[doc. web n. 10217124]

Provvedimento del 4 dicembre 2025

Registro dei provvedimenti
n. 738 del 4 dicembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti online chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce;

VISTA la nota n. 38468 del 3 marzo 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 130776 del 21 settembre 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, la Ditta Individuale XX (di seguito anche “titolare”) è stata individuata tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 6 febbraio 2024 in relazione al sito internet XX;

CONSIDERATO che, in tale sede, emergeva quanto segue:

- al primo accesso al sito non appariva alcun banner sull’utilizzo dei cookie;

- il sito non conteneva alcuna informativa sul trattamento dei dati personali;

- tramite la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato, raggiungibile all’indirizzo URL chrome://settings/content/all, risultava che il sito faceva uso di cookie;

VISTA la nota del 3 giugno 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato al titolare l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili alla mancata pubblicazione dell’informativa sul trattamento dei dati personali e alla mancata predisposizione del banner per l’acquisizione del consenso all’utilizzo di cookie di natura diversa da quella tecnica;

PRESO ATTO che il titolare non si è avvalso del diritto di essere sentito dall’Autorità di cui all’art. 166, comma 6 del Codice e all’art. 13 del regolamento interno n. 1/2019 (disponibile in www.gpdp.it, doc-web n. 9107633), ma ha trasmesso scritti difensivi e documenti (cfr. Prot. n. 80893 del 2 luglio 2024);

CONSIDERATO che mediante i predetti scritti difensivi, rendendo dichiarazioni ai sensi dell’art. 168 del Codice, il titolare ha rappresentato e documentato che:

- alla data dell’accertamento effettuato dal Nucleo il sito era dotato di banner, tuttavia tale disclaimer era inattivo a causa di criticità di natura tecnica (cfr. «per via di errori interni alla versione di PHP installata e per richieste di aggiornamento dei moduli e plug-in, del sito stesso (…) Alla suddetta data non vi sarebbe però stata da parte della XX nessuna possibilità di intervenire e correggere e ripristinare il problema (inclusa la messa in opera dell’informativa sul trattamento dei dati personali) poiché, impediti all’accesso al pannello di controllo del sito e dell’hosting XX, quest’ultimo in veste di contenitore del sito e fornitore del servizio PHP. L’inserimento nel sito degli annunci in vetrina, avviene infatti mediante account di servizio che non permette di aggiornare in nessun modo sito, database e componenti del CMS. Il rinnovo del dominio e del database avviene invece sempre in maniera automatica, senza l’invio, da parte di XX, del riepilogo delle credenziali»);

- il sito presentava un solo cookie di natura meramente «tecnica e propedeutica al funzionamento del sito»;

- «già in giorno successivo alla ricezione della segnalazione ed avvio del procedimento, la XX ha tempestivamente provveduto a ripristinare la – preesistente – conformità sul sito», rendendo disponibile la privacy policy e configurando un nuovo banner che consentiva di proseguire la navigazione con le impostazioni di default e quindi senza l’utilizzo di cookie di natura diversa da quella tecnica, oppure di conferire un consenso libero, specifico e granulare rispetto all’installazione di cookie di natura diversa da quella tecnica;

- «la non conformità rilevata potrebbe aver avuto inizio al più il 13/12/2023, contestualmente ad una comunicazione a mezzo mail da parte del fornitore dello spazio web (XX) in merito ad interventi tecnici di manutenzione e che fino a quel giorno il funzionamento del sito rispettava in toto i canoni di conformità»;

RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto alla notifica della comunicazione ex art. 166, comma 5 del Codice e alla conseguente trasmissione delle memorie difensive, è emerso che al primo accesso al sito:

- compare nuovamente il banner utilizzato nel periodo antecedente alla notifica dellacomunicazione di avvio del procedimento, recante la dicitura «Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito» e i comandi “Maggiori informazioni”, “Ok” e “Rifiuta”;

- cliccando sul comando “Maggiori Informazioni” diviene consultabile la privacy policy;

- cliccando sul comando “OK” compare, invece, un secondo banner, segnatamente quello descritto in occasione della trasmissione delle memorie difensive e documentato mediante la relazione tecnica allegata, che peraltro fa riferimento all’utilizzo di cookie di natura diversa da quella tecnica e richiede nuovamente all’utente di compiere una scelta, in realtà apparentemente riproduttiva di quella già effettuata al livello precedente;

- la privacy policy del sito – pure documentata mediante la citata relazione tecnica – contiene numerosi riferimenti all’utilizzo di un’applicazione, rimanda a una cookie policy di dettaglio sull’utilizzo di strumenti di tracciamento non raggiungibile ed è predisposta sulla base di un formulario messo a disposizione da terzi, ma tuttavia non personalizzato in base alle modalità e finalità del trattamento effettivamente realizzato dal titolare («Questa Applicazione fa utilizzo di Strumenti di Tracciamento. Per saperne di più, gli Utenti possono consultare la Cookie Policy (…) Ultima modifica: 6 giugno 2024 XX ospita questo contenuto e raccoglie solo i Dati Personali strettamente necessari alla sua fornitura. Visualizza la Privacy Policy semplificata. Questo documento è stato creato con il Generatore di Privacy e Cookie Policy (…) di XX. Scopri anche il Generatore di Termini e Condizioni (…). XX (…) ospita questo contenuto e raccoglie solo i Dati Personali strettamente necessari (…)»);

CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso dell’utente;

RILEVATO, inoltre, che in base agli elementi acquisiti nel corso del procedimento, nel caso in esame:

- non può essere accolta la tesi prospettata dal titolare in ordine all’imputabilità delle criticità rilevate alle prospettate ragioni di natura tecnica, considerato che a seguito della comunicazione effettuata da XX, utilizzando l’ordinaria diligenza e in attuazione del principio di accountability, il titolare avrebbe potuto e dovuto verificare la funzionalità del sito e, di conseguenza, adoperarsi tempestivamente per porvi rimedio;

- stante l’insufficienza e la contraddittorietà delle informazioni fornite mediante i banner e l’informativa presente sul sito, la Società ha effettuato – e continua a effettuare - un trattamento di dati personali in violazione degli artt. 12 e 13 del Regolamento e di quanto indicato nelle Linee guida cookie;

- le criticità riscontrate comportano l’ulteriore effetto di non consentire di determinare agevolmente se il titolare attualmente utilizzi esclusivamente cookie tecnici ovvero faccia uso anche di cookie diversi dai tecnici, come il testo del banner parrebbe suggerire;

- in caso di utilizzo di cookie tecnici, in virtù della funzione assolta il titolare del trattamento sarà assoggettato al solo obbligo di fornire specifica informativa, anche eventualmente inserita all’interno di quella di carattere generale, rientrando il loro impiego in una ipotesi codificata di esenzione dall’obbligo di acquisizione del consenso dell’interessato;

- in caso di utilizzo di cookie diversi da quelli tecnici, invece, sul titolare grava l’ulteriore obbligo della preventiva acquisizione di un consenso informato, libero e specifico dell’utente ai sensi del primo comma dell’art. 122 del Codice anche in relazione agli artt. 4, punto 11 e 7 del Regolamento, tenuto conto del precetto di cui all’art. 25 del Regolamento;

RITENUTO che la condotta posta in essere dal titolare del trattamento configuri una violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO l’apprezzabile sforzo del titolare di porre parzialmente rimedio alle violazioni contestate mediante l’integrazione del banner;

RITENUTO, dunque:

a) che l’implementazione del banner è idonea solo in parte a ripristinare la conformità del sito e, pertanto, di dover ingiungere al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet XX alla normativa vigente in materia di protezione dei dati personali, integrando l’informativa sul trattamento dei dati personali con specifico riferimento al trattamento dei dati effettuato attraverso i cookie e, in caso di utilizzo di cookie di natura diversa da quella tecnica, configurando un banner che consenta all’utente, già a tale livello, di conferire un consenso informato, specifico e granulare all’utilizzo dei cookie di natura diversa da quella tecnica;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere al titolare un ammonimento ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti del titolare in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 58, par. 2 lett. d) del Regolamento, ingiunge a Ditta Individuale XX, con sede in Falerna (CZ), XX, P.IVA XX, in qualità di titolare, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet XX alla normativa vigente in materia di protezione dei dati personali, integrando l’informativa sul trattamento dei dati personali con specifico riferimento al trattamento dei dati effettuato attraverso i cookie e, in caso di utilizzo di cookie di natura diversa da quella tecnica, configurando un banner che consenta all’utente, già a tale livello, di conferire un consenso informato, specifico e granulare all’utilizzo dei cookie di natura diversa da quella tecnica;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento alla Ditta Individuale XX per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento per le motivazioni meglio indicate nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 dicembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Montuori