[doc. web n. 10196127]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 617 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angela Fanizza, Segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “RGPD” o “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il reclamo del sig. XX, presentato all’autorità di protezione dei dati personali del Lussemburgo (“CNPD”), nei confronti di Bluepillow S.p.A. (di seguito “Bluepillow” o “Società”);

CONSIDERATO il meccanismo di cooperazione tra le autorità di protezione dati europee, come previsto dal Regolamento (art. 60 e ss.) per i trattamenti transfrontalieri di dati personali e, in particolare, la procedura IMI art. 56 n. 423048, aperta in data 28 luglio 2022 dall’autorità di protezione dei dati personali del Lussemburgo per l’individuazione dell’autorità capofila nella trattazione del procedimento e in cui il Garante per la protezione dei dati personali (in seguito “Garante” o “Autorità”) si è dichiarato autorità capofila;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria svolta

Con reclamo presentato all’autorità di protezione dei dati personali del Lussemburgo e trasmesso da quest’ultima al Garante, conformemente alle norme del RGPD che disciplinano la procedura di cooperazione tra autorità europee, il sig. XX lamentava una possibile violazione della disciplina a tutela dei dati personali da parte di Bluepillow S.p.A.

In particolare, l’interessato lamentava di non aver ricevuto riscontro alla richiesta di accesso ai dati personali allo stesso riferiti che la Società avrebbe raccolto in occasione della sua ricerca di una sistemazione alberghiera sul sito web bluepillow.com, rappresentando che “[Bluepillow] non mi ha fornito le dovute informazioni relative al trattamento dei dati personali che mi riguardano; non ha risposto alla mia richiesta di accesso ai miei dati personali;[…] ha trasferito i miei dati personali a una o più terze parti”.

Inoltre, rappresentava che, in occasione della ricerca di una sistemazione alberghiera, era stato ridiretto su un’altra pagina web dove ha inserito i propri dati personali, per formalizzare la prenotazione, notando tuttavia, che “i miei dati sono stati canalizzati a terzi ma la prenotazione non è stata elaborata ed è stato espresso un messaggio che non c'era disponibilità. Bluepillow non è stato in grado di indicare chi ha avuto accesso ai miei dati personali e per quale scopo. Credo che questo possa essere un raggiro per raccogliere dati personali quando vengono mostrate tariffe di alberghi preferiti ma poi appare "nessuna disponibilità"” [traduzione non ufficiale dall’inglese].

Il giorno seguente al tentativo di prenotazione, l’interessato, avrebbe ricevuto un'e-mail da Bluepillow - rivelatasi in seguito essere una "e-mail di carrello abbandonato" (o "e-mail di recall").

1.1. Principali disposizioni normative in materia

In via preliminare, si osserva che il RGPD si applica anche ai trattamenti di dati personali transfrontalieri all’interno dell’Unione europea. L’attività di controllo su tali trattamenti transfrontalieri di dati (art. 4, n. 23, del RGPD) è gestita in cooperazione tra le altre autorità di controllo nazionali.

Nel caso specifico, il Garante per la protezione dei dati personali - considerato che Bluepillow, titolare del trattamento dei dati in questione, ha sede legale in Italia - si è dichiarata autorità capofila della relativa procedura di cooperazione (artt. 56, 60 del RGPD).

In base alla predetta normativa, il titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4 (7) del RGPD).

Per trattamento di dati personali si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, […] la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 (2) del RGPD).

Nel trattare i dati personali il titolare deve rispettare i principi indicati all’art. 5 para. 1, RGPD, tra cui: «liceità, correttezza e trasparenza»: “i dati sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato”; «limitazione della finalità»: i dati sono raccolti per finalità determinate, esplicite e legittime”; «limitazione della conservazione»: i dati sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Un trattamento di dati personali è lecito se ricorre una delle condizioni previste all’art. 6 RGPD, quali: il consenso dell’interessato, la necessità del trattamento per l’esecuzione di un contratto o di misure precontrattuali su richiesta dell’interessato; l’adempimento di un obbligo legale o il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà dell'interessato.

Il titolare, inoltre, ha dei precisi obblighi in materia di trasparenza e in base all’art. 13 del RGPD fornisce all’interessato, nel momento in cui i dati sono ottenuti, tutte le informazioni relative alle caratteristiche essenziali del trattamento, in particolare: “l’identità e i dati di contatto del titolare […], i dati di contatto del responsabile della protezione dei dati, ove applicabile; le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;” qualora il trattamento si basi sull'articolo 6, para.1, lettera f), “i legittimi interessi perseguiti dal titolare del trattamento o da terzi; gli eventuali destinatari dei dati personali”; nonché, inter alia, “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo[…];”.

La medesima disciplina contempla, in capo al soggetto interessato, una serie di diritti, tra cui il diritto di accesso ai dati personali allo stesso riferiti (art 15 RGPD) che, nell’attuale formulazione legislativa, si traduce nell’obbligo per il titolare di fornire all’interessato la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, di consentire al medesimo l’accesso ai dati personali e a tutta una serie di informazioni, quali le finalità del trattamento, le categorie di dati, i destinatari a cui i dati sono comunicati, etc. (art. 15, par. 1-4 del RGPD).

Inoltre il titolare “adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 […]relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”; “agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22” e “fornisce all’interessato le informazioni relative all’azione intrapresa” riguardo alla sua richiesta di accesso ai dati al più tardi entro un mese dalla richiesta stessa; se non ottempera alla richiesta dell’interessato, il titolare informa l’interessato entro un mese dalla richiesta dei motivi dell’inottemperanza (art. 12 par. 1-4 del RGPD). Le informazioni di cui all’art. 15 possono peraltro essere rilasciate in forma concisa. Si vedano le “Linee Guida sulla trasparenza ai sensi del regolamento 2016/679” del Gruppo di lavoro articolo 29 (2018).

In base all’art. 30 RGPD, “Ogni titolare del trattamento [tiene] un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati[…]; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1[…]. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico. 4.Su richiesta, il titolare del trattamento o il responsabile del trattamento […] mettono il registro a disposizione dell'autorità di controllo. 5.Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.”

1.2. Le richieste di informazioni formulate dall’Autorità

In virtù della suddetta disciplina europea (“RGPD”) e di quella italiana (“Codice”), questa Autorità invitava la Bluepillow a fornire chiarimenti.

Con la richiesta di informazioni - notificata da questa Autorità, ai sensi degli artt. 157 e 158 del Codice, in occasione dell’attività ispettiva, svoltasi in data 25 settembre 2023 presso la sede della Società, al fine di verificare anche alcuni aspetti tecnici e organizzativi - sono stati acquisiti documenti e informazioni utili a una preliminare valutazione dei trattamenti dei dati in questione, ivi inclusa documentazione integrativa che la Società ha fatto pervenire, con nota del 6 ottobre 2023. Nella richiesta di informazioni, si invitava, in primo luogo, la Società a chiarire se e quali dati dell’interessato avesse raccolto, condiviso e conservato ed eventualmente per quanto tempo e per quali finalità.

Dalla documentazione acquisita, è emerso, in primo luogo, che il reclamante, attraverso le e-mail del 2 e 3 giugno 2022, inviate all’indirizzo info@bluepillow.com, ha inizialmente chiesto alla Società di conoscere i dati di contatto del data protection officer (“DPO”), nonché di sapere quali dati relativi al medesimo interessato la Società avesse raccolto in occasione della sua ricerca di una sistemazione alberghiera sul sito web di Bluepillow.

Dagli atti, è emerso che quest’ultima abbia fornito riscontro all’interessato (nella stessa giornata), limitandosi però a rappresentare che “Bluepillow non è altro che un sito di comparazione dei prezzi online gratuito […]. Bluepillow, inoltre, non conserva NESSUN dato dell'utente durante la fase di prenotazione, poiché questo è elaborato dall'agenzia di viaggi prescelta […]. Un cliente può anche scegliere di iscriversi a Bluepillow ma questo è facoltativo […]. Se hai effettuato una prenotazione tramite una delle nostre OTA partner e hai domande relative all'utilizzo dei tuoi dati, ti invitiamo a contattarli per discutere eventuali dubbi che potresti avere”.

L’interessato ha riscritto immediatamente dopo (e-mail del 3 giugno), per chiedere l’identità e i dati di contatto dell’agenzia di viaggio che avrebbe elaborato i dati dallo stesso inseriti sul sito, specificando che, dopo aver inserito tutti i dati personali “è apparso un messaggio che diceva che l'hotel non era disponibile” e facendo intendere di nutrire ancora più dubbi su chi avesse avuto accesso ai propri dati inseriti in occasione del (tentativo) di prenotazione.

Il giorno seguente (il 4 giugno), il reclamante ha ricevuto un’e-mail da Bluepillow la quale gli ricordava che una sistemazione alberghiera nella città inizialmente selezionata “lo sta[va] aspettando” (“Your accommodation in XX awaits you” - rivelatasi poi come la cd. e-mail di “recall” o “di carrello abbandonato”), a cui il reclamante ha dato seguito chiedendo nuovamente informazioni sul DPO - richiesta rinnovata dopo pochi giorni.

A ciò, è seguito un nuovo scambio di e-mail tra la Società (che dichiarava di non poter essere di aiuto senza ulteriori informazioni da parte del medesimo interessato) e l’interessato, il quale, nell’inviare per la prima volta il fermo-immagine (screenshot) del tentativo di prenotazione effettuato sul sito Bluepillow, chiedeva nuovamente di sapere chi avesse avuto accesso ai suoi dati personali e chi fosse il DPO della Società (e-mail del 10 giugno).

Il 14 giugno (quindi, dopo pochi giorni), Bluepillow chiariva che “durante la procedura di prenotazione, i clienti che desiderano prenotare un immobile tramite il nostro sito, inseriscono i dati richiesti dalla struttura ricettiva prescelta compreso l'indirizzo e-mail. Mentre eri in questo processo hai inserito il tuo indirizzo e-mail nel sito per l'elaborazione e questo è stato legittimamente raccolto. Sembra che la tua transazione sia poi fallita perché non c'era più disponibilità presso la struttura prescelta in quel momento e sembra che tu abbia abbandonato la transazione. L'e-mail che hai ricevuto riguardava un carrello abbandonato che ti offriva le alternative disponibili, procedura usuale in questi casi”, comunicando inoltre al medesimo interessato di aver provveduto a rimuovere i relativi dati, rassicurandolo sul fatto che non avrebbe più ricevuto alcuna comunicazione da parte di Bluepillow.

L’interessato infine (nell’ultima e-mail del 14 giugno) si è detto soddisfatto riguardo alla seconda richiesta (relativa a conoscere le ragioni dell’e-mail di “carrello abbandonato” ricevuta dopo il tentativo di prenotazione), ma ha ribadito la richiesta di conoscere chi avesse avuto accesso ai suoi dati (evidentemente presumendo che tale fosse un’agenzia di viaggi, partner di Bluepillow), nonché l’identità del DPO e il 20 giugno ha presentato reclamo presso l’autorità di protezione dei dati lussemburghese, che, come detto, lo ha trasmesso a questo Ufficio.

1.2.1. Obbligo di adeguato riscontro all’interessato ex art. 12 RGPD in relazione all’esercizio del diritto di accesso ai dati personali di cui all’art. 15 RGPD

Durante l’ispezione e nella nota integrativa del 6 ottobre 2023,  la Società riferiva di due modalità messe a disposizione degli utenti per la selezione degli alloggi tramite il sito Bluepillow e delle relative procedure di prenotazione: la prima, contemplerebbe le offerte pubblicate da agenzie di viaggio (“OTA”): “nel caso di prenotazione effettuata direttamente sul sito dell’OTA, a valle di reindirizzamento, la Società non raccoglie e non conserva i dati personali relativi all’utente”; nella seconda ipotesi, invece, le prenotazioni alberghiere sarebbero gestite direttamente da Bluepillow: in tal caso, i dati raccolti e conservati dalla Società sono dati anagrafici e di contatto (“nome - cognome – indirizzo – nazione – e-mail e telefono[…]”) inseriti dagli utenti all’atto di verifica della disponibilità degli alloggi.

Nella stessa occasione, veniva inoltre rappresentato che se “la prenotazione non viene portata a termine, per qualsiasi motivo, viene inviata a ridosso della mancata prenotazione un’e- mail che richiama il tentativo di prenotazione, includendo nel corpo della mail strutture potenzialmente disponibili per la stessa destinazione /periodo. In calce alla e-mail in italiano o in inglese, sono riportati […] i contatti della stessa […]; nessuna ulteriore comunicazione di nessun genere è invitata all’utente successivamente al [summenzionato] messaggio […]”.

Pertanto - dato che nei primi riscontri all’interessato la Società aveva rappresentato che “non conserva NESSUN dato personale dell’utente” - questa Autorità invitava Bluepillow a chiarire in primis se la stessa avesse trattato i dati personali dell’interessato, quanto meno ai fini dell’invio dell’e-mail automatica “di recall di prenotazione interrotta” e se avesse dato riscontro alla richiesta del medesimo interessato.  

Con nota dell’11 marzo 2024, la Società ha chiarito come il sistema di prenotazione prescelto dal sig. XX rientrava nella seconda opzione sopra descritta e che quindi la stessa avesse raccolto i dati inseriti dal medesimo sul sito Bluepillow, poi trattati per inviare l’e-mail di “recall” con proposte di alloggio alternative.

In particolare ha rappresentato che “Bluepillow ha raccolto i dati del Sig. XX inseriti dallo stesso sul sito per prenotare un viaggio a XX, [il quale] al momento del pagamento ha abbandonato il carrello. Bluepillow - come da prassi commerciale universale […] ha inviato una mail di recall del carrello abbondonato. Non altro. […]”, evidenziando, inoltre, come “l’interessato ha raggiunto la Società facilmente per avere informazioni su eventuali trattamenti che lo riguardassero […] però, non formula tali richieste: il 4 giugno 2022 (il 4 giugno è un sabato) manda una mail con il seguente contenuto: “Please inform who have you assigned as data protection officer […]” e dopo quale giorno chiede: “Please inform me who has had access to my personal data”.”

A riguardo, la Società, ha evidenziato, da un lato, “la scarsa chiarezza della domanda [si intende la richiesta dell’interessato] (vuole sapere i nomi delle persone fisiche in Bluepillow che trattano i dati o vuole sapere se i dati sono comunicati a terzi?)”, dall’altra, ha rappresentato di aver “riscontra[to] immediatamente, indicando di avere provveduto a cancellare tutti i dati. La risposta in effetti avrebbe potuto essere più efficiente […]”.

Bluepillow ha quindi confermato a questo Ufficio di aver raccolto i dati inseriti dal Sig. XX nella ricerca di sistemazione alberghiera e di aver provveduto a cancellarli in data 14 giugno 2022, “giorno in cui la Società ha inteso meglio la richiesta del Sig. XX […mail del 14/06/2022]”, come avrebbe comunicato allo stesso interessato nella stessa data.

1.2.2. Principio di trasparenza e obbligo di fornire informazioni all’interessato (art. 5 lett. a) e art. 13 RGPD)

La Società, fornendo il primo riscontro all’interessato, indicava che “Bluepillow non è altro che un comparatore di prezzi online gratuito […] e che “Bluepillow non conserva NESSUN dato dell'utente durante la fase di prenotazione dato che questo viene elaborato tramite l'agenzia di viaggio prescelta. […] Un cliente può anche scegliere di iscriversi a Bluepillow ma questo è facoltativo.”

Ciò appariva però in contrasto con quanto rappresentato nell’informativa pubblicata sul sito di Bluepillow e fornita al momento dell’ispezione; nella stessa, infatti, era possibile leggere: “raccogliamo le informazioni da te fornite al momento dell’iscrizione o dell’utilizzo di uno qualsiasi dei nostri servizi […]quando crei e registri un conto con noi, fai una prenotazione per un viaggio o una prenotazione attraverso un servizio Bluepillow […]Raccogliamo alcune informazioni in automatico in seguito all’uso dei servizi Bluepillow […] legate al dispositivo utilizzato per accedere ai servizi […].

Pertanto, dall’informativa era dato da intendere che i dati dell’utente avrebbero potuto essere raccolti da Bluepillow, diversamente da quanto rappresentato nel riscontro all’interessato (“Bluepillow non raccoglie alcun dato dell’utente nella fase di prenotazione”), aspetto poi chiarito, in quanto riferito all’opzione (cfr. paragrafo precedente) di prenotazione effettuata direttamente sul sito di un agenzia partner (OTA), non verificatasi però nel caso del tentativo di prenotazione effettuato dal sig. XX.

Inoltre, riguardo al testo dell’informativa fornita al momento dell’ispezione, si rilevavano alcune criticità, in particolare, in relazione alle informazioni fornite sulle tipologie di trattamenti effettuati, sulle basi giuridiche in relazione alle finalità perseguite, sulle modalità messe a disposizione degli interessati per esercitare i diritti in materia di tutela dei dati personali, nonché sul periodo di conservazione dei dati raccolti.

Nel richiedere chiarimenti anche relativamente a questi aspetti dell’informativa, questa Autorità invitava la Società a illustrare i motivi per cui, nell’informativa, si invitavano gli utenti a inviare eventuali richieste di esercizio del diritto di accesso per iscritto al (mero) indirizzo fisico di Bluepillow.
Dato che la Società, durante l’ispezione, aveva inoltre dichiarato che l’attività di aggiornamento dell’informativa non era ancora conclusa e che la stava “riformulando […] affinché […] siano chiaramente dettagliati tutti i trattamenti effettuati per ciascun percorso di prenotazione”, con la richiesta di informazioni del 12 febbraio 2024, si invitava la Società a fornire anche la versione aggiornata della stessa, ricordando che i tempi di conservazione dei dati personali trattati e ivi indicati devono essere specifici, riguardo ad ogni tipologia di trattamento e di finalità e che deve essere indicato un termine congruo.

Nel riscontro dell’11 marzo 2024, la Società inviava “l’informativa aggiornata”.

1.2.3. Obbligo di tenuta del Registro delle attività di trattamento (Art. 30 RGPD)

In sede di accertamento ispettivo è stata rilevata, altresì, la mancata predisposizione del Registro delle attività di trattamento ex art. 30 RGPD summenzionato, riguardo alla quale la Società ha dichiarato che, sebbene non “rientri nella casistica [indicata nell’art. 30 RGPD], Bluepillow intende predisporre un Registro trattamenti […]” (cfr. nota integrativa).

Alla richiesta di ulteriori informazioni di questa Autorità del 12 febbraio 2024, in cui si invitava la Società a chiarire se avesse provveduto a istituire il preannunciato Registro, la Società rispondeva di aver provveduto ad una prima stesura dello stesso, tra ottobre e dicembre 2023, e che “lo stesso è ora in fase di aggiornamento per alcuni nuovi trattamenti di dati personali non rilevanti e non relativi al Reclamo, e in linea con gli obiettivi di sviluppo della Società.” (un estratto del Registro è stato inviato a questa Autorità).

Concludeva la società evidenziando che: “non solo la violazione – quale essa sia stata esattamente rispetto alle richieste del Sig. XX – ha cessato di avere qualsiasi effetto già quasi 2 anni fa, ossia 10 giorni dopo la prima mail del Sig. XX, ma crediamo anche di avere dimostrato una volontà collaborativa ed informativa su tutti i trattamenti della Società, che è andata oltre il Reclamo oggetto di Ispezione”.

Infine, Bluepillow, con nota del 2 agosto 2024, ha inviato copia del Registro ultimato.

2. La notifica delle violazioni di cui all’art. 166, comma 5 del Codice

A seguito dell’istruttoria preliminare, sulla base della documentazione acquisita, sia tramite attività ispettiva, sia tramite due successive richieste di informazioni, questa Autorità provvedeva a notificare alla Società, con nota del 20 dicembre 2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per la violazione dell’art. 12, in relazione all’art. 15 e degli art. 13 e 30 del RGPD.
In particolare, sulla base agli elementi acquisiti nel corso dell’attività istruttoria, l’Autorità ha ritenuto che i trattamenti effettuati dalla Società configurassero una violazione della disciplina applicabile in materia di protezione dei dati personali nei termini di seguito specificati.

2.1. Inadeguato riscontro (art. 12 RGPD) alla richiesta di esercizio del diritto di accesso ai dati personali dell’interessato di cui all’art. 15 RGPD

Innanzitutto, è emerso che la Bluepillow S.p.A., in qualità di titolare, ha fornito un riscontro inadeguato alla richiesta dell’interessato, essendosi limitata a rappresentare di “non conservare i dati personali degli utenti”, nonché a descrivere sommariamente l’attività della stessa, quale mero comparatore di prezzi.

È pur vero che nello scambio di e-mail, la richiesta dell’interessato risultava formulata in modo poco chiaro (“who has access to my data”) e che la Società ha chiesto ulteriori elementi a riguardo al medesimo interessato, nonché che la stessa ha indicato “il motivo per cui lo stesso avesse ricevuto quell’unica email [di recall per abbandono carrello] dalla Società”; tuttavia, anche a seguito delle successive interlocuzioni con il reclamante, non ha dato risposta (neanche in senso negativo) alla specifica richiesta di accesso ai dati personali allo stesso riferiti (“Please provide me the contacts of your data protection officer as I want to know what data you collected in my regard and how it’s been processed in order to take further action” (e-mail del 3 giugno 2022).

Come dalla medesima ammesso, “la risposta in effetti avrebbe potuto essere più efficiente”. Ciò risulta in contrasto con l’obbligo di fornire adeguato riscontro - così come prescritto dall’art. 12 RGPD, sopra richiamato - alla richiesta di accesso ai dati, avanzata dall’interessato.

La Società nel corso dell’istruttoria ha rappresentato di aver trattato dati personali dell’interessato (“dati anagrafici inseriti all’atto della richiesta di disponibilità” incluso l’indirizzo e-mail), quanto meno ai fini dell’invio dell’e-mail automatica “di recall di prenotazione interrotta”, specificando anche di non aver trasmesso tali dati a terzi (in quanto si trattava di tentativo di prenotazione gestita direttamente da Bluepillow) e di non essere tenuta alla designazione di un RPD (“DPO”): tali informazioni, pur richieste dall’interessato, non sono state a lui comunicate, almeno fino all’intervento dell’Autorità.

Pertanto, il contenuto del riscontro fornito dalla Società al reclamante, in ordine all’assenza di trattamenti di dati riferiti al medesimo, non appare veritiero, dato che i dati dell’interessato erano stati trattati ed erano presenti nei sistemi della Società, al momento dell’istanza; il riscontro, quindi, è risultato non adeguato.

Bluepillow, in tal modo, non ha fornito all’interessato una risposta idonea all’esercizio del diritto di cui all’art. 15 RGPD, che riconosce all’interessato il diritto di ottenere dal titolare l'accesso ai dati personali e a una serie di informazioni, tra cui le finalità, l’origine dei dati, eventuali destinatari a cui i dati sono stati o saranno comunicati. Per tali motivi, la condotta descritta è risultata in contrasto con l’art. 12 in relazione all’art.15 RGPD.

2.2. Violazione dell’obbligo di informativa (art. 13).

Come sopra descritto, al momento del reclamo e dagli accertamenti ispettivi, l’informativa sul trattamento dei dati personali, disponibile sul sito internet di Bluepillow, appariva lacunosa, in particolare per i profili contraddittori sull’indicazione delle tipologie di trattamenti di dati effettuati, delle modalità di contatto per l’esercizio dei diritti e sul periodo di conservazione dei dati medesimi, così come la versione dell’informativa, resa disponibile dalla Società a partire da febbraio 2024, appariva non totalmente adeguata.

Nella versione modificata della stessa (anche nella versione in lingua inglese) e fatta pervenire a questo Ufficio, a seguito delle richieste di chiarimenti, vari profili erano stati precisati, tra cui quello relativo all’invio all’utente dell’e-mail c.d. di recall per prenotazione interrotta/carello abbandonato (“Se non finalizzi la prenotazione effettuando il pagamento, ma hai ultimato tutti i passaggi precedenti inserendo i tuoi dati identificativi, riceverai un’e-mail automatica di “recall” del luogo di destinazione opzionato e delle strutture disponibili, dandoti la possibilità di ultimare la prenotazione. I dati raccolti e conservati sono quelli inseriti (nome, cognome, cellulare, e-mail). Non riceverai altre e-mail da parte nostra […]”; nonché quello relativo al contatto (elettronico- info@bluepillow.com - oltre che unicamente fisico) a cui inviare le istanze di esercizio dei diritti relativi alla protezione dei dati personali.

Tuttavia, anche nella nuova versione dell’informativa aggiornata al 23/04/2024, alcune criticità sono apparse persistenti, come emerso altresì da verifiche effettuate sul sito web di Bluepillow, relativamente alla sezione “Privacy”, in relazione ai requisiti indicati all’art. 13 del RGPD, espressione del principio generale di trasparenza di cui all’art. 5 RGPD.

