[doc. web n. 10093459]

Provvedimento del 13 novembre 2024

Registro dei provvedimenti
n. 669 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce;

VISTA la nota n. 65159 del 17 novembre 2022 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari delle verifiche, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 36204 del 28 febbraio 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato ed uniforme su tutti il territorio nazionale fondato anche su indicatori dimensionali e geografici, Capital Investment Corporation S.r.l. (si seguito “CIC”) è stata individuata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 26 aprile 2023 in relazione al sito internet www.figashop.it;

CONSIDERATO che, in tale sede, è emerso che:

- al primo accesso al sito non appariva, né sulla home-page, né sulle altre pagine del sito, alcun banner a comparsa immediata sull’utilizzo dei cookie;

- non era presente alcuna informativa né sull’utilizzo dei cookie, né sul trattamento dei dati personali in generale;

- tramite la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato, raggiungibile all’indirizzo URL “chrome://settings/content/all”, risultava che il sito faceva uso di cookie;

VISTA la nota del 22 settembre 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato alla Società l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché nel contrasto con le Linee guida cookie, riconducibili alla carenza assoluta di informativa sia generale che riferita ai cookie, circostanza questa che non ha consentito neppure di determinare se il sito utilizzi esclusivamente cookie tecnici, ovvero faccia uso anche di cookie diversi dai tecnici il cui impiego richiede la previa acquisizione di idoneo consenso;

PRESO ATTO che la Società non si è avvalsa del diritto di cui all’art. 166, comma 6, del Codice di inviare scritti difensivi o documenti, né del diritto di essere sentita dall’Autorità;

RILEVATO, altresì, che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo e alla conseguente notifica della comunicazione ex art. 166, comma 5 del Codice, è emerso che in pendenza del procedimento il titolare ha pubblicato una privacy policy (https://www. figashop.it/ policies/privacy-policy), comunque carente dei requisiti richiesti dalla normativa vigente e con richiami a previgenti norme del Codice Privacy abrogate, e ha impostato un banner nella home-page con la seguente informativa: “Noi e i nostri partner utilizziamo i cookies e altre tecnologie per migliorare la tua esperienza, misurare le prestazioni e adattare il marketing. Altre informazioni nella nostra Informativa sulla privacy”, configurando anche le opzioni “Gestisci preferenze”, “Accetta” e “Rifiuta”;

RILEVATA, inoltre, l’assenza nel footer del sito di link che riportino all’informativa con conseguente impossibilità, per gli utenti che abbiano interagito con il banner, di poter accedere nuovamente alle relative informazioni;

CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire in modo accessibile e comprensibile per l’interessato l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso informato, specifico e granulare dell’utente;

RILEVATO, inoltre, che in base agli elementi acquisiti al momento dell’accertamento effettuato dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, nel caso in esame la carenza assoluta di informativa sia generale che riferita ai cookie, ha configurato una violazione della normativa in materia di protezione dei dati personali e non ha consentito neppure di determinare se il sito utilizzasse esclusivamente cookie tecnici, ovvero facesse uso anche di cookie diversi dai tecnici, il cui impiego richiede la previa acquisizione di idoneo consenso;

RITENUTO che la condotta posta in essere dal titolare del trattamento configura una violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO l’apprezzabile sforzo del titolare di porre parzialmente rimedio alle violazioni contestate mediante la pubblicazione della privacy policy e l’implementazione del banner;

RITENUTO, dunque:

a) di dover ingiungere al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet www.figashop.it alla normativa vigente in materia di protezione dei dati personali e, in particolare, di predisporre una informativa privacy che sia conforme alla normativa vigente e alle Linee guida Cookie, nonché di inserire nel footer della home-page un link permanente che indirizzi l’utente alle informative in materia di trattamento dei dati personali e cookie;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere a CIC un ammonimento ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di CIC in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

a) accerta la violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice e dichiara l’illiceità del trattamento

b) ai sensi dell’art. 58, par. 2 lett. d) del Regolamento, ingiunge a Capital Investment Corporation S.r.l. in persona del legale rappresentante pro tempore, con sede legale in Lecce, Via Lequile 93, P.IVA 04785610751, in qualità di titolare del trattamento, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet www.figashop.it alla normativa vigente in materia di protezione dei dati personali e, in particolare, di predisporre una informativa privacy che sia conforme alla normativa vigente e alle Linee guida Cookie, nonché di inserire nel footer della home-page un link permanente che indirizzi l’utente alle informative in materia di trattamento dei dati personali e cookie;

c) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento rivolge un ammonimento a Capital Investment Corporation S.r.l. per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento come meglio indicato nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei