Provvedimento del 4 giugno 2025 [10152729]
Provvedimento del 4 giugno 2025 [10152729]
Condividi[doc. web n. 10152729]
Provvedimento del 4 giugno 2025
Registro dei provvedimenti
n. 327 del 4 giugno 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);
VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;
VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti online chiedendo di concentrare l’attività, in una prima fase, su un campione di possibili operatori nell’ambito dell’e-commerce;
VISTA la nota n. 38468 del 3 marzo 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;
VISTA la nota n. 130776 del 21 settembre 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Confalonieri S.r.l. è stato individuato tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 7 novembre 2023 in relazione al sito internet www.confalonieriauto.it;
CONSIDERATO che, in tale sede, è emerso quanto segue:
- all’apertura del sito internet appare un banner a comparsa immediata sull’utilizzo dei cookie recante la dicitura: “Cookie Policy - Questo sito e gli strumenti di terze parti in esso integrati trattano dati personali (es. dati di navigazione o indirizzi IP) e fanno uso di Cookie, Pixel, Tags o altri identificatori necessari per il funzionamento e per il raggiungimento delle finalità descritte nella cookie policy, tra cui il miglioramento delle funzionalità del sito e la pubblicità personalizzata. Cliccando sul pulsante Accetta Tutti dichiari di accettare l'utilizzo di queste tecnologie. In alternativa puoi personalizzare le tue scelte tramite l'apposito pulsante”;
- tale banner contiene i pulsanti “X”, “Scopri di più” e “Accetta tutti”;
- cliccando su “Accetta tutti” oppure “Scopri di più” al fine di personalizzare le preferenze, il banner non ricompare in caso di successivo accesso al sito; mentre cliccando sul comando “X” il banner ricompare a ogni successivo accesso al sito;
- nel footer del sito è presente il link alla Cookie Policy, alla Privacy Policy e alle Impostazioni dei cookie;
- la Cookie policy reca riferimenti a norme di legge abrogate e non contiene l’indicazione dei destinatari dei dati;
- l’informativa sulla privacy fa riferimento a norme in materia di protezione dei dati personali non più in vigore e all’emergenza sanitaria risalente alla pandemia da Covid-19.
VISTA la nota del 1 marzo 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Confalonieri S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili:
- all’incompletezza dell’informativa fornita circa il trattamento dei dati attraverso l’utilizzo dei cookie, caratterizzata dalla carenza di informazioni sui destinatari dei dati, il riferimento a norme del Codice ormai abrogate e l’assenza di un avvertimento che indichi che la chiusura del banner tramite selezione del comando “X” comporti il permanere delle impostazioni di default, tutti elementi tali da impedire il conferimento di un consenso libero, informato e specifico;
- alla ricomparsa del banner a ogni successivo accesso al sito qualora l’utente abbia cliccato sul comando “X” che, oltre a compromettere la fluidità della user experience, è suscettibile di forzare la prestazione del consenso pur di proseguire la navigazione;
PRESO ATTO che, con memoria difensiva del 28 marzo 2024 (acquisita in data 29 marzo 2024 con prot. 39693), Confalonieri S.r.l. si è limitata a chiarire che la gestione del sito era affidata a una società terza e che, da sola, non disponeva delle “competenze tecniche per aggiornare direttamente l’informativa cookie”;
RILEVATO che all’esito di un ulteriore accesso al sito da parte dell’Ufficio, effettuato in data successiva rispetto all’accertamento condotto dal Nucleo e alla conseguente notifica della comunicazione ex art. 166, comma 5 del Codice, è emerso che in pendenza del procedimento il titolare ha modificato il banner di modo che esso reca, ora, la dicitura “Dichiaro di aver letto la nostra Privacy Policy ex art. 13 Reg. (UE) 2016/679 e acconsenti al trattamento dei tuoi dati per il servizio richiesto”; inoltre, le uniche possibili azioni nella disponibilità dell’utente risultano essere quelle relative alla selezione di due comandi: “informativa Privacy” e “Accetto”; è stato accertato, infine, che la cookie policy non è più reperibile e la privacy policy attualmente disponibile non reca alcun riferimento al trattamento dei dati degli utenti per il tramite di cookie o altri strumenti di tracciamento;
