[doc. web n. 10087270]

Provvedimento del 26 settembre 2024

Registro dei provvedimenti
n. 583 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida cookie, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce e più in particolare, della commercializzazione di autoveicoli e dei trattamenti svolti da operatori turistici e aziende di trasporto terrestre, marittimo ed aereo;

VISTA la nota n. 65159 del 17 novembre 2022 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 73600 del 30 novembre 2022 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Nizzi S.r.l. Spedizioni e Trasporti Nazionali e Internazionali (di seguito anche “Nizzi S.r.l.”) è stata individuata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 23 Febbraio 2023 in relazione al sito internet www.nizzi.it;

CONSIDERATO che, in tale sede, è emerso che:

- al primo accesso appariva nella home-page il banner a comparsa immediata sull’utilizzo dei cookie che riportava quanto segue: “Noi e terze parti selezionate utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy. Il rifiuto del consenso può rendere non disponibili le relative funzioni. Usa il pulsante “Accetta” o chiudi questa informativa per acconsentire;

- l’utente che intendeva proseguire la navigazione mantenendo le impostazioni di default e dunque senza accettare l’installazione di cookie era obbligato ad accedere al secondo livello dell’informativa (il c.d. “second layer”), ovvero ad un’area non immediatamente disponibile al momento dell’accesso al sito;

- le informazioni fornite all’utente erano contraddittorie e carenti sotto il profilo della chiarezza e della trasparenza;

VISTA la nota del 21 giugno 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Nizzi S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili al mancato conferimento di una informativa chiara e trasparente e alla mancata configurazione del banner in maniera tale da consentire all’utente di esprimere un consenso informato, libero e granulare all’utilizzo dei cookie diversi da quelli tecnici oppure di proseguire la navigazione con le impostazioni di default, senza l’impiego di cookie diversi da quelli tecnici. Nel caso di specie risultava infatti che il banner del sito web non consentisse all’utente di proseguire la navigazione senza accettare l’impiego di tecniche di tracciamento dal momento che, con riferimento al comando “X” previsto all’interno del banner per la chiusura dello stesso, lo stesso banner informava che “chiud[endo] [l’] informativa” si “acconsent[e]” all’utilizzo dei cookie;

PRESO ATTO della memoria presentata in data 21 luglio 2023 e tenuto conto di quanto rappresentato in sede di audizione svoltasi il 7 novembre 2023 (prot. 150608/23) – documenti da intendersi qui integralmente richiamati e riprodotti – e, in particolare, del fatto che il titolare del trattamento ha dichiarato di avere prontamente posto il sito off-line e di avere utilizzato esclusivamente cookie tecnici o comunque assimilabili a quelli tecnici e che, pertanto, il banner utilizzato doveva essere considerato alla stregua di «una misura aggiuntiva di tutela degli interessati, non funzionale all’adempimento di legge e, di conseguenza, di forma libera e non vincolata a requisiti dettati per adempimenti cogenti»;

PRESO ATTO che la Società ha, inoltre, dichiarato che nella fattispecie il tool utilizzato non consentiva la completa personalizzazione del banner, in quanto progettato dal fornitore per la «gestione di siti più complessi e con caratteristiche di interattività maggiori rispetto a quello in esame»;

RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo e alla conseguente notifica della comunicazione ex art. 166, comma 5 del Codice, è emerso che in pendenza del procedimento il titolare ha prontamente posto il sito off line e, successivamente, reso nuovamente accessibile lo stesso specificando nella privacy policy (https://www.nizzi.it/wp-content/uploads/2024/05/Privacy-Nizzi.pdf?x79405), raggiungibile tramite link nel footer del sito, di utilizzare “unicamente cookies di tipo tecnico”;

RILEVATO che, in base agli elementi acquisiti nel corso dell’attività istruttoria, nel caso in esame al momento dell’accertamento il titolare ha violato l’obbligo di conferire una informativa chiara e trasparente minando di fatto la piena consapevolezza dell’utente circa le scelte nella sua disponibilità, con conseguente violazione degli artt. 5, 12, 13 del Regolamento, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO l’apprezzabile sforzo del titolare di porre rimedio alle violazioni contestate ponendo il sito prontamente off-line e mostrando ampia collaborazione con l’Autorità;

RITENUTO, dunque:

a) che non risultano provate le violazioni relative alla necessità e alle modalità di acquisizione del consenso con riferimento ai cookie diversi da quelli tecnici;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere a Nizzi S.r.l. un ammonimento ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento; 

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Nizzi S.r.l. in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti di Nizzi S.r.l. Spedizioni e Trasporti Nazionali e Internazionali, in persona del legale rappresentante pro-tempore, con sede legale in Terni (TR), Via Vanzetti n. 45, P.IVA 00478970551,

a) accerta la violazione degli artt. 5, 12 e 13 del Regolamento e dichiara l’illiceità del trattamento;

b) dispone l’archiviazione con riferimento alla violazione artt. 4, punto 11, 7, 24 e 25 del Regolamento e dell’art. 122 del Codice;

c) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento al titolare per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento, per aver omesso di conferire una informativa chiara e trasparente e aver iutilizzato un banner fuorviante e poco adatto ai trattamenti di dati personali effettuati dal sito www.nizzi.it;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei