[doc. web n. 10118246]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n. 99 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.gpdp.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida cookie, anche alla luce dei numerosi reclami e segnalazioni pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce, della commercializzazione di autoveicoli, nonchè dei trattamenti svolti da operatori turistici e aziende di trasporto terrestre, marittimo ed aereo;

VISTA la nota n. 10808 del 24 gennaio 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari degli accertamenti, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 36204 del 28 febbraio 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato ed uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, la Ditta Individuale XX è stata indicata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 26 maggio 2023 in relazione al sito internet XX;

CONSIDERATO che in tale sede è emerso quanto segue:

1) all’apertura del sito internet appariva un banner a comparsa immediata sull’utilizzo dei cookie recante la dicitura: “Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie “clicca qui”. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie”;

2) la locuzione “clicca qui” conteneva un link di collegamento all’informativa cookie estesa e sulla destra del banner compariva un solo pulsante con la dicitura “OK”;

3) nel footer del sito era presente il link alla Privacy Policy che rimandava all’URL XX;

4) utilizzando il link di collegamento “clicca qui” - collocato sia all’interno del banner che nel testo della Privacy Policy - si veniva indirizzati all’URL XX, ove era possibile consultare l’Informativa sui cookie; tale informativa non conteneva compiutamente i riferimenti al Titolare del trattamento, presenti, invece, nella Privacy Policy;

5) l’Informativa sui cookie riportava, oltre alle informazioni sui cookie tecnici presenti nel sito, anche il riferimento ai cookie di profilazione di terze parti, suddividendoli in “Analytics”, “widget social” e “di pubblicità”;

6) in seguito alle operazioni condotte, era stata rilevata l’installazione di n. 8 cookie; dopo aver cancellato i dati di navigazione, effettuato un nuovo accesso al sito e selezionato il pulsante “OK” del banner, era stata riscontrata l’installazione di un cookie soltanto;

7) infine, era stata accertata la riproposizione del medesimo banner già descritto ad ogni successivo accesso al sito;

VISTA la nota del 23 ottobre 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato alla Ditta Individuale XX l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché nel contrasto con le Linee guida cookie, riconducibili alla mancata implementazione di appositi comandi all’interno del banner che consentissero la prosecuzione della navigazione in assenza di tracciamento oppure di esprimere un consenso, libero e specifico, in relazione all’utilizzo delle singole tipologie di cookie di natura diversa da quella tecnica; nonché alla mancata integrale compilazione dell’informativa sui cookie con riferimento ai dati identificativi e di contatto del titolare;

VISTE le memorie difensive trasmesse in data 20 novembre 2023, da intendersi qui integralmente richiamate e riprodotte, con le quali il titolare ha riconosciuto che la configurazione del sito internet e del banner non era pienamente aderente alle indicazioni contenute all’interno delle Linee guida cookie, documentando di avere provveduto già in data 25 ottobre 2023 alla stipula di un contratto con un nuovo fornitore al fine di garantire che i trattamenti effettuati mediante i sistemi di tracciamento presenti sul sito XX fossero realizzati in ottemperanza alla normativa vigente in materia di protezione dei dati personali; il titolare ha contestualmente richiesto la fissazione dell’audizione tenutasi il 14 febbraio 2024 (verbale prot. 64/24);

RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo Speciale della Guardia di Finanza e alla conseguente notifica della comunicazione ex art. 166, comma 5 del Codice, è emerso che, in pendenza del procedimento, il titolare ha integrato l’informativa privacy presente sul sito XX e ha configurato il banner in maniera tale da consentire all’utente di proseguire la navigazione senza l’installazione di cookie diversi da quelli di natura tecnica oppure di esprimere un consenso, specifico e granulare, alla ricezione dei cookie di natura diversa da quella tecnica;

RITENUTO che la condotta posta in essere dal titolare del trattamento abbia configurato una violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO tuttavia l’apprezzabile sforzo del titolare di porre rimedio alle violazioni contestate, mediante la tempestiva adozione delle misure e delle modifiche illustrate;

RITENUTO, dunque:

a) che le misure adottate dal titolare siano idonee a rimuovere le criticità sopra segnalate e, pertanto, di non dover prescrivere ulteriori misure correttive al riguardo;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere alla Ditta Individuale XX un ammonimento ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento rilevate nell’ambito dell’istruttoria;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti della Ditta Individuale XX in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO IL GARANTE

a) reputate adeguate le misure adottate dal titolare per rimuovere le criticità evidenziate con l’atto di contestazione, ritiene di non dover prescrivere ulteriori azioni al riguardo;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento rivolge un ammonimento alla Ditta Individuale XX, con sede legale in XX, P.IVA  XX, in qualità di titolare del trattamento, per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento come meglio indicato nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei