Provvedimento del 17 luglio 2025 [10174517]
Provvedimento del 17 luglio 2025 [10174517]
Condividi[doc. web n. 10174517]
Provvedimento del 17 luglio 2025
Registro dei provvedimenti
n. 436 del 17 luglio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);
VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;
VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti online chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce;
VISTA la nota n. 38468 del 3 marzo 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;
VISTA la nota n. 130776 del 21 settembre 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, la Ditta Individuale “Dall’Auto Gianpiero di XX” (in seguito, anche, la “Società”) è stata individuata tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 27 novembre 2023 in relazione al sito internet www.dallautogianpiero.it;
CONSIDERATO che, in tale sede, è emerso quanto segue:
- al primo accesso al sito appariva, nella parte superiore della home-page, un banner a comparsa immediata recante la dicitura «Utilizziamo i cookie per essere sicuri che tu possa avere la tua migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu sia felice»;
- all’interno del banner erano presenti i pulsanti “OK” e “X”;
- posizionando il cursore sul comando “X”, compariva la dicitura “NO”;
- cliccando sul pulsante “OK” oppure sulla “X”, il banner scompariva rendendo visibile il sottostante menù del sito con, evidenziato, il pulsante “Contatti”;
- cliccando sul comando “Contatti” si accedeva ad un form utile alle richieste di informazioni e assistenza;
- cliccando sul link denominato “Informativa sulla Privacy”, posizionato sotto al form di cui al punto precedente, compariva una pagina di errore;
- all’interno del sito non erano quindi presenti né la privacy policy, né la cookie policy;
VISTA la nota del 26 marzo 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato alla Ditta Individuale “Dall’Auto Gianpiero di XX” l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili al fatto che:
- la Società ha omesso di rendere un’informativa chiara e trasparente in relazione al trattamento dei dati personali effettuato mediante l’utilizzo dei cookie. L’unico riferimento all’informativa era contenuto nella sezione “contatti”, ove era riportato un link ad una “informativa sulla privacy” di fatto non visionabile perché il link rinviava ad una pagina contenente un messaggio di errore;
- la mancanza della informativa influisce anche sulla validità dei consensi eventualmente prestati mediante la selezione del pulsante “OK” presente all’interno del banner.
PRESO ATTO che, con memoria difensiva del 23 aprile 2024 (acquisita in data 29 aprile 2024 con prot. 52238), la Società ha evidenziato che:
- il sito Internet, sviluppato nel 2015, era da sempre utilizzato come mero sito vetrina per offrire ai visitatori le informazioni chiave dell’azienda e dei servizi e prodotti offerti;
- sul sito non erano presenti «codici relativi a Google analytics oppure link o contatti a nessun tipo di social network»;
- si era comunque disposto l’oscuramento del sito ai fini di procedere ad un adeguamento dello stesso;
- la privacy policy e la cookie policy erano in fase di aggiornamento;
RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo, alla notifica della comunicazione ex art. 166, comma 5 del Codice, nonché alla memoria difensiva della Società, è stato possibile accertare che il sito Internet della Società è interamente oscurato e all’accesso allo stesso appare solo la dicitura “Sito in manutenzione”;
CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso dell’utente mentre in caso di utilizzo esclusivamente di cookie tecnici il titolare è tenuto solo a darne adeguata informazione;
CONSIDERATO che, ai sensi del citato obbligo informativo, è onere del titolare illustrare in forma concisa, trasparente, intelligibile e facilmente accessibile, nonché con un linguaggio semplice e chiaro, ogni aspetto relativo al trattamento, ivi comprese le sue finalità;
RILEVATO che, nel caso concreto, non soltanto risultava assente una informativa estesa e completa sui trattamenti svolti dalla Società, ma anche l’informativa sintetica, contenuta nel banner visibile nell’home page del sito, non forniva alcun elemento idoneo a far comprendere se il sito facesse impiego di cookie diversi dai tecnici limitandosi ad affermare che i cookie erano necessari per garantire la “miglior esperienza sul sito”;
RILEVATO, inoltre, che ai sensi degli artt. 4.11, 7, 12 e 13 del Regolamento, la mancanza di adeguata informazione influisce sulla validità dei consensi eventualmente prestati mediante la selezione del pulsante “OK” presente all’interno del banner;
RILEVATO altresì che, ai sensi degli artt. 24 e 25 del Regolamento, compete al titolare la determinazione delle finalità e dei mezzi del trattamento, ma anche l’individuazione di tutte le misure più appropriate per conseguire il duplice obiettivo del rispetto delle norme e della tutela dei diritti e delle libertà degli interessati e che, in base all’art. 5, par. 2 del Regolamento, su di esso grava inoltre l’obbligo di rispettare tutti i principi di protezione dati e di fornirne adeguata dimostrazione;
RITENUTO che la condotta posta in essere dal titolare del trattamento configura una violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;
RITENUTO, inoltre, che:
a) allo stato degli atti, l’oscuramento del sito non consente né di considerare rimosse le criticità oggetto di contestazione né depone per la prosecuzione degli illeciti e che, pertanto, al riguardo l’Autorità si riserva eventuali future verifiche, anche in relazione a possibili doglianze da parte di interessati del trattamento;
b) tuttavia, con riguardo agli illeciti contestati, in ragione delle specificità dell’accertamento, di quanto dichiarato in sede di memoria difensiva nonché dell’atteggiamento collaborativo del titolare, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere alla Società un ammonimento ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;
RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti della D.I. Dall’Auto Gianpiero di XX in conformità all’art. 58, par. 2, del Regolamento medesimo;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE l’avv. Guido Scorza
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge alla D.I. Dall’Auto Gianpiero di XX, con sede legale in Donnas (AO), via Roma 147, 11020, P.IVA 01130410077, in qualità di titolare, un ammonimento per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento per le motivazioni meglio indicate nella parte motiva;
DISPONE
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 17 luglio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE REGGENTE
Filippi
