Veille juridique

Pixel di tracciamento nelle email: la CNIL chiarisce il quadro giuridico

Bollettino Legale n. 94 – Aprile 2026. 

 

Pixel di tracciamento nelle email: la CNIL chiarisce il quadro giuridico

Il 14 aprile, la CNIL ha pubblicato le sue raccomandazioni sui pixel di tracciamento nelle e-mail. La raccomandazione è rivolta a tutte le organizzazioni, pubbliche e private, che utilizzano pixel di tracciamento, nonché ai fornitori di servizi tecnici a cui queste si affidano.

Il pixel di tracciamento è in pratica un'immagine, spesso di dimensioni molto ridotte, che viene visualizzata nel contenuto dell'e-mail tramite un collegamento ipertestuale.

L'inserimento del pixel costituisce un'istruzione impartita al terminale dell'utente per inviare informazioni mirate (identificativo del pixel, indirizzo IP, ecc.) ai soggetti che lo depositano.

Il pixel consente al mittente del messaggio di verificare se è stato aperto o meno e di adattare di conseguenza la propria comunicazione, ad esempio in merito alla frequenza di invio, al contenuto dei messaggi o all'aggiornamento dell'elenco dei potenziali clienti.

La CNIL ci ricorda che tale pratica richiede il consenso preventivo dei destinatari delle e-mail ai sensi dell'articolo 5 della direttiva ePrivacy, recepito nell'articolo 82 della legge francese sulla protezione dei dati.

Tuttavia, prevede un'eccezione per le email "transazionali" relative a un servizio richiesto dal destinatario, ad esempio per identificare i destinatari che non aprono più le loro email e rimuoverli dalle liste di distribuzione.

L'eccezione si applica anche alle e-mail riguardanti avvisi relativi all'account, notifiche relative a eventi come la spedizione di un pacco, conferme d'ordine e fatture d'acquisto, promemoria e reimpostazione della password, avvisi di sicurezza e notifiche di violazione dei dati, ecc.

Fatte salve queste eccezioni, per qualsiasi indirizzo raccolto a partire dal 14 aprile, data della raccomandazione della CNIL, il titolare del trattamento deve ottenere il consenso preventivo dei destinatari prima di integrare un pixel di tracciamento nell'e-mail.

Questo consenso potrebbe essere ottenuto, ad esempio, al momento della raccolta dell'indirizzo o tramite un link incorporato in un'e-mail senza pixel di tracciamento.

Per gli indirizzi raccolti prima di tale data, si richiede agli interessati di informare chiaramente i destinatari entro tre mesi, affinché possano opporsi.

Questa pubblicazione sta suscitando reazioni perché sta costringendo un numero molto elevato di funzionari ad adottare rapidamente misure di conformità.

L'autorità di vigilanza è più severa o più indulgente rispetto alle sue controparti europee su questo tema?

A quanto pare, è uno dei pochi ad indicare chiaramente in quale contesto penalizzerà i pixel di tracciamento.

Tuttavia, questo tipo di trattamento è stato evidenziato da anni dal Comitato europeo per la protezione dei dati (EDPB) e, prima ancora, dal suo predecessore, il G29 (si vedano in particolare le linee guida WP118 e 2/2023).

La posizione europea è inoltre più rigorosa di quella della CNIL, in quanto prevede un divieto totale dei pixel di tracciamento in assenza del consenso del destinatario del messaggio.

I contributi ricevuti durante la consultazione pubblica sulla bozza di raccomandazione sembrano aver spinto la CNIL a cercare di accontentare tutti: ha quindi modificato la sua posizione, orientandosi verso una maggiore flessibilità in merito alle email collegate a un servizio richiesto dal destinatario.

Tuttavia, l'attuazione di questa posizione si preannuncia complessa.

Sarebbe auspicabile un chiarimento sulla portata dell'esenzione per identificare meglio i servizi che ne beneficiano, come le newsletter o altri abbonamenti sottoscritti dai destinatari, sui quali permangono alcuni interrogativi. La CNIL (Autorità francese per la protezione dei dati) ha indicato che fornirà supporto ai titolari del trattamento, in particolare tramite webinar. Le verifiche e l'eventuale imposizione di sanzioni dovrebbero avvenire solo in una fase successiva, sebbene la Commissione non abbia fornito ulteriori dettagli al momento.

 

La CNIL (Autorità francese per la protezione dei dati) ha pubblicato un modello di documento pensato per aiutare i responsabili della protezione dei dati (DPO) a redigere relazioni sulle proprie attività. Sebbene tale relazione non sia obbligatoria ai sensi del GDPR, la CNIL la considera una buona prassi utile per monitorare la conformità e per la comunicazione con i DPO.

Il 28 aprile, la CNIL ha inoltre approvato il codice di condotta proposto dall'Alliance du Commerce, volto a fornire un aiuto concreto ai rivenditori francesi del settore abbigliamento e calzature per conformarsi ai requisiti del GDPR.

La guida si propone di rafforzare la protezione dei dati nelle vendite e nella distribuzione, sia nei negozi fisici che online.

Si tratta del primo codice nazionale e del terzo codice settoriale approvato dalla CNIL (Autorità francese per la protezione dei dati), dopo i codici europei CISPE (2021) dedicato al cloud computing e EUCROF (2024) relativo alle sperimentazioni cliniche in ambito sanitario. In Europa sono stati implementati circa quindici codici, consultabili tramite questa infografica.

Nel suo decreto del 24 aprile 2026, il governo ha scelto di definire le modalità tecniche del Registro nazionale dei conti fraudolenti (FNC-RF), finalizzato a rafforzare la lotta contro le frodi bancarie, ignorando le raccomandazioni della CNIL in materia di sicurezza.

Questo file, condiviso tramite la Banca di Francia tra gli istituti finanziari, contiene i codici IBAN dei conti sospettati di frode.

Secondo la CNIL, l'architettura approvata dal governo presenta la massima esposizione ai rischi, a causa della condivisione di copie complete e sincronizzate dei dati in chiaro con i fornitori di servizi di pagamento e i loro subappaltatori.

Il 17 aprile, la DGSI (Direzione Generale per la Sicurezza Interna) ha pubblicato una nota in cui metteva in guardia sui rischi associati all'utilizzo di applicazioni e soluzioni straniere sul luogo di lavoro. "Oltre a una maggiore esposizione ai rischi di sicurezza informatica, questi strumenti, spesso sviluppati da aziende extraeuropee, possono comportare rischi legali, di sicurezza, di riservatezza, di dipendenza o di interruzione del servizio."

La nota presenta diversi casi che dovrebbero incoraggiare tutti gli utenti a essere cauti nelle informazioni condivise e nell'accesso concesso.

Il 30 aprile, il Consiglio di Stato francese ha pubblicato la sua decisione sul principio della risposta graduale per ARCOM, successore di Hadopi, annullando diversi aspetti del decreto del 5 marzo 2010, per violazione del diritto alla privacy. Il sistema mirava a contrastare la pirateria di musica e film sulle reti P2P. Accogliendo una petizione di quattro associazioni per la tutela dei diritti digitali, il Consiglio di Stato ha tratto le necessarie conclusioni dalla sentenza della Corte di giustizia dell'Unione europea (CGUE) del 30 aprile 2024, la quale stabilisce che la verifica incrociata ripetuta tra identità e opere scaricate non può essere effettuata senza un controllo indipendente.

La decisione di Anthropic di non rendere pubblico Mythos, il suo ultimo modello di intelligenza artificiale (IA), a causa dei rischi per la sicurezza informatica, ha suscitato numerose reazioni.

Mythos è effettivamente in grado di identificare in modo molto efficace le vulnerabilità nel codice informatico.

In una nota pubblicata giovedì 23 aprile, il Consiglio per l'Intelligenza Artificiale e la Tecnologia Digitale (CIANum) invita a "non cedere al panico dilagante" e formula diverse osservazioni:

"Abbracciare l'IA per raggiungere la conformità: gli attori pubblici e privati che non si impegnano costantemente a comprendere e integrare questi nuovi utilizzi rimarranno rapidamente indietro."

Mantenere il coinvolgimento umano nelle fasi chiave: sebbene l'IA sia un valido aiuto nello sviluppo, nella correzione e nel test del software, eliminare completamente l'esperienza umana sembra garantire il fallimento. 

Prevedere nuove vulnerabilità e implementare le patch di conseguenza rappresenta una sfida significativa, soprattutto perché molti giocatori sono già oberati di lavoro.

Il Comitato consultivo nazionale di etica per le scienze della vita e la salute (CCNE) e il Comitato consultivo nazionale di etica per le tecnologie digitali (CCNEN) hanno pubblicato il 7 aprile un parere congiunto dedicato alle neurotecnologie digitali e alle interfacce cervello-macchina.

Il parere sottolinea che lo sviluppo di queste tecnologie "solleva importanti questioni etiche, in particolare in termini di dignità, autonomia, libertà di pensiero, tutela della privacy ed equità".

Le questioni specifiche riguardano l'utilizzo dei dati neurali, le applicazioni non mediche, i potenziali effetti sull'identità e sul comportamento, nonché la tutela dei bambini e degli adolescenti.

I comitati formulano una serie di raccomandazioni che richiedono particolare vigilanza in merito all'utilizzo delle neurotecnologie digitali.

 

istituzioni e organismi europei

Il 7 maggio, dopo un primo tentativo fallito, i legislatori europei hanno raggiunto un accordo Accordo sull'"AI Omnibus", volto a modificare e semplificare la regolamentazione europea in materia di intelligenza artificiale.

Le aziende avranno tempo fino alla fine del 2027 per conformarsi alle norme relative all'intelligenza artificiale ad alto rischio, mentre i fornitori di macchine basate sull'IA saranno esplicitamente esentati da alcuni obblighi.

Al contempo, la legge omnibus introduce un nuovo divieto riguardante le pratiche di intelligenza artificiale connesse alla generazione di contenuti sessuali e intimi non consensuali o di pornografia infantile.

È in corso la procedura di approvazione formale, con l'obiettivo di pubblicare le modifiche definitive entro agosto.

In un contesto in cui un numero crescente di paesi intende limitare l'accesso dei minori ai social network, la Commissione europea ha adottato il 29 aprile una raccomandazione che esorta gli Stati membri ad accelerare l'implementazione dell'applicazione europea per la verifica dell'età e a renderla disponibile entro la fine dell'anno.

La Commissione ha elaborato un piano generale per questa applicazione, che si presenta come rispettosa della privacy e consente agli utenti di dimostrare di essere maggiorenni senza rivelare la propria età esatta, l'identità o altre informazioni personali.

Tuttavia, secondo quanto riportato, un consulente di sicurezza informatica avrebbe individuato delle falle di sicurezza che potrebbero compromettere il lancio dell'applicazione a livello nazionale.

Il 29 aprile, la Commissione europea ha concluso, in via preliminare, che le piattaforme Instagram e Facebook di Meta violano il Regolamento sui servizi digitali (DSA) perché non identificano, valutano e mitigano diligentemente i rischi associati all'accesso ai loro servizi da parte di minori di 13 anni.

Nella sua riunione plenaria del 22 aprile, il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida relative al trattamento dei dati personali per finalità di ricerca scientifica.

Il Comitato ha inoltre istituito un gruppo di lavoro incaricato di accelerare la finalizzazione delle linee guida sull'anonimizzazione.

Ha inoltre adottato due pareri su due serie di criteri di certificazione Europrivacy al fine di approvarli come etichette europee di protezione dei dati, una delle quali è destinata a fungere da strumento per i trasferimenti.

Nella sua precedente sessione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato un altro importante documento: per agevolare la conformità delle organizzazioni al GDPR e rafforzare la coerenza a livello europeo, ha sviluppato un modello per la valutazione d'impatto sulla protezione dei dati (DPIA). Questo documento è aperto ai commenti fino al 9 giugno.

Il 21 aprile la Corte di giustizia dell'Unione europea ha stabilito che, adottando una legge che stigmatizza ed emargina le persone LGBTI+, l'Ungheria ha violato il diritto dell'Unione europea.

La Corte sottolinea inoltre che il titolo della legge equipara questi individui a coloro che sono stati condannati per pedofilia, "un'assimilazione che rischia di accrescere la stigmatizzazione dei primi e di incoraggiare comportamenti di odio nei loro confronti".

Infine, la Corte precisa che tale legge viola il GDPR nella misura in cui modifica la legge sui precedenti penali al fine di ampliare l'accesso alle informazioni riguardanti le persone condannate per pedofilia.

Sebbene tale accesso possa essere lecito in determinate circostanze, la Corte ritiene che "la legge non fornisca una definizione sufficientemente precisa né delle persone autorizzate ad accedere ai dati, né delle condizioni di accesso necessarie per offrire garanzie adeguate per i diritti e le libertà delle persone i cui dati sono interessati".

 

Notizie dai paesi membri dell'Unione europea.

In Belgio, l'autorità per la protezione dei dati (APD) ha ammonito due persone affinché si assicurino che le loro telecamere di sorveglianza non riprendano più le strade pubbliche.

La telecamera era stata installata come deterrente contro le forature degli pneumatici.

L'APD ha stabilito che filmare la pubblica via era illegale ai sensi della legge sulle telecamere di sorveglianza e ha sottolineato che le immagini registrate violavano il diritto alla privacy e il diritto alla protezione dei dati del denunciante e della sua famiglia a causa del frequente trattamento dei loro dati personali derivante dalla posizione della telecamera.

L'Agenzia spagnola per la protezione dei dati (APD) ha multato un'azienda di servizi di trasporto per 200.000 euro per aver obbligato i propri dipendenti a utilizzare quattro app di tracciamento sui loro telefoni personali per motivi di lavoro.

L'APD ha inoltre multato un'università per 160.000 euro per non aver ottenuto il consenso valido degli studenti per verificare la loro identità durante gli esami online tramite un sistema di riconoscimento facciale.

L'Autorità Garante per la protezione dei dati personali (APD) ha inflitto una sanzione di 6.624.000 euro a Poste Italiane SpA e di 5.877.000 euro a Postepay SpA per il trattamento illecito dei dati personali di milioni di utenti.

Le applicazioni BancoPosta e Postepay richiedevano, come condizione obbligatoria per l'utilizzo dei servizi, che gli utenti autorizzassero il monitoraggio di una serie di dati contenuti nei dispositivi mobili, al fine di rilevare eventuali software dannosi.

L'APD ha rilevato che la portata della sorveglianza era eccessiva rispetto alle finalità di prevenzione delle frodi e ha inoltre evidenziato carenze nelle informazioni fornite agli utenti, l'assenza di una valutazione d'impatto (IAPD), la mancanza di adeguate misure di sicurezza e di una politica di conservazione dei dati, nonché irregolarità nella designazione del responsabile del trattamento dei dati.

Il Ministro olandese per l'Economia Digitale e la Sovranità sta lavorando alla creazione di un "kit di emergenza digitale" per aiutare le amministrazioni pubbliche e i cittadini ad affrontare autonomamente un disastro digitale, come ad esempio un'interruzione della rete internet nazionale.

Il Paese è ancora pericolosamente dipendente dalle aziende tecnologiche americane per le sue infrastrutture essenziali, dal cloud hosting ai sistemi fiscali.

Il governo vuole che i cittadini siano in grado di soddisfare autonomamente i propri bisogni per 72 ore senza bisogno di internet, telefono e metodi di pagamento digitali.

Il governo britannico ha confermato il 23 aprile che le cartelle cliniche di 500.000 partecipanti a uno dei principali programmi scientifici del Regno Unito, la UK Biobank, erano state messe in vendita online sul sito web di Alibaba. Sebbene le informazioni compromesse non includessero nomi, indirizzi, recapiti o numeri di telefono, potevano contenere dati come sesso, età, mese e anno di nascita, stato socioeconomico, abitudini di vita e misurazioni di campioni biologici. Non si è trattato di un attacco informatico, bensì di un massiccio download di dati da parte di un'organizzazione legittimamente accreditata. Il database è effettivamente accessibile ai ricercatori. La direzione della Biobank ha dichiarato che, a seguito dell'incidente, ha implementato misure per limitare le dimensioni dei file scaricati e monitorare le esportazioni di file sospetti.

 

Il 23 aprile il governo britannico ha confermato che le cartelle cliniche di 500.000 partecipanti a uno dei principali programmi scientifici del Regno Unito, la UK Biobank, erano state messe in vendita online sul sito web di Alibaba. Sebbene le informazioni compromesse non includano nomi, indirizzi, recapiti o numeri di telefono, potrebbero comprendere sesso, età, mese e anno di nascita, stato socioeconomico, abitudini di vita e misurazioni di campioni biologici.

Non si è trattato di un attacco informatico, bensì di un massiccio download di dati da parte di un'organizzazione legittimamente accreditata. Il database è effettivamente accessibile ai ricercatori.

La direzione della biobanca ha indicato che, in seguito all'incidente, ha implementato misure per limitare le dimensioni dei file scaricati e monitorare le esportazioni di file sospetti.

Il 21 aprile, la Consumer Federation of America (CFA) ha intentato una causa collettiva contro Meta, sostenendo che la società non proteggeva i suoi utenti da annunci fraudolenti su Facebook e Instagram, contravvenendo ai suoi impegni, e che traeva profitto da tali annunci a spese degli utenti.

La CFA chiede il risarcimento dei danni, la restituzione dei profitti illeciti e provvedimenti ingiuntivi a beneficio dei consumatori di Washington, D.C.

Sta emergendo una dinamica globale a favore della sovranità digitale, dal Canada all'Unione Europea e alla costa del Pacifico, tema centrale del recente IAPP 2026 World Summit di Washington, DC. "Durante diversi workshop, i partecipanti hanno cercato di chiarire e approfondire il dibattito sulla sovranità digitale, offrendo al contempo il loro punto di vista su come l'attuale contesto geopolitico influenzerà tale dibattito negli anni a venire."

01.net illustra in dettaglio gli ultimi progetti di intelligenza artificiale di Anthropic.

Il 14 aprile, l'azienda ha pubblicato una pagina dedicata alla verifica dell'identità per il suo programma LLM Claude. Alcune funzionalità, azioni di sicurezza o "controlli di integrità della piattaforma" ora richiedono un documento d'identità ufficiale e un selfie in tempo reale.

Questo annuncio arriva poche settimane dopo una fuga di notizie che indicava come Anthropic rilevasse volgarità, insulti ed espressioni di frustrazione nei messaggi, registrandoli come segnali di un sentimento negativo da parte dell'utente. "Insieme al nuovo requisito del passaporto e del selfie, il quadro è sconcertante. Anthropic sa cosa stai dicendo quando ti lamenti."

Sabato 19 aprile, Palantir ha pubblicato su X un riassunto in 22 punti di "La Repubblica Tecnologica", una sorta di credo geopolitico di questa azienda la cui attività principale consiste nel fornire software di sorveglianza e analisi dei dati agli eserciti, ai servizi segreti e alle agenzie per l'immigrazione occidentali (compresa la Francia).

Secondo questo manifesto, la sopravvivenza delle democrazie liberali dipende ora dalla potenza del software, il "disarmo" di Germania e Giappone dopo il 1945 è stato un errore storico, l'era della deterrenza nucleare sta volgendo al termine e deve essere sostituita da una nuova deterrenza basata sull'intelligenza artificiale.

La ricercatrice Chiara Gallese segnala una vulnerabilità relativa a un agente di intelligenza artificiale gestito dall'azienda Meta.

Questo agente avrebbe agito senza istruzioni umane, divulgando dati aziendali e degli utenti sensibili a dipendenti non autorizzati.

Secondo quanto riportato, Meta ha classificato questo incidente come "Sev 1", il secondo livello di gravità più alto in termini di sicurezza. Il ricercatore sottolinea che, da un lato, alcuni agenti di intelligenza artificiale di Meta ignorano le istruzioni di supervisione umana, mentre allo stesso tempo Meta sta acquisendo piattaforme che consentono agli agenti di intelligenza artificiale di comunicare tra loro (Moltbook).

I rischi persisteranno finché la supervisione umana non diventerà un requisito architetturale imprescindibile dei sistemi di intelligenza artificiale agentiva: oggi, la verifica umana è considerata una preferenza e non un vincolo per i sistemi di intelligenza artificiale autonomi.

La Direzione australiana per le comunicazioni (Australian Signals Directorate / ACSC), insieme a diversi partner internazionali tra cui la NSA, ha raccomandato in una pubblicazione del 1° maggio un'adozione cauta dei servizi di intelligenza artificiale agentiva.

Il documento sottolinea che nelle infrastrutture critiche, l'autonomia degli agenti aumenta i rischi di errore, di escalation imprevista e di compromissione delle catene di azioni.

La raccomandazione principale è di limitare l'autonomia, registrare le azioni, controllare l'accesso e definire misure di sicurezza prima di qualsiasi implementazione operativa di intelligenza artificiale agentiva.

it_ITIT