Provvedimento del 27 marzo 2025 [10147883]
Provvedimento del 27 marzo 2025 [10147883]
Condividi[doc. web n. 10147883]
Provvedimento del 27 marzo 2025
Registro dei provvedimenti
n. 176 del 27 marzo 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);
VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;
VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami e segnalazioni pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce;
VISTA la nota n. 10808 del 24 gennaio 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari degli accertamenti, indicando l’area geografica di provenienza e il volume d’affari;
VISTA la nota n. 36204 del 28 febbraio 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Hit S.r.l. (in precedenza Hit Italia di Pettinato Angelo & C. s.a.s.) è stata individuata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 10 maggio 2023 in relazione al sito internet www.hitshop.it;
CONSIDERATO che, in tale sede, è emerso quanto segue:
- al primo accesso al sito non appariva alcun banner a comparsa immediata sull’utilizzo dei cookie;
- nel footer del sito non era presente alcun link di collegamento ad alcuna Cookie Policy o, più in generale, ad alcuna Informativa sul trattamento dei dati personali;
- tuttavia, a seguito di ulteriori operazioni di analisi e solo simulando l’acquisto di uno dei beni offerti sul sito, era visibile il link alla Privacy Policy del sito in questione. Da tale link si raggiungeva l’indirizzo www.hitshop.it/privacy-policy/ che ospitava la pagina “TERMINI E CONDIZIONI”, all’interno della quale si leggeva, tra l’altro:
«questo sito utilizza la tecnologia dei “cookies” per migliorare l’esperienza dell’utente sul sito;
il Cliente può rifiutare i “cookies” modificando e selezionando opportunamente le impostazioni del proprio browser;
continuando la navigazione sul nostro sito, Lei dichiara di accettare l’utilizzo di cookie e tecnologie simili per le finalità descritte in questa informativa;
utilizziamo due tipi di cookie: 1- tecnici, necessari a mostrare correttamente il sito sul Vostro browser; 2- di tracciamento, allo scopo di ottenere statistiche d’uso aggregate ed anonime e di servire un miglior servizio pubblicitario;
può rifiutare di ricevere la pubblicità informativa di terze parti e di siti esterni modificando le Sue impostazioni»;
a seguito delle operazioni effettuate, la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato indicava l’installazione di 10 cookie;
VISTA la nota del 6 ottobre 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Hit S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, in quanto la Società:
- ha utilizzato informative carenti sotto il profilo della chiarezza e trasparenza, facendo intendere di effettuare trattamenti di dati personali mediante cookie e tecnologie di tracciamento diverse da quelle di natura tecnica;
- ha omesso di configurare il banner utile all’acquisizione del consenso libero, informato e specifico all’installazione di cookie e tecnologie di tracciamento diverse da quelle di natura tecnica, sebbene abbia dichiarato di farne uso;
- ha omesso di indicare il link utile alla consultazione della cookie policy nel footer del sito;
- essendo la cookie policy consultabile soltanto in sede di acquisto dei prodotti, di fatto la società ha omesso di fornire l’informativa sul trattamento dei dati personali agli utenti che intendevano visitare esclusivamente il sito, senza finalizzare l’acquisto di un prodotto;
PRESO ATTO che la Società, avvalendosi del diritto di cui all’art. 166, comma 6, del Codice, ha chiesto di essere sentita dall’Autorità e trasmesso le proprie deduzioni in data 7 novembre 2023 (prot. 150750/23 del 8 novembre 2023), da intendersi qui integralmente richiamate e trascritte;
PRESO ATTO, altresì, che con i richiamati scritti difensivi, Hit S.r.l. rappresentando di avere oscurato il sito, ha contestato che nel verbale di accertamento del Nucleo «Al di là della quantificazione numerica dei cookies rilevati, non vi è specificazione, né nel testo del verbale in parola, né negli allegati al verbale stesso, della tipologia di cookies rilevati, con conseguente menomazione del diritto di replica del sottoscritto» e ha dichiarato che il sito utilizzava esclusivamente cookie di natura tecnica, pertanto il titolare era assoggettato soltanto all’obbligo di fornire l’informativa sul trattamento dei dati personali;
PRESO ATTO, inoltre, che nel corso dell’audizione tenuta in data 29 novembre 2023 (prot. 160259/23) la società ha dichiarato che «il sito oggetto del procedimento al momento dell’accertamento non era più commercialmente attivo e non riceveva più ordini da agosto 2022, essendo stato sostituito da altro sito web. Per mera dimenticanza il sito in questione è rimasto on-line, privo di pubblicità, senza effettuare trattamenti di dati personali né fare impiego di cookie, ad eccezione di quelli tecnici. A seguito della notifica del provvedimento da parte del GPDP, la società si è avveduta della dimenticanza ed ha provveduto immediatamente all’oscuramento del sito, che si trova ad oggi in stato di “offline”. La società non è recidiva, né ha mai ricevuto altre segnalazioni o provvedimenti simili»;
RITENUTO che, nel caso in esame non vi sia stata alcuna violazione del diritto di replica, tenuto conto che, a prescindere dalla tipologia di cookie utilizzati, la contestazione dell’Autorità è relativa all’onere che grava sul titolare di fornire un’informativa adeguata, chiara e comprensibile per l’utente medio;
PRESO ATTO, tuttavia, che in base agli elementi acquisiti nel corso dell’istruttoria preliminare, nonché mediante le memorie difensive e l’audizione di cui all’art. 166, comma 6, del Codice, è emerso che alla data dell’avvio del procedimento il sito era da tempo in corso di dismissione e utilizzava esclusivamente cookie tecnici; che nel corso dell’accertamento ispettivo era emerso, in ogni caso, l’utilizzo di un’informativa in relazione al trattamento dei dati personali;
CONSIDERATO, altresì, lo sforzo profuso dal titolare, oscurando tempestivamente il sito e mostrando ampia collaborazione nei confronti dell’Autorità;
RITENUTO, dunque, che per le ragioni ampiamente esposte, nel caso in esame non siano ravvisabili gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali e che pertanto, sia necessario disporre l’archiviazione del procedimento ai sensi dell’art. 11, comma, 1, lett. b) del reg. interno n. 1/2019;
VISTA la documentazione in atti;
VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Agostino Ghiglia;
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 11, comma, 1, lett. b) del reg. interno n. 1/2019, dichiara che non sono ravvisati gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali, nei termini descritti in motivazione, in relazione alla condotta tenuta da Hit Italia S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Montalto Uffugo (CS), Via Benedetto Croce n. 156, P.IVA 03649430786 e pertanto dispone l’archiviazione del procedimento;
DISPONE ALTRESI’
ai sensi dell’art. 154-bis del Codice e dell’art. 37 del citato regolamento interno n. 1/2019, la pubblicazione del presente provvedimento.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 marzo 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
