[doc. web n. 10087254]

Provvedimento del 26 settembre 2024

Registro dei provvedimenti
n. 582 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce delle numerose doglianze pervenute in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce e più in particolare, della commercializzazione di autoveicoli e dei trattamenti svolti da operatori turistici e aziende di trasporto terrestre, marittimo ed aereo;

VISTA la nota n. 65159 del 17 novembre 2022 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 73600 del 30 novembre 2022 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Eav – Ente Autonomo Volturno S.r.l. (di seguito, anche “Società”) è stata individuata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 6 Febbraio 2023 in relazione al sito internet https://www.eavsrl.it/web/;

CONSIDERATO che, in tale sede, è emerso che:

- al primo accesso nel sito appariva nella home page il banner a comparsa immediata sull’utilizzo dei cookie che riportava quanto segue: “Noi e i nostri fornitori archiviamo informazioni quali cookie su un dispositivo (e/o vi accediamo) e trattiamo i dati personali, quali gli identificativi unici e informazioni generali inviate da un dispositivo, per personalizzare gli annunci e i contenuti, misurare le prestazioni di annunci e contenuti, ricavare informazioni sul pubblico e anche per sviluppare e migliorare i prodotti. Con la tua autorizzazione noi e i nostri fornitori possiamo utilizzare dati precisi di geolocalizzazione e identificazione tramite la scansione del dispositivo. Puoi fare clic per consentire a noi e ai nostri fornitori il trattamento per le finalità sopra descritte. In alternativa puoi accedere a informazioni più dettagliate e modificare le tue preferenze prima di acconsentire o di negare il consenso. Si rende noto che alcuni trattamenti dei dati personali possono non richiedere il tuo consenso, ma hai il diritto di opporti a tale trattamento. Le tue preferenze si applicheranno solo a questo sito web. Puoi modificare le tue preferenze in qualsiasi momento ritornando su questo sito o consultando la nostra informativa sulla riservatezza”;

- erano presenti, all’interno del banner, due comandi: “Più opzioni”, e “Accetto”;

- non era presente un apposito comando di chiusura “X” (o altro comando equivalente) per chiudere il banner in modo da consentire il permanere delle impostazioni di default e dunque la continuazione della navigazione nel sito web in assenza di cookie o di altri strumenti di tracciamento diversi da quelli tecnici. In particolare, l’utente che avesse inteso proseguire senza accettare era obbligato ad accedere al secondo livello (il c.d. “second layer”), ovvero ad un’area non immediatamente disponibile al momento dell’accesso al sito;

VISTA la nota del 5 giugno 2023 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Eav – Ente Autonomo Volturno S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 5, par. 1, lett. a) e 25, par. 2 del Regolamento, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili alla configurazione del banner in maniera tale che l’utente che intenda rifiutare l’installazione dei cookie diversi da quelli tecnici e dunque proseguire la navigazione con le impostazioni di default, debba necessariamente accedere al c.d. second layer (secondo livello) ovvero all’area specificamente dedicata alle scelte di dettaglio, risultando tale scelta meno agevole rispetto a quella del conferimento del consenso all’utilizzo dei cookie diversi da quelli tecnici;

CONSIDERATO che l’art. 5, par. 1, del Regolamento individua i principi fondamentali applicabili a qualsiasi trattamento di dati personali e che, in particolare, il principio di correttezza implica innanzitutto che il titolare adotti una condotta sempre rigorosamente rispettosa del dettato normativo, nonché orientata alla massima tutela dei diritti e delle libertà degli interessati;

RILEVATO che la società, avvalendosi del diritto di cui all’art. 166, comma 6, del Codice, ha fatto pervenire le proprie deduzioni in data 29 giugno 2023;

CONSIDERATO che, in tale documento, Eav – Ente Autonomo Volturno S.r.l. ha comunicato quanto segue:

- di aver - per il tramite della società Mediatica S.r.l.s., che ha realizzato e cura l’assistenza e la manutenzione del sito - prontamente rimosso la violazione oggetto di contestazione ed adeguato alle Linee guida il banner cookie, inserendo il pulsante “X” in alto a destra dello stesso, “per consentire mediante un unico passo (one step) di procedere alla fruizione dei contenuti del sito senza accettare, lasciando inalterate le condizioni di rifiuto”;

- che inoltre in “ogni caso, è stata sempre conservata la possibilità di chiudere il Banner Cookies anche mediante il tasto ESC”;

RILEVATO che, in base agli elementi acquisiti nel corso dell’attività istruttoria, nel caso in esame, al momento dell’accertamento, ancorché le impostazioni predefinite fossero correttamente “pre-flaggate” sul diniego alla ricezione di cookie di profilazione, l’utente che intendesse continuare nella navigazione del sito web lasciando immutate tali impostazioni era comunque obbligato ad accedere al c.d. second layer (secondo livello) ovvero all’area specificamente dedicata alle scelte di dettaglio, non recando il banner in questione uno specifico e riconoscibile comando idoneo a consentirne la chiusura mantenendo inalterate le impostazioni di default che non implicano il posizionamento di cookie diversi dai tecnici;

RITENUTO che la condotta posta in essere dal titolare del trattamento abbia configurato una violazione degli artt. 5, par. 1, lett. a) e 25, par. 2 del Regolamento, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO l’apprezzabile sforzo del titolare di porre tempestivo rimedio alle violazioni contestate mediante l’avvenuta messa in conformità del banner, il quale ora contiene in alto a destra un comando ben visibile contraddistinto da una “X” e che, posizionando il cursore su tale comando, appare l’inequivoca indicazione “Non accetto”;

RITENUTO, dunque:

a) che le misure adottate dal titolare siano idonee a rimuovere le criticità sopra segnalate e, pertanto, di non dover prescrivere ulteriori misure correttive al riguardo;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere a Ente Autonomo Volturno S.r.l. un ammonimento ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Ente Autonomo Volturno S.r.l. in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

a) accerta la violazione degli artt. 5, par. 1, lett. a) e 25, par. 2 del Regolamento e dichiara l’illiceità del trattamento;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento rivolge un ammonimento a Ente Autonomo Volturno S.r.l., in persona del legale rappresentante pro tempore, con sede legale in Napoli, Corso Garibaldi n. 387, C.F. e P. IVA 00292210630, in qualità di titolare del trattamento, per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento e in particolare per l’omessa predisposizione, nel banner disponibile sul sito https://www.eavsrl.it/web/, di un comando idoneo alla chiusura del medesimo banner lasciando inalterate le impostazioni di default che non presuppongono, in assenza del consenso informato dell’utente, l’impiego di cookie diversi dai tecnici;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei