[doc. web n. 10162286]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 391 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti online chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce;

VISTA la nota n. 65159 del 17 novembre 2022 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 73600 del 30 novembre 2022 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Vremar S.r.l. (in seguito, anche, la “Società”) è stata individuata tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 28 marzo 2023 in relazione al sito internet www.vremar.it;

CONSIDERATO che, in tale sede di verifica è emerso quanto segue:

- al primo accesso al sito appariva sulla homepage il banner a comparsa immediata sull’utilizzo dei cookie che riportava la seguente dicitura «Informativa. Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie policy necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la “cookie policy”. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie»;

- in alto a destra del banner era presente il comando “X”;

- cliccando sul link “cookie policy” presente all’interno del banner, compariva un pop-up recante il seguente avviso: «Documento inesistente – questo documento non è stato trovato. Se sei il titolare del sito, verifica le impostazioni nella tua dashboard […]» e l’avvertimento che proseguendo la navigazione o chiudendo la finestra si prestava il consenso all’utilizzo di tutti i cookie;

- nel footer del sito erano posizionati i link alla “Privacy Policy” e alla “Cookie Policy”, che rimandavano entrambi a pagine vuote e dunque prive della documentazione di riferimento;

- tramite la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato, raggiungibile all’indirizzo URL “chrome://settings/content/all”, risultava che il sito faceva uso di cookie.

VISTA la nota del 1° dicembre 2023 con la quale, al fine di acquisire ulteriori elementi di valutazione, l’Ufficio ai sensi dell’art. 157 del Codice chiedeva alla Società di fornire maggiori informazioni in ordine alla circostanza che le informative non risultavano consultabili e di fornirne copia, nonché di chiarire se il meccanismo di acquisizione del consenso degli utenti alla ricezione di cookie diversi dai tecnici fosse stato adeguato alle disposizioni di legge applicabili, nonché alle indicazioni rese dall’Autorità nelle menzionate Linee Guida;

VISTA la risposta della Società del 4 dicembre 2023 (acquisita in data 6 dicembre 2023 con prot. 162261), con la quale la stessa rappresentava che la problematica riscontrata sul sito era stata causata da «un errore di aggiornamento relativo a un plug-in utilizzato per la pubblicazione delle policy» e che le informative erano nuovamente consultabili e adeguate alle disposizioni. Pertanto, a seguito delle richiamate modifiche:

- al primo accesso al sito appariva sulla homepage il banner a comparsa immediata sull’utilizzo dei cookie che riportava la seguente dicitura «INFORMATIVA Noi e terze parti selezionate utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per le finalità di funzionalità, esperienza, misurazione e marketing (con annunci personalizzati). Per quanto riguarda la pubblicità, noi e 834 terze parti selezionate, potremmo utilizzare dati di geolocalizzazione precisi e l’identificazione attraverso la scansione del dispositivo, al fine di archiviare e/o accedere a informazioni su un dispositivo e trattare dati personali come i tuoi dati di utilizzo, per le seguenti finalità pubblicitarie: pubblicità e contenuti personalizzati, valutazione dei contenuti e dell’efficacia della pubblicità, ricerche sul pubblico, sviluppo di servizi. Puoi liberamente prestare, rifiutare o revocare il tuo consenso, in qualsiasi momento, accedendo al pannello delle preferenze. Se presti il tuo consenso, sarà valido solo su questo dominio. Il rifiuto del consenso può rendere non disponibili le relative funzioni. Usa il pulsante “Accetta” per acconsentire. Usa il pulsante “Rifiuta” per continuare senza accettare»;

- il banner conteneva, altresì, i pulsanti “Accetta”, “Rifiuta” e “Scopri di più e personalizza”;

- cliccando su quest’ultimo comando era possibile personalizzare le scelte in relazione all’utilizzo dei cookie diversi da quelli di natura tecnica;

- nel footer del sito erano collocati i link utili alla consultazione della cookie policy e della privacy policy.

CONSIDERATO che, nonostante le modifiche apportate dalla Società in data successiva alla richiesta di informazioni, le verifiche condotte hanno comunque consentito di constatare, al momento dell’accertamento, la non conformità alle disposizioni di legge applicabili dei trattamenti di dati effettuati dal sito in questione per il tramite di cookie.

VISTA la nota del 4 aprile 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Vremar S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili al fatto che:

- la configurazione del banner in maniera tale che la prosecuzione della navigazione equivalesse al conferimento del consenso all’utilizzo dei cookie di natura diversa da quella tecnica non appariva più aggiornata e corretta alla luce delle Linee guida cookie e del Regolamento;

- il banner non consentiva all’utente la prosecuzione della navigazione mantenendo le impostazioni di default, ossia che non presuppongono l’impiego di cookie diversi da quelli tecnici;

- il mancato conferimento dell’informativa sul trattamento dei dati violava i principi di correttezza e trasparenza del trattamento atteso che, in virtù di tale inadempimento, da una parte la Società non rendeva edotto l’utente circa le modalità e le finalità del trattamento, dall’altra impediva la manifestazione di un consenso valido e informato sull’utilizzo di cookie diversi da quelli tecnici;

- sebbene nel banner si riportasse un riferimento numerico (834) alle terze parti che effettuerebbero attività di tracciamento per il tramite del sito, nella cookie policy si negava che la Società si avvalesse di cookie di terze parti (cfr. «Questo Sito Web utilizza solo Strumenti di Tracciamento gestiti direttamente dal Titolare (comunemente detti Strumenti di Tracciamento “di prima parte”) […] Questo Sito Web utilizza Cookie comunemente detti “tecnici” o altri Strumenti di Tracciamento analoghi per svolgere attività strettamente necessarie a garantire il funzionamento o la fornitura del Servizio»);

-  il conferimento di informative poco chiare e contraddittorie non solo è suscettibile di influire sul doveroso rispetto dei principi di correttezza e trasparenza del trattamento, ma può sortire effetti pregiudizievoli anche sulla validità dei consensi eventualmente espressi, atteso che ai sensi degli artt. 4, punto 11 e 7 del Regolamento il consenso non può essere considerato validamente prestato, in assenza di una previa informativa sulle modalità e finalità del trattamento.

PRESO ATTO che, con memoria difensiva del 3 maggio 2024 (acquisita in data 6 maggio 2024 con prot. 54567), la Società ha evidenziato la lieve entità della lesione eventualmente arrecata dalle violazioni contestategli, tale per cui richiedeva l’applicazione della sola sanzione di cui all’art. 58, par. 2, lett. b), del Regolamento. Ciò anche in considerazione della pronta risposta della Società nel ripristinare i link alla cookie policy, della sua buona fede in fase di realizzazione del sito, dell’assenza di precedenti violazioni o del trattamento di categorie non  particolari di dati personali, nonché dal limitato numero di accessi al sito.

RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo, alla notifica della comunicazione ex art. 166, comma 5 del Codice, nonché alla memoria difensiva della Società, è stato possibile accertare che il banner presenta ora le seguenti caratteristiche:

- la seguente dicitura «Noi e terze parti selezionate utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per le finalità di esperienza come specificato nella cookie policy. Puoi liberamente prestare, rifiutare o revocare il tuo consenso, in qualsiasi momento, accedendo al pannello delle preferenze. Il rifiuto del consenso può rendere non disponibili le relative funzioni. Usa il pulsante “Accetta tutto” per acconsentire. Usa il pulsante “Rifiuta tutto” per continuare senza accettare»;

- i pulsanti “Scopri di più”, “Rifiuta tutto” e “accetta tutto”;

- il selettore relativo ai cookie di “esperienza”, impostato di default in senso negativo di diniego al loro utilizzo;

- cliccando sul tasto “Scopri di più” si apre il pannello che consente di esprimere una scelta granulare sui cookie utilizzati anche se riferita alla sola possibilità di accettare i cookie di “esperienza”, così definiti: «Questi strumenti di tracciamento ci permettono di migliorare la qualità della tua esperienza utente e consentono le interazioni con piattaforme, reti e contenuti esterni»;

- nel footer del sito sono collocati i link utili alla consultazione della cookie policy e della privacy policy.

CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso dell’utente;

CONSIDERATO che, ai sensi del citato obbligo informativo, è onere del titolare illustrare in forma concisa, trasparente, intelligibile e facilmente accessibile, nonché con un linguaggio semplice e chiaro, ogni aspetto relativo al trattamento, ivi comprese le finalità del tracciamento posto in essere;

RILEVATO che nella sua versione ultima il sito esplicita l’utilizzo di cookie per finalità definite di “esperienza”, ma tale nomenclatura non risulta sufficientemente chiara e intellegibile, così come non risulta facilmente accessibile l’indicazione contenuta nel pannello per le scelte granulari. Tale informazione, risultando troppo ampia e generica, nonché poco chiara, è suscettibile di influire sul rispetto dei principi di correttezza e trasparenza del trattamento, limitando nei fatti la capacità di scelta degli utenti e quindi incide negativamente sulla validità del consenso eventualmente prestato;

RILEVATO, inoltre, che in base agli elementi acquisiti al momento dell’accertamento effettuato dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, nel caso in esame, è emersa:

- l’assenza di informazioni sui trattamenti posti in essere tramite cookie e altri strumenti di tracciamento in relazione alla quale la Società ha effettuato un trattamento di dati personali in violazione degli artt. 12 e 13 del Regolamento e di quanto indicato nelle Linee guida cookie;

- la non idonea configurazione del banner che non presentava alcun pulsante che consentisse la chiusura dello stesso senza l’installazione di cookie diversi da quelli tecnici e che, anzi, riteneva il consenso all’utilizzo dei cookie implicitamente prestato tramite la prosecuzione della navigazione, né consentiva di conferire un consenso specifico e granulare rispetto alle varie tipologie di cookie utilizzati; ciò, ha determinato la violazione degli artt. 4, punto 11, 5, 7, 24 e 25 del Regolamento, nonché dell’art. 122 del Codice;

RITENUTO che la condotta posta in essere dal titolare del trattamento configura una violazione degli  artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

RITENUTO, inoltre:

a) che le modifiche apportate dal titolare in pendenza del procedimento sono parzialmente idonee a ripristinare la conformità del sito e che, pertanto, risulti necessario ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare il banner alle indicazioni contenute nelle Linee guida cookie adottando una dicitura delle categorie di cookie che sia esplicativa della loro funzione e, nello specifico, sostituire l’attuale qualificazione di cookie di “esperienza” con altra che riassuma in modo chiaro e più intuitivo l’effettiva finalità perseguita;

b) in ragione delle specificità dell’accertamento, di quanto dichiarato in sede di memoria difensiva nonché dell’atteggiamento proattivo del titolare, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi tuttavia a rivolgere alla Società un ammonimento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Vremar S.r.l. in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2 lett. d) del Regolamento, ingiunge a Vremar S.r.l., con sede legale in Crotone (KR), via Acquabona 16, 88900, P.IVA 02177200793, in qualità di titolare, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet www.vremar.it alla normativa vigente in materia di protezione dei dati personali e, in particolare, di qualificare le categorie di cookie in uso con una terminologia che riassuma in modo chiaro e intuitivo la finalità perseguita, con specifico riferimento ai cookie definiti dalla Società come di “esperienza”;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento a Vremar S.r.l. per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento per le motivazioni meglio indicate nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi