[doc. web n. 10193871]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 594 del 9 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con comunicazione prot. n. 17590 dell’11 febbraio 2025, notificata in pari data, da intendersi qui integralmente richiamata, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Squeezemind s.r.l. (in seguito, anche, la “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Palermo, via F. Cordova, 59, 90143, P.IVA 06334160824.

Il procedimento trae origine da un’istruttoria avviata d’ufficio, volta a riscontrare il rispetto, da parte della società, della normativa in materia di trattamento dei dati personali, in particolare in relazione all’impiego di cookie e altri strumenti di tracciamento, nonché al servizio di analisi cookie e classificazione effettuato tramite apposito tool disponibile sul sito www.cookiemetrix.com e, infine, per verificare la procedura adottata per rendere riscontro alle richieste di opposizione degli interessati (artt. da 15 a 22 del Regolamento).

1.2. Attività ispettiva

Al riguardo, dal 28 al 30 ottobre 2024 l’Ufficio ha effettuato un accertamento ispettivo presso la sede della Società nel corso del quale, dalle verifiche condotte in loco, è stata innanzitutto rilevata la presenza, sul sito web nella titolarità di Squeezemind, di un banner per l’acquisizione del consenso degli utenti alla ricezione di cookie diversi da quelli tecnici. Oltre alla presenza, nel sito, di un link all’informativa estesa, di carattere generale, il banner era comprensivo anche di una informativa sintetica sul trattamento dei dati personali, espressa per il tramite delle seguenti testuali indicazioni: «Hi, this web app uses essential cookies to ensure its proper operation and tracking to understand how you interact with it. The latter will be set only after consent. Let me choose».

Erano poi presenti i comandi “Accept All” e “Reject All”, rispettivamente di colore blu e grigio chiaro. L’ultimo periodo dell’informativa breve (“let me choose”) integrava un link ipertestuale cliccando il quale si apriva un autonomo riquadro (corrispondente alle “Cookie Preferences”, accessibili anche da autonomo link nel footer del sito), con la possibilità di effettuare scelte granulari: in particolare si consentiva di scegliere se abilitare i cookie relativi a “Performance and Analytics” e/o quelli di “Advertisement”.

Al riguardo, tuttavia, la Società ha dichiarato che, già dal 2022, il sito non svolgeva più attività di tracciamento degli utenti e non faceva impiego di cookie diversi da quelli tecnici. Quanto all’informativa, priva di una data specifica, Squeezemind ha chiarito che era stata predisposta verosimilmente nel maggio 2018, quando ha sostituito la precedente risalente al 2017, anno in cui il sito è stato reso operativo per la prima volta.

Con riferimento al tool di analisi dei cookie rilevabili su siti dei quali l’utente poteva chiedere l’analisi, disponibile sul sito www.cookiemetrix.com sia in una versione “base” gratuita, sia in una più completa a pagamento, la Società ha affermato trattarsi di un servizio, tuttora da essa fornito, di analisi e di catalogazione dei cookie presenti all’interno di uno specifico sito web indicato dall’utente. L’applicazione consente cioè di effettuare l’analisi di una o più pagine di un qualsiasi sito al fine di verificare quali cookie vengono da qui installati nei dispositivi degli utenti, sia al momento in cui l’utente non ha ancora effettuato alcuna scelta in ordine alla ricezione dei cookie, sia quando ha accettato la ricezione di quelli diversi dai tecnici. L’applicazione, introdotta dal titolo «Determines if your website is not comply with EU Cookie Law» e sottotitolo «CookieMetrix gives you insight about cookies installed from website before the visitors consent», sembrava così promettere di accertare quanti e quali cookie vengono rilasciati per impostazione predefinita (by default) dal sito, cioè in assenza dell’eventuale consenso dell’utente, come pure a seguito del simulato rilascio di tale consenso.

In sede di accertamento ispettivo la Società ha però dichiarato che non è possibile per il tramite di quel genere di tool conoscere con assoluta certezza le finalità di utilizzo dei singoli cookie e dunque distinguere tra cookie tecnici e cookie non tecnici o di profilazione. Più precisamente, ogni singolo cookie, in quanto semplice stringa di testo liberamente denominabile ad opera del soggetto che lo crea e lo installa, non rivela necessariamente ed in modo inequivoco la propria natura semantica. Le uniche informazioni note sarebbero, oltre ai caratteri di cui è composta la stringa, il dominio che ha installato il cookie e il suo tempo di permanenza nel browser. Sicché, nel caso specifico, l’analisi dei cookie avviene tramite il loro mero raffronto con quelli contenuti in una banca dati open source, dunque liberamente accessibile online al link https://github.com/jkwakman/Open-Cookie-Database, nella quale sono elencati i cookie che, in base ad una esperienza pregressa o tramite lettura delle privacy o cookie policy, chiunque può aver precedentemente popolato e classificato come cookie di profilazione o meno.

È stato poi accertato che, all’esito del suo utilizzo, l’applicazione fornisce un report che dichiara che il sito “risulta” o, a seconda dei casi, “non risulta” conforme alla normativa. La società ha precisato inoltre che viene comunque suggerito all’utente di rivolgersi ad un legale.

1.3. Contestazione delle violazioni

All’esito dell’accertamento istruttorio, l’Ufficio ha adottato il sopra richiamato atto di contestazione n. 17590 dell’11 febbraio 2025 nel quale, in primo luogo, è stato osservato come il sito non fosse aggiornato e, alla luce delle dichiarazioni rese dal titolare, non rispecchiasse i trattamenti concretamente effettuati.

In via preliminare, è stato rilevato che tutta la documentazione legale, ivi compresa l’informativa sul trattamento dei dati personali, il banner per la richiesta del consenso alla ricezione di cookie o i riquadri sulle preferenze, risultava redatta in lingua inglese e priva di data certa; con l’effetto che l’utilizzo di una lingua diversa da quella dei soggetti ai quali è diretto il servizio è elemento suscettibile di incidere negativamente sul livello di trasparenza e informazione fornito all’interessato.

Con riferimento al banner per l’acquisizione del consenso degli utenti agli strumenti di tracciamento, è emerso che il titolare affermava, sia tramite la documentazione legale sia tramite l’informativa resa nel banner stesso, di effettuare trattamenti in realtà poi dichiarati inesistenti in sede di accertamento ispettivo, dunque rendendo l’informativa erronea e fuorviante per gli interessati. In effetti, tanto l’informativa quanto il banner per i cookie hanno reso edotto l’utente circa l’effettuazione di trattamenti di profilazione e tracciamento tramite cookie pubblicitari e di analytics, sebbene il titolare abbia dichiarato di non effettuare simili operazioni almeno a partire dal 2022.

Infine, con riferimento al tool di analisi dei siti, è stato accertato che lo specifico servizio offerto non può essere considerato attendibile, né tecnicamente né concretamente, e che, anzi, esso pare verosimilmente inidoneo a certificare con certezza la natura dei cookie. Ciò, pertanto, potrebbe ingenerare una falsa aspettativa sulle potenzialità del servizio offerto tale da alterare il comportamento degli interessati del trattamento. Non è parso infatti sufficiente il caveat oggetto di pubblicazione sulla pagina che compare dopo aver avviato la scansione di un sito – dunque non sulla home page e in via preliminare, ma solo all’esito dell’utilizzo del servizio – che informa: «This page could be comply with EU Cookie Law. To be sure, ask your legal assistant for advice».

Tali comportamenti sono parsi in contrasto con il principio di liceità, correttezza e trasparenza del trattamento, nonché con quello di minimizzazione ed esattezza dei dati e pertanto l’Ufficio ha provveduto a contestare la possibile violazione degli artt. 5, par. 1, lett. a), c) e d), 12 e 13 del Regolamento e l’art. 122 del Codice.

2. ESERCIZIO DEL DIRITTO DI DIFESA DA PARTE DEL TITOLARE

La Società, esercitando il proprio diritto di difesa, ha trasmesso all’Autorità una memoria difensiva in data 12 marzo 2025.

In via preliminare, ha contestato quanto rilevato dall’Ufficio con riferimento alla lingua utilizzata. Sia il sito che la documentazione legale, ha affermato, sono infatti integralmente disponibili anche in lingua italiana, tramite utilizzo dell’apposita funzione per la selezione della lingua, rappresentata da un’icona a forma di bandierina gialla posizionata in alto a destra, che consente la scelta tra due opzioni linguistiche: italiano e inglese.

La Società ha inoltre ribadito di non svolgere alcuna attività di tracciamento fin dal 2022; tale circostanza, cui consegue l’assenza di obblighi di acquisizione del consenso degli interessati, sarebbe idonea ad escludere la contestata violazione dell’art. 122 del Codice, ad eccezione semmai di quella relativa ad un mero ritardo nell’aggiornamento della documentazione legale che, in ogni caso, non avrebbe comportato alcun impatto reale sugli utenti. La Società si è impegnata comunque a sanare prontamente tale situazione.

Nel riconoscere che tanto l’informativa quanto il banner per i cookie non siano stati aggiornati, la Società ha imputato tali carenze a un mero errore materiale, privo di alcun intento ingannevole o fraudolento: esclusivamente un aggiornamento documentale non tempestivo, cioè privo di qualsiasi effetto concreto sui diritti degli interessati.

La richiesta di consenso per cookie di profilazione, infatti, non avrebbe generato alcun trattamento di dati personali, dal momento che nessun cookie di profilazione sarebbe stato effettivamente installato sui dispositivi degli utenti. La Società ha chiarito al riguardo che «Il banner cookie implementato, infatti, non salvava alcun dato personale degli utenti, ma si limitava esclusivamente a rilasciare un cookie tecnico sul browser di chi navigava sul Sito. Questo cookie tecnico aveva la sola funzione di registrare la preferenza espressa dall’utente in merito all’accettazione o al rifiuto dei cookie di profilazione, senza che venisse effettuata alcuna raccolta, memorizzazione o elaborazione di dati personali».

Secondo la Società, in definitiva, l’assenza di un trattamento sottostante esclude alla radice sia la violazione del principio di liceità, correttezza e trasparenza, poiché non vi è stata alcuna raccolta indebita di dati, sia la violazione del principio di esattezza, in quanto il mero ritardo nell’aggiornamento della documentazione non ha inciso in alcun modo sui diritti e le libertà degli utenti. La contestazione relativa alla richiesta di consenso per un trattamento non più attuale sarebbe altresì infondata sotto il profilo della minimizzazione dei dati, in quanto nessuna informazione superflua o eccedente è stata effettivamente raccolta o utilizzata.

La Società si è impegnata comunque a rimuovere il banner per i cookie al fine di eliminare ogni riferimento obsoleto e rimodulare il banner e l’informativa in una formula nuova, aderente alla reale configurazione del servizio.

Con riferimento alla natura e al funzionamento del servizio Cookiemetrix, Squeezemind ha affermato che lo stesso è stato progettato come strumento di supporto tecnico preliminare, privo di qualsiasi pretesa di certificazione ufficiale, volto esclusivamente a fornire un’analisi automatizzata che faciliti la comprensione dei cookie utilizzati da un sito web senza voler attribuire alcuna qualificazione giuridica ai dati rilevati e anzi lasciando agli utenti la piena responsabilità della valutazione finale. Infatti: il servizio non dichiara di offrire una certificazione legale; gli utenti sono informati della necessità di rivolgersi a un professionista sia nella pagina “About” del sito (o “info” nella versione italiana), sia nel report generato dalla scansione; in quest’ultimo, il messaggio che appare non afferma mai in modo categorico che un sito è conforme o meno alle normative sulla protezione di dati.

Infine, si è evidenziato che Cookiemetrix opera in modo analogo a molti altri strumenti di scansione di cookie disponibili online, che si limitano a un’analisi tecnica senza attribuire valore legale alle proprie risultanze.

Conseguentemente, la Società ha ritenuto prive di fondamento le contestazioni mosse nei suoi confronti, in quanto il servizio non certifica la conformità del sito e non genera rischio di confusione per gli utenti; infine, tali valutazioni non rientrerebbero tra le competenze del Garante per la protezione dei dati personali.

3. VALUTAZIONI DELL’AUTORITÀ

L’istruttoria condotta ha evidenziato che le argomentazioni addotte dalla Società risultano solo parzialmente idonee ad escluderne la responsabilità in ordine alle violazioni contestate.

L’impiego di cookie utilizzati per monitorare le attività dell’utente per ragioni di carattere commerciale è disciplinato dalla lex specialis di cui alla Direttiva 2002/58/CE, così come recepita nell’ordinamento italiano. Questo, all’art. 122 del Codice, ne consente l’utilizzo in questione esclusivamente previo rilascio del consenso informato dell’interessato. Il tema è stato ampiamente trattato e, da ultimo, meglio illustrato nelle “Linee guida cookie e altri strumenti di tracciamento”, adottate dal Garante per la protezione dei dati personali con provvedimento n. 231 del 10 giugno 2021 [doc. web n. 9677876].

Dunque, la normativa speciale sopra richiamata impone il ricorso al consenso quale fondamento di liceità per il tracciamento dell’utente non essenziale alla fornitura del servizio, nel rispetto dei principi di cui alla normativa generale del Regolamento. Affinché il consenso sia valido, l’art. 122 del Codice prevede che lo stesso sia preceduto da idonea informativa resa con modalità semplificate. Ne consegue la necessità che la richiesta di consenso presenti, ai fini della sua validità, le caratteristiche imposte dalla normativa, ivi compresa la correttezza ed attualità degli elementi contenuti nell’informativa da fornire agli utenti.

L’utilizzo di cookie diversi da quelli tecnici è così subordinato alla richiesta di uno specifico consenso dell’utente. A contrario, l’assenza di tali trattamenti comporta il solo obbligo del titolare di fornire l’informativa sui trattamenti effettivamente condotti, anche nell’ambito della più generale informativa sul trattamento dei dati personali, senza necessità di chiedere alcun consenso, né predisporre alcun banner.

La richiesta di un consenso ultroneo (perché relativo a trattamenti non o non più effettuati), oltre a porsi in contrasto con il principio di liceità, correttezza e trasparenza del trattamento, determina comunque la raccolta di un dato (ossia, proprio, la manifestazione di volontà dell’interessato nei confronti di quella che è stato indotto a credere essere una attività di tracciamento tramite cookie). Tale raccolta di informazioni, sebbene eccedente perché non utile e non (o non più) necessaria all’attività del titolare, comunque impone, tra l’altro, che il trattamento dei relativi dati sia condotto nel pieno rispetto della normativa, con ogni conseguenza in relazione al doveroso rispetto del principio di integrità e sicurezza e dunque alla ingiustificata esposizione della persona al rischio insito in qualsiasi operazione di trattamento dei dati.

Dall’esame della fattispecie concreta, così come confermato dalla memoria difensiva della Società, è stato possibile accertare che, quanto meno a partire dal 2022, la Società ha fornito un’informativa non aggiornata e non rappresentativa dei trattamenti concretamente effettuati; ha inoltre predisposto un banner per la richiesta di un consenso per impiego di cookie diversi dai tecnici, in realtà non necessario; creando così, per il tramite sia dell’informativa estesa sia di quella sintetica contenuta nel banner, nonché dei vari riquadri per l’acquisizione di un consenso più granulare, un falso affidamento dell’utenza sullo svolgimento di attività di tracciamento in realtà insussistenti.

Con riferimento all’informativa e in generale alla documentazione legale, così come all’adozione di un banner non necessario, la Società ne ha riconosciuto l’omesso aggiornamento; tali addebiti devono quindi essere considerati accertati anche perché non contestati dal titolare.

Nel merito, non può pertanto condividersi l’affermazione della Società che, negando l’effettuazione di tracciamenti di profilazione, vorrebbe negare tout court qualsiasi operazione di trattamento di dati personali.

Al riguardo, la stessa Società ha invece ammesso che «Il banner cookie implementato … non salvava alcun dato personale degli utenti, ma si limitava esclusivamente a rilasciare un cookie tecnico sul browser di chi navigava sul Sito. Questo cookie tecnico aveva la sola funzione di registrare la preferenza espressa dall’utente in merito all’accettazione o al rifiuto dei cookie di profilazione, senza che venisse effettuata alcuna raccolta, memorizzazione o elaborazione di dati personali».

È allora sufficiente considerare che la raccolta e l’archiviazione dei consensi degli interessati, e dunque delle preferenze da questi manifestate, rappresentano già specifiche operazioni di trattamento, in quanto la volontà della persona, indebitamente richiesta, viene cristallizzata in un cookie appositamente creato, archiviato nel suo dispositivo e registrato sui sistemi del titolare. Ciò, in contrasto, peraltro, anche del doveroso rispetto del principio di minimizzazione.

Al riguardo, anche la giurisprudenza ha stabilito che le preferenze degli utenti sotto forma di cookie, in presenza di alcune condizioni, sono da considerarsi dati personali (si veda, da ultimo, Corte di Giustizia 7 marzo 2024, causa C-604/22, IAB Europe contro Gegevensbeschermingsautoriteit).

Deve quindi ritenersi accertata la presenza di un trattamento rilevante ai sensi dell’art. 122 del Codice, che comporta l’archiviazione di dati nei dispositivi dell’utente per una finalità diversa da quella dichiarata nella documentazione legale predisposta dal titolare, nonché il trattamento di dati personali eccedenti rispetto a quelli effettivamente necessari alle attività della Società. Tali trattamenti si sono protratti a partire, almeno, dal 2022; con ogni riflesso in relazione ai principi di liceità, correttezza e trasparenza del trattamento, nonché di minimizzazione, la cui violazione è dunque accertata (artt. 5, par. 1, lett. a) e c), 12 e 13 del Regolamento e art. 122 del Codice).

All’esito dell’istruttoria condotta, deve invece disporsi l’archiviazione delle contestazioni relative alla presunta violazione dei principi di trasparenza ed esattezza dei dati, di cui agli artt. 5, par. 1, lett. a) e d) del Regolamento, tanto con riferimento alla lingua utilizzata dal sito della Società, quanto al modo in cui è stato rappresentato il tool di analisi e di classificazione dei cookie presenti su siti web sottoposti ad indagine su richiesta degli utenti.

La Società ha dimostrato infatti che, seppure di default, il sito sia immediatamente disponibile in lingua inglese, è comunque possibile, azionando l’apposito comando, fruire di una versione anche in lingua italiana. In tale circostanza, per una maggiore aderenza al principio di trasparenza e dunque per privilegiare l’effettività della comunicazione, parrebbe auspicabile una configurazione opposta, che cioè privilegi, come impostazione predefinita, la lingua degli utenti italiani, cui il sito principalmente si rivolge, con eventuale possibilità di modifica opzionale che ne traduca il contenuto nella lingua inglese; come pure sarebbe preferibile la predisposizione di un meccanismo più chiaro e più efficacemente illustrato, rispetto al solo simbolo grafico della bandierina, per indicare all’utente la possibilità di cambiare l’impostazione relativa alla lingua.

Tuttavia, l’Autorità ritiene che, date le circostanze della fattispecie in esame, tenuto conto della potenziale clientela e cioè del più ampio bacino di utenza cui il tool intende rivolgersi, nonché dell’assenza di doglianze al riguardo, possano validamente invocarsi sia il principio della libertà di impresa sia quello di accountability, rimettendo così alla valutazione imprenditoriale del titolare le specifiche determinazioni da assumere in relazione a tale singola questione.

Con riferimento infine alla parte della contestazione relativa al tool di analisi e classificazione dei cookie riconducibile a Squeezemind, pur ritenendo che i limiti obiettivi del servizio reso, già menzionati, siano rappresentati in modo non sufficientemente trasparente nei confronti degli utenti, ancorché verosimilmente più attraente per quelli che decidono di farvi ricorso, eventualmente anche nella forma a pagamento, l’Autorità ritiene comunque che tali considerazioni possano più agevolmente reputarsi attratte nell’orbita di competenza di altri eventuali soggetti istituzionali dotati di specifiche competenze al riguardo. Ciononostante, una condotta più trasparente da parte della Società anche sotto tale aspetto potrebbe certamente contribuire ad una miglior valutazione complessiva del rispetto del principio di accountability da parte del titolare.

4. CONCLUSIONI

Per le ragioni illustrate, si ritiene accertata la responsabilità di Squeezemind s.r.l. in ordine alla violazione degli artt. 5, par. 1, lett. a) e c), 12 e 13 del Regolamento e l’art. 122 del Codice per aver la Società, a partire dal 2022, effettuato trattamenti eccedenti e non necessari in presenza di un’informativa agli utenti non aggiornata e non rappresentativa dei trattamenti effettivamente svolti.
La Società ha inoltre adottato misure solo in parte idonee a porre fine alle violazioni rilevate; ciò rende necessario ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle norme in materia di trasparenza e corretta informazione agli utenti, in particolare rettificando l’informativa sul trattamento dei dati personali e quella specifica sui cookie, avendo cura di specificare, inoltre, la data dell’aggiornamento.

Tutto ciò premesso, accertata l’illiceità dei trattamenti presi in esame, protrattasi per più anni, tenuto tuttavia conto, nel bilanciamento degli interessi, della condotta collaborativa tenuta dal titolare nel corso dell’accertamento, anche di carattere ispettivo; dell’assenza di precedenti come pure di specifiche doglianze da parte degli interessati; considerato pure l’apprezzabile sforzo del titolare di porre rimedio, ancorché parzialmente, alle violazioni contestate, mediante la tempestiva adozione delle misure e delle modifiche illustrate, si ritiene dunque, in ragione delle specificità dell’accertamento, di poter prescindere, nel caso di specie, dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere alla Società un ammonimento ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento nonché dei principi in materia di corretto trattamento dei dati personali ai sensi del Regolamento, come rilevata nell’ambito dell’istruttoria.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato da Squeezemind s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Palermo, via F. Cordova, 59, 90143, P.IVA 06334160824;

b) di conseguenza, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge a Squeezemind s.r.l. un ammonimento per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento nonché dei principi in materia di corretto trattamento dei dati personali ai sensi del Regolamento;

c) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di adeguare la documentazione legale affinché sia rappresentativa dei trattamenti effettivamente svolti e indichi la data del suo aggiornamento;

d) archivia le contestazioni relative alla violazione degli artt. 5, par. 1, lett. a) e d) del Regolamento con riferimento al mancato rispetto dei principi di trasparenza e esattezza dei dati in merito alla lingua utilizzata per la configurazione del sito e la documentazione legale nonché per le modalità di presentazione del servizio di classificazione e analisi dei cookie su siti di terze parti.

DISPONE

a) la pubblicazione del presente provvedimento, ai sensi degli artt. 154-bis del Codice e 37 del Regolamento n. 1/2019;

b) l’annotazione del presente provvedimento nel registro interno dell’Autorità – previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante – relativo alle violazioni e alle misure adottate in conformità all’art. 58, par. 2, del Regolamento stesso.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza