I tuoi open rate sono ancora un indicatore affidabile da quando la CNIL ha pubblicato la sua raccomandazione sui pixel di tracciamento il 14 aprile 2026?
La delibera n° 2026-042 del 12 marzo 2026 colloca i pixel di apertura nella categoria dei tracciatori ai sensi dell’articolo 82 della loi Informatique et Libertés, il recepimento francese della direttiva ePrivacy. Conseguenza diretta: qualsiasi lettura o scrittura sul terminale del destinatario richiede un consenso preventivo, salvo eccezioni esplicitamente elencate. Per i team email che gestiscono la sender reputation e le campagne tramite l’open rate, l’architettura di misurazione cambia entro il 14 luglio 2026.
Cosa autorizza la delibera senza consenso e perché è più restrittiva di quanto annunciato
L’esenzione per la deliverability esiste. La CNIL l’ha messa nero su bianco dopo una consultazione pubblica avviata nel giugno 2025. Consente di identificare i destinatari inattivi per pulire un database, a una condizione: può essere conservata solo la data dell’ultimo giorno di apertura, senza l’ora, sovrascritta a ogni nuova apertura.
Un email marketer che gestisce un database di 80.000 contatti e si basa su sequenze di engagement scored (apertura J+0, mancata apertura J+3, comportamento negli ultimi 90 giorni) esce dal perimetro dell’esenzione non appena utilizza questi dati per personalizzare il contenuto o alimentare un profilo cross-canale. Charles Thomasse, DPO, lo formula così nella sua analisi per Village Justice: la raccomandazione «disaccoppia fondamentalmente le metriche di deliverability dal marketing comportamentale».
Sono inoltre esenti da consenso le transactional email (conferme d’ordine, reimpostazioni della password) e la conservazione di una traccia di apertura per provare l’invio di una notifica legalmente obbligatoria. Tutto il resto rientra nel perimetro del consenso esplicito.
Usi soggetti a consenso, usi esenti: la tabella di riferimento
| Finalità | Consenso richiesto? | Condizione specifica |
|---|---|---|
| Misurazione dell’open rate per ottimizzare le campagne | Sì | Raccolta distinta, casella non spuntata per impostazione predefinita |
| Personalizzazione del contenuto basata sull’engagement | Sì | Granularità per finalità, revoca a piè di email |
| Segmentation e targeting cross-canale tramite segnali di apertura | Sì | Separazione rigorosa dal consenso di disiscrizione |
| Rilevamento di frodi e segnali di engagement pubblicitario | Sì | Consenso specifico, senza bundling |
| Pulizia degli inattivi / misurazione della deliverability individuale | No (esenzione) | Solo la data del giorno, senza ora, sovrascritta a ogni apertura |
| Transactional email richieste dal destinatario | No (esenzione) | Legato a un servizio richiesto: ordine, account, sicurezza |
| Conservazione di una traccia per obbligo legale | No (esenzione) | Minimizzazione rigorosa, durata limitata all’obbligo |
Apple MPP aveva avviato il deterioramento, la CNIL lo accelera
Apple Mail Privacy Protection, introdotto con iOS 15 nel 2021, precarica i pixel di apertura lato server Apple senza che il destinatario apra davvero l’email. Risultato concreto: Apple Mail concentra il 49,29% degli open email registrati all’inizio del 2025, secondo Litmus, e la quasi totalità di queste aperture sono precaricate da MPP anziché attivate da una lettura umana. Gli open rate apparenti superano talvolta la realtà del 15-40 % per i database con un’alta proporzione di utenti Apple Mail.
Chi gestiva l’IP warming o le decisioni di rimozione basandosi sull’apertura lavorava già su un segnale distorto. La CNIL formalizza la frattura che MPP aveva avviato. Jonathan Loriaux, CEO di Badsender, riassume il paradosso sollevato da Spam Resource: «il divario tra la prospettiva giuridica e la realtà operativa è impressionante». Gli ESP e le piattaforme di automazione non erano pronti a implementare il consenso granulare al momento in cui la raccomandazione è stata pubblicata.
Cosa cambia per la sender reputation e il hard bounce
La deliverability si basa su più segnali distinti. L’apertura ne è solo uno, e non il più robusto. Il hard bounce rate e la sender reputation vista dagli strumenti postmaster di Gmail o Microsoft SNDS pesano di più, e non dipendono dall’apertura.
In pratica, l’esenzione CNIL sull’inattività si applica a un caso d’uso specifico: se un contatto non ha aperto una sola email da sei mesi e puoi conservare solo la data dell’ultimo giorno di apertura, puoi rimuoverlo dal database attivo. Questo meccanismo di list hygiene rimane legale. Quello che scompare: attivare una sequenza follow-up sulla mancata apertura a J+3 o iniettare l’apertura come segnale in un lead scoring cross-canale. Questi usi richiedono ora un consenso raccolto al momento dell’iscrizione, in una casella dedicata non preselezionata.
Per i SDR ops e i team growth che inviano tra 20.000 e 500.000 email al mese, la struttura di base si frammenta in tre categorie dopo luglio 2026: i contatti che hanno acconsentito al tracking (pixel autorizzato), quelli che hanno rifiutato (zero tracking) e gli indeterminati (contatti notificati prima del 14 luglio ma rimasti in silenzio). La CNIL tratta il silenzio come un rifiuto per i contatti non notificati dopo la data limite.
I KPI che reggono: click, conversioni, soft bounce
Il click rate diventa il primo segnale di engagement concretamente azionabile. A differenza dell’apertura, un clic richiede un’azione deliberata che né MPP né la CNIL possono simulare o vietare senza consenso. Il click-to-open rate (CTOR) mantiene un interesse analitico per i contatti che hanno acconsentito al tracking. Le conversioni post-email (acquisto, modulo compilato) sono le metriche più robuste per misurare la performance reale di una campagna.
Sul fronte della deliverability pura, il soft bounce rate e il hard bounce rate rimangono indicatori propri della lista: non dipendono dall’apertura né dal consenso pixel. Una lista con un hard bounce superiore al 2% segnala un problema di list hygiene indipendentemente da qualsiasi tracking. Validare gli indirizzi prima dell’invio (catchall e domini inesistenti) produce un effetto misurabile sulla sender reputation senza toccare i pixel.
Tre mesi per notificare i database esistenti
La transizione prevede un periodo di tre mesi per i database esistenti. I contatti raccolti prima del 14 aprile 2026 devono ricevere un’informazione chiara sull’uso dei pixel di apertura, con un link di opposizione a piè di email, separato dalla disiscrizione. Questa notifica doveva essere inviata entro il 14 luglio 2026. La CNIL annuncia controlli a partire da questa data.
Due sollecitazioni sono sufficienti. I contatti che non rispondono (né consenso né rifiuto esplicito) entrano nella categoria «indeterminati». Su questo segmento conviene disattivare il pixel di marketing e conservare solo il tracking deliverability sotto esenzione (data dell’ultimo giorno di apertura).
Per i contatti in ingresso dopo il 14 luglio, il consenso si ottiene al punto di raccolta: una casella dedicata, formulata in termini comprensibili («Accetto la misurazione dell’apertura delle mie email per personalizzare i contenuti e adattare la frequenza di invio»), distinta dal consenso commerciale e dal consenso SMS o push.
Cosa rivela la conformità sulla qualità reale di una lista
I team che hanno gestito la deliverability tramite l’apertura per anni scopriranno, passando ai clic e alle conversioni, quanto il loro database reale sia più piccolo di quello nominale. Una lista di 200.000 contatti con un open rate apparente del 38% sotto MPP può nascondere un volume di contatti non raggiungibili (indirizzi non validi, catchall e domini scaduti) che non hanno mai generato un hard bounce visibile perché l’indirizzo esiste ancora lato server ma non viene più letto.
La raccomandazione CNIL obbliga di fatto quei team a fare l’audit di list hygiene che rimandavano.
Quando presenterai il consenso esplicitamente, il tasso di accettazione darà una misura dell’engagement reale che i tuoi open rate attuali non hanno mai fornito.