CONSIDERATO che, ai sensi della normativa vigente, grava sul titolare l’obbligo di fornire l’informativa sul trattamento dei dati personali effettuato mediante l’impiego di cookie o altri strumenti di tracciamento e che in caso di utilizzo di cookie o di altre tecnologie di tracciamento di natura diversa da quella tecnica, il titolare è tenuto altresì ad acquisire il consenso dell’utente;
RILEVATO, inoltre, che in base agli elementi acquisiti al momento dell’accertamento effettuato dal Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza, nel caso in esame:
- stante la mancanza dell’informativa cookie e la insufficienza delle informazioni fornite con l’informativa breve disponibile nel banner, la Società ha effettuato un trattamento di dati personali in violazione degli artt. 12 e 13 del Regolamento e di quanto indicato nelle Linee guida cookie;
- la ricomparsa del banner a ogni successivo accesso al sito www.confalonieriauto.it nel caso in cui l’utente abbia cliccato sul comando “X” del banner, può sortire l’effetto di condizionarne la volontà dell’interessato determinando la violazione degli artt. 4, punto 11, 5 e 7 del Regolamento, nonché dell’art. 122 del Codice.
- la circostanza che il banner non contenga nemmeno l’avvertenza che la chiusura dello stesso mediante la selezione del comando “X”, comporti il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici (cfr. par. 7.1 Linee Guida cookie), comporti la violazione degli artt. 24 e 25 del Regolamento;
RITENUTO che la condotta posta in essere dal titolare del trattamento configuri una violazione degli artt. 4, punto 11, 5, 7, 12, 13, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;
RITENUTO, inoltre:
a) che le modifiche apportate dal titolare in pendenza del procedimento non soltanto non sono idonee a ripristinare la conformità del sito, ma risultano anche non conformi alla disciplina vigente sotto diversi, ulteriori profili, come meglio evidenziato in precedenza;
b) che pertanto si rende necessario ingiungere al titolare del trattamento, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet www.confalonieriauto.it alla normativa vigente in materia di protezione dei dati personali, configurando il banner in modo da consentire all’utente il conferimento di un consenso specifico e informato all’utilizzo dei cookie di natura diversa da quella tecnica, nonché integrando l’informativa generale sul trattamento dei dati personali con specifico riferimento al trattamento dei dati effettuato attraverso i cookie;
c) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi tuttavia a rivolgere a Confalonieri S.r.l. un ammonimento ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;
RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Confalonieri in conformità all’art. 58, par. 2, del Regolamento medesimo;
VISTA la documentazione in atti;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;
RELATORE il prof. Pasquale Stanzione;
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell’art. 58, par. 2 lett. d) del Regolamento, ingiunge a Confalonieri s.r.l., con sede in Sassari (SS) in via Predda Niedda n. 33, P.IVA 01117710903, in qualità di titolare, di conformare i trattamenti di dati personali effettuati mediante i cookie e gli altri strumenti di tracciamento utilizzati dal sito internet www.confalonieriauto.it alla normativa vigente in materia di protezione dei dati personali e in particolare configurando il banner in modo da consentire all’utente il conferimento di un consenso specifico e informato all’utilizzo dei cookie di natura diversa da quella tecnica, nonché integrando l’informativa generale sul trattamento dei dati personali con specifico riferimento al trattamento dei dati effettuato attraverso i cookie;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, rivolge un ammonimento a Confalonieri s.r.l. per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento per le motivazioni meglio indicate nella parte motiva;
DISPONE
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 4 giugno 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE REGGENTE
Filippi
