[doc. web n. 10118222]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n. 98 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.gpdp.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida cookie, anche alla luce dei numerosi reclami e segnalazioni pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce, della commercializzazione di autoveicoli, nonchè dei trattamenti svolti da operatori turistici e aziende di trasporto terrestre, marittimo ed aereo;

VISTA la nota n. 10808 del 24 gennaio 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari degli accertamenti, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 36204 del 28 febbraio 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato ed uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, la società XX (in seguito, anche, la “Società”) è stata indicata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 3 luglio 2023 in relazione al sito internet XX;

CONSIDERATO che in tale sede è emerso quanto segue:

1) al primo accesso al sito appariva automaticamente il banner a comparsa immediata contenente cinque comandi così indicati: “Accetto i cookie tecnici”; “Accetto tutti i cookie”; “Declino”; “Vai”; nonché, in alto a destra, il comando “X”;

2) sotto la dicitura “Impostazioni dei cookie” del banner erano visibili appositi riquadri dedicati al consenso/diniego rispetto alle varie tipologie di cookie. In particolare, il consenso all’utilizzo dei cookie tecnici era preflaggato e non modificabile; rispetto ai cookie di “monitoraggio o analytics” e di “profilazione e marketing” i comandi erano preflaggati sul diniego e non modificabili all’interno di questa schermata iniziale;

3) cliccando sul link “Apri le impostazioni della categoria” posto in calce a ciascuno dei predetti riquadri, compariva un ulteriore pop-up per il conferimento del consenso per ciascuna tipologia di cookie; rispetto ai cookie di “profilazione e marketing” era, altresì, possibile rilasciare un consenso differenziato per ciascun singolo cookie;

4) cliccando sui comandi “Accetto i cookie tecnici” o “Accetto tutti i cookie”, il banner scompariva e all’interno della pagina, in basso, rimaneva visibile un pulsante che ne consentiva la ricomparsa;

5) cliccando sul pulsante “Declino”, il banner scompariva e diventava visibile per alcuni secondi la dicitura «Devi accettare almeno i cookie tecnici alla navigazione»;

6) selezionando il comando “Vai!”, il banner scompariva e nella parte inferiore della pagina compariva il medesimo pulsante utile alla ricomparsa dello stesso, già descritto al precedente punto n. 4);

7) la “Cookie Policy” – raggiungibile sia mediante il link presente all’interno del banner che nel footer del sito – segnalava che il sito web non faceva utilizzo di cookie di “monitoraggio o analytics”, riportava l’elenco dettagliato dei cookie di “profilazione e marketing” utilizzati e ne indicava le modalità di gestione, disabilitazione e cancellazione;

8) sia cliccando sul pulsante “Accetto i cookie tecnici” che “Accetto tutti i cookie” risultavano installati, in entrambi i casi, n. 4 cookie, mentre cliccando su “Declino” oppure “Vai!” risultava installato un cookie soltanto, a prescindere dal conferimento di consensi differenziati all’installazione delle varie tipologie di cookie;

9) in caso di utilizzo del comando “Vai!”, “Declino” o “X”, il banner veniva riproposto a ogni successivo accesso al sito.

VISTA la nota del 24 novembre 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato alla Società l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché nel contrasto con le Linee guida cookie, riconducibili: alla configurazione del banner con cinque diversi comandi dal significato incerto e privi di alcuna informazione che indicasse se e attraverso la selezione di quale comando fosse possibile continuare la navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici, con ciò non consentendo agli interessati di esprimere un consenso valido ed informato; alla richiesta di un consenso per i cookie tecnici non richiesto della normativa; nonché all’omessa implementazione di misure volte ad impedire una ridondante ed invasiva riproposizione della richiesta di consenso tramite banner ad ogni nuovo accesso dell’utente al sito web in questione.

VISTE le memorie difensive trasmesse in data 21 dicembre 2023, da intendersi qui integralmente richiamate e riprodotte, con le quali il titolare ha sostenuto che il banner adottato, pur avendo dei tasti con diversa dicitura ma uguale funzionalità, descriveva i cookie utilizzati dal sito informando l’utente e dandogli la possibilità di accettarli o meno; motivo per cui il titolare operava nella convinzione che i principi di liceità, correttezza e trasparenza fossero rispettati e solo con la ricezione dell’accertamento da parte dell’Autorità si è riscontrato il malfunzionamento del banner. Il sito Internet oggetto dell’istruttoria non era più utilizzato, curato o oggetto di manutenzione e, pertanto, il mancato aggiornamento delle sue componenti potrebbe essere stata la causa dell’obsolescenza del banner e dell’alterazione delle sue funzioni. Ciò rilevato, la Società si è prontamente attivata per dotarsi di un nuovo strumento per la gestione dei cookie al fine di garantire che i trattamenti, effettuati mediante i sistemi di tracciamento presenti sul sito XX, fossero realizzati in ottemperanza alla normativa vigente in materia di protezione dei dati personali;

RILEVATO quindi che, in pendenza del procedimento, il titolare ha generato un nuovo banner che si compone di: una prima parte contenente un’informativa sintetica sull’utilizzo di cookie e altri strumenti di tracciamento; una seconda parte contenente due selettori on/off per l’espressione del consenso all’utilizzo di cookie definiti “necessari” e di “esperienza”, entrambi preselezionati e, rispettivamente, il primo in senso positivo, non modificabile e di colore verde, il secondo in senso negativo, modificabile e di colore grigio; una terza parte contenente tre comandi così definiti: “Scopri di più”, che permette all’utente di esprimere le sue preferenze relative al consenso per qualsiasi tipologia di cookie; “Rifiuta tutto”, che permette di continuare la navigazione senza installare cookie ulteriori rispetto a quelli tecnici; “Accetta tutto”, con il quale l’utente decide di installare tutti i cookie utilizzati dal sito senza effettuare una scelta dettagliata. Infine, nell’angolo alto a destra del banner, è presente il comando “X” che svolge la medesima funzione del tasto “Rifiuta tutto”, ossia quella di continuare senza effettuare alcuna scelta dettagliata. Il titolare specifica inoltre che attivando il selettore “Esperienza” il numero di cookie scaricati non cambia rispetto alla home page ma aumenta nel momento in cui l’utente accede alla pagina “Contatti”, contenente la mappa di “Google Maps”. Solo in quel momento, infatti, vengono scaricati anche i cookie necessari alla visualizzazione della mappa. Lo stesso avverrebbe selezionando il pulsante “Accetta tutti” e accedendo alla pagina “Contatti”;

RILEVATO che, nella già citata memoria difensiva del 21 dicembre 2023, il titolare ha dichiarato che il nuovo banner memorizza il consenso prestato dell’utente evitando la riproposizione dello stesso ad ogni nuovo accesso;

RILEVATO che l’informativa sintetica presente nel banner distingue tra finalità “tecniche” e di “esperienza” senza specificare in cosa consista tale ultima finalità se non tramite rinvio all’informativa sui cookie. Successivamente, sempre nella informativa sintetica, nel riconoscere il diritto di rifiutare in qualsiasi momento il consenso, si sottolinea che ciò può comportare l’indisponibilità di alcune funzioni.

RILEVATO che nell’informativa sui cookie si specifica che per tracciamento a fini di “esperienza” si fa riferimento al tracciamento necessario a migliorare la qualità della user experience e consentire le interazioni con contenuti, network e piattaforme esterne.

RITENUTO che la Società ha configurato il banner in maniera tale da consentire all’utente di proseguire la navigazione senza l’installazione di cookie diversi da quelli di natura tecnica oppure di esprimere un consenso, specifico e granulare, alla ricezione dei cookie di natura diversa da quella tecnica;

RITENUTO che la condotta posta in essere dal titolare del trattamento abbia configurato una violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO tuttavia l’apprezzabile sforzo del titolare di porre rimedio alle violazioni contestate, mediante la tempestiva adozione delle misure e delle modifiche illustrate;

RITENUTO, dunque:

a) che le misure adottate dal titolare siano idonee a rimuovere le criticità sopra segnalate;

b) in ragione delle specificità dell’accertamento, di poter prescindere, nel caso di specie, dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere alla Società un ammonimento ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento rilevate nell’ambito dell’istruttoria;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti della XX in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 2, lett. b) del Regolamento rivolge un ammonimento alla XX., in persona del legale rappresentante pro tempore, con sede legale in XX,, P.IVA XX, in qualità di titolare del trattamento, per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento come meglio indicato nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei