g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 4 giugno 2025 [10152755]

Provvedimento del 4 giugno 2025 [10152755]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10152755]

Provvedimento del 4 giugno 2025

Registro dei provvedimenti
n. 329 del 4 giugno 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti online chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce;

VISTA la nota n. 38468 del 3 marzo 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 130776 del 21 settembre 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Centralcar S.p.A. è stato individuato tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 27 novembre 2023 in relazione al sito internet www.centralcar.it;

CONSIDERATO che, in tale sede, è emerso quanto segue:

- al primo accesso al sito appariva sulla homepage il banner a comparsa immediata sull’utilizzo dei cookie che riportava la seguente dicitura relativa all’informativa breve: «Questo sito utilizza cookie per migliorare la navigazione: se prosegui senza cambiare le impostazioni del tuo browser, accetterai di ricevere i cookies dal sito e da terze parti. Informativa sui cookie»;

- il banner conteneva, altresì, il comando “Ho compreso e accetto”;

- cliccando sul link “Informativa sui cookie”, presente all’interno del banner, si veniva reindirizzati alla pagina contenente l’informativa estesa sull’utilizzo dei cookie;

- nel footer del sito erano posizionati i link “Tutela della privacy”, “Informativa sui cookie” e “I miei consensi”;

VISTA la nota del 26 marzo 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Centralcar S.p.A. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili:

- alla assenza, all’interno del banner, di alcun pulsante che consenta la chiusura dello stesso al fine di continuare la navigazione con le impostazioni di default e, dunque, senza l’installazione di cookie diversi da quelli tecnici. L’unica azione di fatto consentita all’utente era quella di conferire il consenso all’utilizzo dei cookie di natura diversa da quella tecnica;

- all’impossibilità di esprimere un consenso specifico e granulare rispetto alle varie tipologie di cookie utilizzati dal sito;

- al fatto che la richiesta del consenso, ancorché viziato in conseguenza di quanto sopra esposto, contrastava con l’indicazione contenuta nella informativa sui cookie secondo la quale “Questo sito web non utilizza in maniera diretta cookie di profilazione. Ad un primo accesso al portale non verranno, inoltre, registrati dati per la profilazione, neppure da Terzi”;

PRESO ATTO che, con memoria difensiva del 9 maggio 2024 (acquisita in data 10 maggio 2024 con prot. 56906), Centralcar S.p.A. ha illustrato le attività intraprese in conseguenza della contestazione dell’Autorità e, in particolare, nel riconoscere che «il widget effettivamente non mette a disposizione degli utenti la “x” di chiusura del banner (o un pulsante di “non accettazione”) o strumenti di scelta (e revisione) dei consensi in modalità “granulare”», riteneva comunque che: «nella sostanza il widget rispetta le finalità di legge in quanto gli obblighi di legge sono rispettati, di fatto, con la persistenza del banner che consente all’utente di negare il proprio consenso al rilascio dei cookie di terze parti». Più nel dettaglio, Centralcar S.p.A. sosteneva adottato idonee misure per evitare l’utilizzo di cookie per trattamenti di profilazione, limitandosi al conseguimento di finalità di carattere tecnico; oltre ai cookie tecnici o assimilati, vi era un unico cookie per finalità di marketing «da accettare cliccando sul pulsante “Ho compreso e accetto”»; pur non essendo presente il tasto “X”, in nessun modo il visitatore veniva tracciato o profilato per impostazione predefinita; per rendere il consenso libero, informato, inequivoco e specifico per i cookie diversi da quelli tecnici era garantita la possibilità di visionare le informazioni presenti sul sito (cookie policy, privacy policy e i miei consensi); al primo accesso al sito l’utente si trovava davanti ad una impostazione di default per la manifestazione del consenso ai cookie diversi da quelli tecnici di tipo “opt-in”; il banner installato non permetteva una successiva modifica diretta del consenso, ma era possibile cancellare i cookie installati in qualunque momento mediante il browser.

PRESO ATTO che, con la stessa memoria difensiva, Centralcar S.p.A. informava di aver adeguato il proprio sito alla normativa vigente tramite adozione di un banner di diverso fornitore e opportunamente configurato.

RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo e alla conseguente notifica della comunicazione ex art. 166, comma 5 del Codice, è stato possibile accertare quanto dichiarato dalla Società, ossia che ora il sito dispone di un idoneo banner per la richiesta di consenso all’utilizzo di cookie di natura diversa da quella tecnica. Tale banner, oltre all’informativa sintetica, presenta, ora, i seguenti pulsanti: “Scopri di più e personalizza”, “Rifiuta”, “Accetta” e “Continua senza accettare”.

RITENUTE non condivisibili le dichiarazioni rese dalla Società in sede di memoria difensiva, in quanto le modalità indicate affinché l’utente potesse esprimere un consenso valido non corrispondevano a quelle prescritte dalla normativa e dalle Linee guida cookie;

CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso dell’utente;

RILEVATO, inoltre, che in base agli elementi acquisiti al momento dell’accertamento effettuato dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, nel caso in esame:

- stante l’inadeguatezza e l’insufficienza delle informazioni fornite con l’informativa breve disponibile nel banner, la Società ha effettuato un trattamento di dati personali in violazione degli artt. 12 e 13 del Regolamento e di quanto indicato nelle Linee guida cookie;

- la non idonea configurazione del banner che non presentava alcun pulsante che consentisse la chiusura dello stesso senza l’installazione di cookie diversi da quelli tecnici, né di conferire un consenso specifico e granulare rispetto alle varie tipologie di cookie utilizzati, ha determinato la violazione degli artt. 4, punto 11, 5, 7, 24 e 25 del Regolamento, nonché dell’art. 122 del Codice;

RITENUTO che la condotta posta in essere dal titolare del trattamento configura una violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

RITENUTO, inoltre:

a) che le modifiche apportate dal titolare in pendenza del procedimento sono idonee a ripristinare la conformità del sito e conformare il trattamento alla disciplina vigente;

b) in ragione delle specificità dell’accertamento e dell’atteggiamento proattivo del titolare, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi tuttavia a rivolgere a Centralcar S.p.A. un ammonimento ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Centralcar S.p.A. in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento a Centralcar S.p.A., con sede in Perugia, via G. Dottori n. 62, P.IVA 01794940542, in qualità di titolare, per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento per le motivazioni meglio indicate nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 giugno 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi

Scheda

Doc-Web
10152755
Data
04/06/25

Argomenti

Dati telefonici e telematici Internet e social media Consenso Informativa

Tipologie

Prescrizioni del Garante

Vedi anche (9)