Il modello costruito dal Garante Privacy con le Linee Guida sui cookie nel 2021 per “salvare” gli analytics dal consenso è oggi sempre più sotto pressione. A metterlo in discussione, oltre all’evoluzione europea, lo stesso provvedimento del Garante sui tracking pixel del 2026.
Il vero tema si è ormai spostato ben oltre i cookie: pixel invisibili, server-side tracking e identificazione distribuita stanno ridefinendo il confine tra misurazione tecnica e sorveglianza comportamentale.
Analytics, tracking e profilazione sempre meno separabili
Per anni il dibattito sui cookie si è concentrato quasi esclusivamente sui banner: colori dei pulsanti, opt-in, opt-out, consenso granulare, dark pattern. Nel frattempo, però, il contesto tecnologico è cambiato molto più rapidamente delle categorie giuridiche utilizzate per descriverlo. E proprio su questo terreno emerge ora una frattura sempre più evidente tra l’approccio italiano e quello europeo.
L’Italia continua infatti a rappresentare una sorta di eccezione regolatoria nel panorama UE. Le Linee guida cookie e altri strumenti di tracciamento adottate dal Garante Privacy nel 2021 hanno consolidato una soluzione pragmatica già anticipata negli anni precedenti: i cookie analytics possono essere assimilati ai cookie tecnici e quindi utilizzati senza consenso, purché rispettino determinate condizioni di minimizzazione.
Si tratta di un’impostazione che ha avuto un enorme impatto operativo sul mercato digitale italiano, perché ha consentito a migliaia di siti di continuare a utilizzare strumenti statistici senza dipendere integralmente dal consenso dell’utente.
Ma a distanza di alcuni anni quella costruzione appare sempre più isolata rispetto all’evoluzione europea, che tende invece a leggere analytics, tracking e profilazione come fenomeni sempre meno separabili.
L’origine dell’“eccezione italiana”
Le Linee guida del 2021 hanno introdotto una distinzione destinata poi a diventare centrale nella prassi italiana: i cookie analytics possono essere equiparati ai cookie tecnici quando utilizzati per mere statistiche aggregate e adottando misure che riducano significativamente il potere identificativo dello strumento.
In particolare, il Garante ha individuato alcune condizioni essenziali: gli analytics devono essere utilizzati esclusivamente per produrre statistiche aggregate, devono operare con riferimento a un singolo sito o una singola applicazione, devono prevedere il mascheramento di almeno una parte significativa dell’indirizzo IP e non devono consentire alla terza parte di combinare le informazioni raccolte con altri trattamenti o di trasmetterle a ulteriori soggetti.
L’obiettivo era evitare che strumenti di web analytics a basso impatto venissero assimilati automaticamente alla profilazione pubblicitaria.
La soluzione italiana nasceva infatti anche da un’esigenza pratica. Dopo il GDPR e soprattutto dopo il progressivo irrigidimento interpretativo dell’ePrivacy, il rischio concreto era che qualsiasi strumento di misurazione del traffico online finisse per richiedere consenso preventivo, con effetti pesanti sulla misurazione delle performance, sull’analisi dei servizi digitali e sulla stessa sostenibilità operativa di molte realtà online.
Il Garante italiano ha quindi tentato una mediazione: riconoscere che non tutte le attività di analytics hanno la stessa invasività e che alcune configurazioni minimizzate possono essere considerate funzionalmente assimilabili ai cookie tecnici.
Una soluzione che ha avuto il merito di introdurre una logica di proporzionalità, ma che sembra ormai difficile da sostenere nel contesto tecnologico attuale.
L’approccio europeo: il focus è il tracking
Negli ultimi anni il dibattito europeo si è progressivamente spostato dalla nozione di cookie alla nozione più ampia di tracciamento.
Le Linee guida EDPB sull’articolo 5(3) della direttiva ePrivacy insistono infatti su un principio fondamentale, ovverossia che ciò che rileva è l’accesso a informazioni memorizzate nel terminale dell’utente o la capacità di raccogliere informazioni dal dispositivo, non la tecnologia utilizzata per farlo.
Per molto tempo il mercato ha ragionato infatti in termini di categorie relativamente stabili, quali quelle dei cookie tecnici, degli analytics, dei cookie di profilazione ed advertising. Oggi, però, queste distinzioni sono molto meno nette.
Le autorità europee guardano sempre più alla finalità concreta del trattamento, alla capacità identificativa dello strumento, all’inserimento del dato in ecosistemi pubblicitari o di osservazione comportamentale e alla possibilità di correlazione con altri dataset.
Si tratta di una lettura sostanziale del tracking, ed è proprio questa impostazione a rendere l’approccio italiano sempre più peculiare.
Se il criterio decisivo diventa la capacità effettiva di osservazione comportamentale, allora anche strumenti formalmente “statistici” possono assumere una natura molto diversa rispetto a quella originariamente immaginata.
L’anomalia italiana: analytics “salvati”, pixel equiparati al tracking invasivo
La tensione interna all’approccio italiano emerge ancora più chiaramente nel recente provvedimento del Garante Privacy del 17 aprile 2026 dedicato ai tracking pixel.
Nel documento, l’Autorità afferma che i tracking pixel integrano una forma di accesso alle informazioni presenti nel terminale dell’utente e consentono attività di monitoraggio riconducibili all’articolo 122 del Codice Privacy. Il loro utilizzo richiede quindi, nella generalità dei casi, un consenso preventivo, libero e informato.
L’aspetto più interessante del provvedimento, tuttavia, è il criterio sostanziale adottato dal Garante.
L’Autorità descrive infatti i tracking pixel come strumenti capaci di raccogliere informazioni relative all’apertura del messaggio, al dispositivo utilizzato, all’indirizzo IP, all’orario di consultazione e ai comportamenti del destinatario. Ciò che rende questi strumenti particolarmente invasivi è, appunto, la loro capacità di osservare il comportamento dell’utente in maniera invisibile e continuativa.
Questa lettura è quindi molto vicina all’approccio sviluppato dall’EDPB e da numerose autorità europee, per le quali, come già detto, ciò che conta è l’effettiva funzione di tracking e non il nome attribuito allo strumento.
Oggi, molti dei moderni strumenti di analytics raccolgono eventi, metadata, informazioni sul dispositivo e pattern comportamentali non molto diversi da quelli acquisiti tramite tracking pixel. In alcuni casi, piattaforme di web analytics, strumenti di email tracking e sistemi pubblicitari convergono persino nelle stesse infrastrutture tecnologiche, alimentando meccanismi integrati di attribution, marketing automation e behavioral analysis.
La distinzione tradizionale tra analytics “tecnici” e tracking “invasivo” rischia quindi di diventare sempre più fragile sul piano tecnologico e sempre più esposta a una tensione interpretativa interna al sistema.
Come potrebbero evolvere i controlli del Garante privacy
Formalmente, l’Autorità non ha modificato la propria posizione, e continua infatti a riconoscere la possibilità di assimilare determinati analytics ai cookie tecnici quando sottoposti a misure di minimizzazione adeguate. Tuttavia, il criterio sostanziale utilizzato nel provvedimento sui pixel appare significativamente diverso.
Il vero impatto di questa evoluzione…
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Tania Orrù
Source link
