura prevalentemente promozionale o commerciale, inviate a gruppi di destinatari selezionati dal cliente della piattaforma nell'ambito delle liste di contatti gia' nella sua disponibilita', ovvero dal provider che utilizzi liste proprie a beneficio di terzi committenti, con l'obiettivo di promuovere prodotti, servizi o iniziative commerciali;
e-mail transazionali e messaggi automatici: comunicazioni inviate automaticamente in relazione al verificarsi di determinati eventi (ad esempio messaggi di benvenuto, follow-up successivi a un'iscrizione) o ad una specifica azione compiuta dall'utente o, ancora, a una transazione in corso, quali ad esempio conferme di registrazione, notifiche relative ad operazioni effettuate su una piattaforma digitale, conferme d'ordine o trasmissione di credenziali temporanee etc.;
e-mail di servizio, che contengono, in linea generale, messaggi il cui contenuto e' funzionale a specifiche esigenze del singolo o anche della collettivita', poiche' caratterizzate da una funzionalita' di tipo pubblicistico anche latu sensu.
4. Obblighi di informativa.
I tracking pixel sono marcatori particolarmente invasivi soprattutto in ragione del loro carattere nascosto. La ricezione di strumenti di tracciamento non riconoscibili il cui impiego non sia noto alla persona nel cui terminale vengono installati determina una violazione, innanzitutto, del fondamentale principio di correttezza di cui all'art. 5, par. 1, lettera a), del regolamento, il quale impone il rispetto di canoni di lealta' e buona fede da parte del titolare.
La predisposizione delle presenti Linee guida intende dunque richiamare l'attenzione su un sistema di tracciamento occulto, riaffermando la necessita' che, per qualificarsi lecito, l'impiego di tracking pixel nelle e-mail debba essere preventivamente reso noto al destinatario della e-mail, qualunque sia lo scopo della comunicazione o la tipologia del soggetto mittente.
L'Autorita' ritiene in proposito che l'impiego dei pixel di tracciamento imponga pertanto a tutti i titolari che gia' ne fanno o che intendano farne uso di informarne adeguatamente gli interessati in ossequio al principio di trasparenza di cui al menzionato art. 5, par. 1, lettera a), nonche' ai sensi e per gli effetti degli articoli 12 ss. del regolamento, pena la loro inutilizzabilita'.
Analogamente a quanto gia' stabilito per l'impiego di cookie (vedi, al riguardo, art. 122 del Codice, comma. 1, nonche' le Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021, nella Gazzetta Ufficiale della Repubblica italiana n. 163 del 9 luglio 2021 e disponibili in www.gpdp.it doc. web n. 9677876), l'Autorita', in considerazione delle peculiarita' dell'ambiente on-line nel quale la manifestazione di volonta' della persona viene di regola espressa, nel confermare la logica di semplificazione che costituisce uno degli obiettivi dell'azione amministrativa, favorisce il ricorso a forme agevolate di informativa. Essa potra' dunque essere fornita su piu' livelli, ad esempio prevedendone l'inserimento in forma sintetica all'interno di un modulo di raccolta dell'indirizzo, con l'aggiunta di un link verso un'informazione piu' dettagliata (anche eventualmente all'interno della cookie policy, se presente) o anche per il tramite di piu' canali e modalita' (cd. multichannel), in modo da sfruttare al massimo piu' dinamici e meno tradizionali punti di contatto tra il titolare e gli interessati. Si pensi, ad esempio, al sempre piu' diffuso ricorso a canali video, a pop-up informativi, a interazioni vocali, ad assistenti virtuali, all'impiego del telefono, al ricorso a chatbot.
Sara' allora onere del titolare, cui e' rimessa la scelta in ordine alla modalita' ovvero all'impiego combinato delle modalita' ritenute piu' idonee, in conformita' al principio di responsabilizzazione di cui all'art. 5, par. 2, del regolamento, verificare la corrispondenza del sistema implementato, specie in termini di completezza, chiarezza espositiva, efficacia e fruibilita', con i requisiti in tema di trasparenza imposti dal regolamento.
Qualora l'impiego delle coordinate di posta elettronica per l'inoltro di messaggi di qualsiasi tenore e natura che prevedano l'inserimento di tracking pixel sia gia' in corso, sara' possibile utilizzare, al fine di colmare esigenze di tipo informativo, l'inoltro del primo messaggio utile ovvero il primo momento di discontinuita' eventualmente esistente, a seconda della relazione in essere con l'interessato (contrattuale, istituzionale, di servizio etc.).
5. Presupposti giuridici del trattamento.
L'applicabilita' dell'art. 122 del Codice alle operazioni di inserimento di tracking pixel nelle e-mail impone, ai sensi del suo comma 2-bis, un divieto generalizzato di trattamento, salvo non ricorra una delle ipotesi di deroga previste dalla stessa norma: a) il previo rilascio del consenso - informato, libero, specifico ed inequivocabile - dell'utente destinatario della comunicazione; b) il ricorrere di fattispecie nelle quali il trattamento dei dati sia necessario, consenta o faciliti l'effettuazione della trasmissione di una comunicazione per via elettronica; c) le operazioni condotte siano necessarie alla fornitura di un servizio di comunicazione on-line su richiesta degli utenti.
La riconducibilita' dei trattamenti di dati effettuati all'una o all'altra di tali ipotesi normative, nel regime di responsabilizzazione del titolare previsto dal regolamento, compete in prima battuta proprio a quest'ultimo. Ciononostante, con l'intento di fornire utili orientamenti ai soggetti tenuti alla corretta implementazione delle norme, il Garante ritiene che, allo stato attuale delle conoscenze, i titolari possano beneficiare della deroga rispetto all'acquisizione di uno specifico consenso alla ricezione di tracking pixel in un numero rilevante di casi, quali ad esempio:
ogniqualvolta l'impiego di tracking pixel sia funzionale all'effettuazione di un conteggio di tipo statistico che misuri la percentuale globale di apertura dei messaggi. I risultati di tali misurazioni sono infatti necessari, tra l'altro, al fine di migliorare la deliverability delle e-mail con positive ripercussioni sul servizio di posta elettronica anche a beneficio dell'utente, come pure per contrastare fenomeni di spam. Resta inteso che simili indagini di tipo statistico impongono l'adozione di tecniche di anonimizzazione delle informazioni, in modo da non consentire misurazioni personalizzate. A tal fine, l'Autorita' suggerisce l'impego di pixel univoci, cioe' non differenziati per ciascun utente, ma uguali per tutti i destinatari di una stessa campagna, come pure l'anonimizzazione degli altri dati tecnici correlati (indirizzo IP, client etc.); in tale fattispecie, tra l'altro, risulta pienamente applicabile la deroga gia' disciplinata dal WP29, ora EDPB (European Data Protection Board), nel parere 05/2014 sulle tecniche di anonimizzazione (https://ec.europa.eu/justice/article-29/documentation/opinion-recomm endation/files/2014/wp216_en.pdf), ai sensi del quale «l'anonimizzazione, quale trattamento successivo di dati personali, [puo'] essere considerata compatibile con le finalita' originarie del trattamento ... a condizione che il processo di anonimizzazione sia tale da produrre informazioni rese anonime nel senso descritto nel presente documento»;
nell'ipotesi di implementazione di misure di sicurezza che interessano il processo di autenticazione dell'utente, il suo completamento o il suo aggiornamento. In questo caso, l'uso del tracking pixel puo' ritenersi funzionale a garantire che un determinato messaggio (relativo, ad esempio, alla conferma di attivazione di un account, alla gestione di una richiesta di modifica della password, come pure al soddisfacimento di una richiesta di esercizio dei diritti rilevanti in materia di protezione dei dati personali tra cui quello alla portabilita' dei dati, etc.) sia effettivamente aperto su un terminale noto per appartenere all'utente interessato; con cio' configurandosi una ipotesi nella quale le esigenze di sicurezza si sposano a quelle piu' direttamente connesse alla fornitura del servizio richiesto dall'utente;
nel caso di messaggi istituzionali o di servizio che il titolare ha l'obbligo giuridico di inoltrare (ad esempio sulla base di taluni istituti del diritto bancario e, a maggior ragione, se riferiti ad attivita' istituzionali di un soggetto pubblico) e rispetto ai quali rilevi l'effettiva presa di conoscenza del destinatario; ad esempio quelli che recano indicazioni utili su come prevenire azioni di phishing o frodi rispetto a minacce contingenti, come pure sull'opportunita' di azionare i rimedi disponibili in caso del verificarsi dell'evento dannoso; le comunicazioni relative a modifiche contrattuali ovvero logistico-organizzative rispetto a eventi programmati, a termini di servizio o ancora alle informative sul trattamento dei dati personali degli interessati; notifiche relative a incidenti di sicurezza; campagne istituzionali informative, ma anche reminder su scadenze e adempimenti contrattuali o contributivi. Al verificarsi di tali eventualita', pertanto, le ragioni poste a fondamento della scriminante rispetto all'obbligo di acquisizione del consenso alla ricezione dei messaggi, che deriva dal carattere cogente degli invii oppure dall'obiettivo perseguito dal mittente, che e' di beneficio e tutela dei destinatari sia come singoli che come facenti parte di una collettivita', si reputano idonee a consentire la menzionata deroga anche con riferimento all'obbligo di acquisizione del consenso per l'impiego di tracking pixel.
In definitiva, in tutti questi casi l'Autorita', nel bilanciamento degli interessi alla cui valutazione e' istituzionalmente preposta, ritiene che l'informazione tratta dall'impiego dei pixel di tracciamento sia funzionale a garantire al destinatario che il servizio (tanto come singolo, quanto quale membro di una collettivita' e dunque destinatario di una tutela di rilievo sociale) sia reso in modo piu' efficace ed efficiente, appunto a beneficio dell'interessato stesso.
6. L'acquisizione e la gestione del consenso alla ricezione di tracking pixel nelle e-mail.
In tutti i restanti casi nei quali non sia invece possibile avvalersi di una delle ipotesi di deroga previste all'art. 122 del Codice diverse dal consenso (indicate nel precedente paragrafo), il titolare che intenda utilizzare i pixel di tracciamento nelle e-mail avra' l'obbligo della preventiva acquisizione del consenso dei destinatari.
Cio', ad esempio, ogniqualvolta la misurazione individuale e l'analisi del tasso di apertura delle e-mail siano utilizzate per valutare e migliorare la performance delle campagne promozionali sulla base dei comportamenti osservati: per esempio modificando l'oggetto dei messaggi in caso di basso tasso di apertura o migliorandone la pertinenza, la leggibilita' o l'attrattivita'; per adattare la frequenza o interrompere l'invio in base all'interesse manifestato dal destinatario nei confronti dei messaggi ricevuti, al quale peraltro, in caso di omessa apertura della e-mail, di regola dopo un numero di invii reiterati, determinato dal titolare, il messaggio non viene piu' riproposto, in quanto ritenuto indesiderato e dunque non commercialmente utile; quando, ancora, si utilizzi il dato relativo alla lettura della e-mail per ricavarne informazioni presunte circa i potenziali gusti, gli interessi e le preferenze attribuibili all'utente allo scopo di creare dei profili commerciali utilizzabili anche per iniziative diverse.
Analogamente a quanto descritto a proposito dell'obbligo di rendere l'informativa, anche nel caso che attiene alla richiesta del consenso dell'interessato l'Autorita' ritiene opportuno distinguere tra l'ipotesi in cui i trattamenti di dati che presuppongono l'inoltro di e-mail contenenti i tracking pixel vengano intrapresi in un momento successivo all'entrata in vigore delle presenti Linee guida e quella in cui questi trattamenti siano invece gia' in corso (si pensi all'inoltro periodico di newsletter come pure a liste di contatti per ragioni di prospezione commerciale gia' in uso).
Nel primo caso, il consenso dovra' essere raccolto preferibilmente al momento stesso dell'acquisizione dell'indirizzo di posta elettronica in questione, dopo che - in ossequio alle regole di carattere generale - l'interessato sia stato debitamente informato, come indicato al paragrafo 4 che precede.
Il titolare potra' naturalmente individuare la forma di raccolta del consenso ritenuta piu' idonea. Resta inteso, tuttavia, che il permanere del carattere occulto connesso all'impiego di tracking pixel determinerebbe l'illiceita' del trattamento dei dati correlato. Per questa ragione, il Garante sottolinea nuovamente la necessita' che il destinatario acquisisca piena consapevolezza in ordine all'implementazione di tali meccanismi di tracciamento nelle e-mail a lui destinate.
In tale fattispecie, nella quale il consenso dell'interessato alla mera ricezione dei messaggi di tipo commerciale e promozionale potrebbe risultare astrattamente distinto da quello alla ricezione di tracking pixel, l'Autorita' ritiene tuttavia possibile considerare la stretta correlazione tra finalita' perseguite, come pure la necessita', in una logica di semplificazione, di evitare ridondanti richieste di consenso plurime che spesso si traducono, in concreto, in meccanismi di pressione o di consent fatigue, come tali gravanti sull'interessato.
In questa prospettiva, si ritiene dunque che il consenso alla ricezione degli strumenti di tracciamento in questione possa, in linea di principio, essere ricompreso in quello, piu' generale, alla ricezione delle comunicazioni promozionali, in modo da consentire che la persona esprima a tal fine un unico consenso informato. Cio' alla condizione, tuttavia, che la richiesta sia formulata in modo neutro e privo di forzature, nel rispetto della manifestazione di volonta' dell'interessato.
E' inoltre necessario che l'utente che abbia acconsentito al trattamento possa successivamente revocare in modo agevole le scelte pregresse, anche in modo granulare: optando cioe' per la revoca del consenso unico prestato, con l'effetto di impedire la futura ricezione di ulteriori messaggi, oppure revocandolo solo parzialmente, con esclusivo riguardo soltanto al tracciamento connesso alla ricezione di tracking pixel.
La possibilita' di esercizio del diritto di revoca, anche in forma granulare, potra' allora essere assicurata inserendo, ad esempio, all'interno di ogni messaggio e-mail inviato una icona standardizzata ovvero un link, posizionato nel footer, che conduca l'utente verso un'area dedicata all'esercizio dei suoi diritti. In tale area l'interessato potra' dunque richiedere di cessare l'inoltro di e-mail indesiderate (come gia' accade ad esempio cliccando sul link «disiscriviti» o simili), ovvero di cessare soltanto la ricezione dei tracking pixel, continuando cioe' a ricevere le comunicazioni di posta elettronica prive di tali marcatori.
Anche e a maggior ragione nella diversa ipotesi in cui alla data di entrata in vigore delle presenti Linee guida siano gia' in corso trattamenti di dati personali, basati sul consenso o altro valido presupposto giuridico, che comportino l'inoltro al destinatario di e-mail di carattere commerciale con l'impiego di marcatori, il titolare, dopo aver tempestivamente assolto, con il primo invio utile o comunque nel primo momento di discontinuita' disponibile allo scopo, ai propri obblighi in materia di informativa, dovra' implementare e rendere noto agli utenti un meccanismo che consenta la revoca anche granulare del consenso, sul modello di quello sopra descritto; avendo cura di individuare, in questa ipotesi, le soluzioni maggiormente improntate alla massima riconoscibilita', visibilita' e facilita' d'uso a beneficio dell'interessato. Si tratta, ad ogni buon conto, di un regime transitorio, applicabile esclusivamente ai trattamenti gia' in corso, destinato ad essere progressivamente dismesso via via che nuovi trattamenti di dati personali verranno intrapresi ex novo e saranno dunque assoggettati alla regola della preventiva acquisizione del consenso unico.
Nell'esercizio del diritto di revoca, specie in questo caso, in alcun modo l'utente dovra' essere sollecitato all'adozione di decisioni che non siano improntate alla piena liberta' di scelta. In modo particolare, alla persona che intenda rifiutare il tracciamento dovra' essere garantita la piena fruibilita' del servizio, che non dovra' comunque subire, per questa sola ragione, alcuna limitazione.
L'Autorita' richiama l'attenzione sul fatto che tutte le scelte dell'interessato siano debitamente registrate dal titolare, anche ai fini della dimostrazione cui questi potrebbe essere chiamato, specie in caso di controversie (cfr. art. 7, par. 1, del regolamento).
Inoltre, anche a corredo delle descritte misure di semplificazione, pur rimettendo all'autonomia decisionale di ciascun titolare la scelta imprenditoriale e operativa che garantisca la piu' ampia tutela dell'interessato nel pieno rispetto della disciplina applicabile, il Garante, tanto nell'ipotesi di trattamenti in corso quanto in quella di trattamenti successivi all'adozione delle presenti Linee guida, segnala la necessita' dell'adozione di tutte le soluzioni piu' idonee ad implementare in concreto le regole di privacy by design e by default di cui all'art. 25 del regolamento.
Tra esse, si ritiene opportuno suggerire che, per ridurre il rischio di identificabilita' dei destinatari, nell'utilizzare i pixel di tracciamento il mittente generi un identificativo inintelligibile e non sequenziale e lo associ all'indirizzo di posta elettronica del destinatario, mantenendo tale corrispondenza in un layer interno e separato della piattaforma utilizzata. In tal modo il conteggio degli eventi di apertura del messaggio avverra' per il tramite dell'identificativo, senza che l'indirizzo e-mail sia ricompreso nella richiesta tecnica generata dal caricamento del pixel. Cio' ridurra' l'esposizione dell'indirizzo e-mail minimizzando il rischio di identificabilita' dei dati che transitano nella rete.
Tutto cio' premesso il Garante:
Ai sensi dell'art. 154-bis, comma 1, lettera a), del Codice, delibera di adottare le presenti Linee guida affinche' i fornitori dei servizi della societa' dell'informazione di cui all'art. 1, par. 1, punto (b), della direttiva (EU) 2015/1535, nonche' i soggetti che comunque offrono ai propri utenti servizi on-line accessibili al pubblico attraverso reti di comunicazione elettronica, i provider di servizi di posta elettronica, i gestori di piattaforme per l'inoltro massivo di messaggi e-mail e ogni altro soggetto che, a qualsiasi titolo, faccia uso di tracking pixel, con specifico riguardo ai trattamenti di dati personali relativi all'utilizzo di tali strumenti, tengano conto delle indicazioni e delle semplificazioni illustrate; segnatamente, per quanto concerne:
il rispetto dei principi di liceita', correttezza e trasparenza di cui all'art. 5, par. 1, lettera a), del regolamento con riguardo all'informativa da rendere agli interessati, ai sensi degli articoli 12 ss. del regolamento medesimo, con particolare riferimento all'inserimento di tracking pixel nelle comunicazioni di posta elettronica ed alla finalita' del loro utilizzo (secondo quanto indicato al paragrafo 4 delle presenti Linee guida);
il consenso degli utenti in relazione al trattamento, per finalita' di tracciamento on-line, delle informazioni che li riguardano, derivanti dall'uso di tracking pixel nelle comunicazioni di posta elettronica, ai sensi degli articoli 122 del Codice e 4, punto 11) e 7 del regolamento (secondo i criteri e le modalita' indicate al paragrafo 6 delle presenti Linee guida);
il rispetto del diritto di revoca del consenso, anche in forma granulare, nei termini di cui all'art. 7, par. 3, del regolamento (secondo quanto indicato al medesimo paragrafo 6 delle presenti Linee guida);
l'implementazione di misure di privacy by design e by default, ai sensi e per gli effetti dell'art. 25 del regolamento, quali ad esempio quelle indicate al paragrafo 6 delle presenti Linee guida.
In considerazione della potenziale complessita' di eventuali adeguamenti dei sistemi e dei trattamenti gia' in atto ai principi espressi dalle presenti Linee guida, l'Autorita' reputa congruo individuare un termine pari a sei mesi dal momento della loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana entro il quale i soggetti tenuti dovranno conformarvisi.
Si dispone la trasmissione di copia delle presenti Linee guida al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la loro pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Il Presidente e relatore: Stanzione Il segretario generale: Montuori
|