Pixel di tracciamento nelle email: la CNIL pubblica le sue raccomandazioni

La Commission Nationale de l'Informatique et des Libertés (CNIL), l'Autorità francese per la protezione dei dati, ha pubblicato la versione definitiva delle sue raccomandazioni sull'uso dei pixel di tracciamento (o "pixel spia") nei messaggi di posta elettronica. Il documento, che giunge al termine di una consultazione pubblica, mira a chiarire gli obblighi giuridici degli operatori, sia pubblici che privati, allo scopo di garantire una protezione della vita privata degli utenti in uno spazio considerato personale e confidenziale come la messaggistica elettronica.

Il documento ("Recommandation relative aux pixels de suivi dans les courriers électronique") precisa innanzitutto che un pixel di tracciamento è uno strumento tecnico, solitamente un'immagine invisibile di dimensioni ridottissime (1x1 pixel), inserita nel corpo di un'e-mail e ospitata su un server remoto.

Quando l'utente apre il messaggio, il client di posta effettua una richiesta al server per caricare l'immagine. Tale richiesta contiene parametri individualizzati (come l'indirizzo IP o l'identificativo dell'utente) che permettono al mittente di sapere chi ha aperto l'e-mail, quando e attraverso quale dispositivo.

I pixel di tracciamento sono quindi strumenti che vengono utilizzati per monitorare la "deliverability" (consegna effettiva), misurare l'audience, personalizzare le comunicazioni commerciali o rilevare frodi.

La CNIL ribadisce che l'inserimento di questi pixel costituisce un'operazione di lettura o scrittura di informazioni nel terminale dell'utente, rientrando pienamente nel campo di applicazione dell'articolo 82 della legge "Informatique et Libertés" (che recepisce la Direttiva ePrivacy).

L'Autorità francese chiarisce che, come regola generale, l'uso dei pixel richiede il consenso preventivo, libero, specifico e informato dell'utente. Ciò vale per l'analisi delle performance delle campagne, la profilazione pubblicitaria e il tracciamento individuale non strettamente necessario.

Il consenso non è richiesto solo se l'uso è "strettamente necessario" alla fornitura di un servizio richiesto dall'utente o finalizzato esclusivamente a facilitare la comunicazione elettronica. Tra le esenzioni figurano la sicurezza (autenticazione) e la misura della "deliverability" per i messaggi cosiddetti transazionali (es. conferme d'ordine, notifiche di spedizione, reset password).

Nelle sue raccomandazioni la CNIL, con riferimento alla trasparenza e alla gestione del rapporto con l'interessato, richiamando il principio di responsabilità dei trattamenti, precisa che il mittente dell'e-mail è generalmente considerato il titolare del trattamento, anche se si avvale di fornitori esterni (emailing provider), i quali agiscono come responsabili.

La CNIL raccomanda di raccogliere il consenso al momento della raccolta dell'indirizzo e-mail. Se ciò avviene in un secondo momento tramite un'e-mail di richiesta, tale messaggio non deve contenere pixel di tracciamento.

In merito al diritto di revoca, l'Autorità afferma che ritirare il consenso deve essere semplice quanto darlo, suggerendo l'inserimento di un link specifico nel piè di pagina di ogni e-mail che consenta la disattivazione immediata del tracciamento senza ulteriori passaggi complessi.

Per i database già esistenti prima della pubblicazione della raccomandazione, la CNIL concede 3 mesi di tempo per informare chiaramente i destinatari e consentire loro di opporsi facilmente ai trattamenti futuri.