In particolare, con l’atto di avvio del procedimento, si rilevava che:

nell’informativa fornita da Bluepillow, la “base giuridica” era indicata in modo non specifico e senza distinzione per i vari tipi di trattamento ivi descritti, dal momento che, “per i trattamenti a), b), c) d) ed e)”, indicati al paragrafo 2 della stessa informativa, il paragrafo 3 faceva riferimento all’art. 6, par. 1, lett. b) e f) del RGPD, cioè, sia alla necessità del trattamento per finalità contrattuali, che al perseguimento dell’interesse legittimo. Ciò risultava però in contrasto con l’art. 13, para.2 lett. c) del RGPD, da leggere in combinato disposto con l’art. 5, para. 1, lett. b) del RGPD, secondo cui i dati personali “sono raccolti per finalità determinate, esplicite e legittime;” si veda inoltre il Considerando 39 del RGPD: “Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono […] trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati” e le Linee guida in materia di trasparenza, sopra menzionate;

i tempi di conservazione dei dati personali raccolti da Bluepillow apparivano ancora non congrui: sebbene, nel caso concreto, i dati dell’interessato siano stati conservati, nel caso di specie, per un periodo di dieci giorni, tuttavia, nell’informativa, il periodo “ordinario” di conservazione dei dati personali di utenti che, come il reclamante, non finalizzano una prenotazione, era indicato in due anni dall’ultimo contatto dell’utente; nonché dieci anni dalla prenotazione effettuata su siti OTA. Tali termini sono stati valutatati come indebitamente lunghi e in contrasto con quanto previsto dall’art. 13 RGPD, para.2 lett. a), da leggere in combinato disposto con l’art. 5, para. 1, lett. c): “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”; e lett. e), secondo cui: “i dati personali sono conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati […]”.

Pertanto, sebbene alcune criticità, come detto sopra, apparivano superate nella nuova informativa (come l’indicazione dell’e-mail di contatto per l’esercizio dei diritti anziché del mero indirizzo fisico e l’esplicita menzione dell’invio di e-mail di “recall” o di “carrello abbandonato” per prenotazione non portata a termine), con la notifica delle violazioni è stato contestato alla Bluepillow che, al momento del reclamo, i trattamenti dei dati erano stati effettuati in violazione dell’art. 13 e che tale violazione si è protratta almeno fino alle interlocuzioni con questa Autorità e al successivo aggiornamento dell’informativa da parte della società.

2.3. Violazione dell’obbligo di tenuta del registro delle attività di trattamento

Durante l’ispezione era stata rilevata la mancata predisposizione del Registro delle attività di trattamento, riguardo alla quale la Società aveva dichiarato che, pur non ritenendo di rientrare “nella casistica [indicata nell’art. 30 RGPD]”, vi avrebbe provveduto. Con nota del 2 agosto 2024 è stato inviato il “Registro dei Trattamenti aggiornato al luglio 2024”.

A riguardo, si osserva che, come chiarito dall’EDPB, che ha fatto proprie le indicazioni del predecessore Article 29 DP WP sulle deroghe all’obbligo di tenere il registro dei trattamenti derivante dall’art.30, para.5 RGPD, “in generale, ogni organizzazione dovrebbe tenere un registro delle proprie attività di trattamento” (cfr. www.edpb.europa.eu).

Tali indicazioni, in particolare, chiariscono che la deroga di cui all’art. 30, para. 5 per le imprese con meno di 250 dipendenti non è assoluta e che le tre ipotesi di trattamento ivi indicate (i.e., il trattamento non è occasionale o include categorie particolari di dati o può presentare un rischio per i diritti dell’interessato), in presenza delle quali la deroga non trova applicazione, sono da considerarsi come alternative, per cui nel caso in cui anche solo una di esse ricorra -circostanza che ricorre nel caso di specie-, l’obbligo di tenuta del registro va adempiuto.

Inoltre, “anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso” (cfr. “FAQ sul registro delle attività di trattamento”, sul sito di questa Autorità).

È stata quindi contestata anche la violazione dell’art. 30 RGPD, in quanto la Società, pur essendovi tenuta ai sensi dell’art. 30, non ha provveduto a redigere il Registro per le attività di trattamento precedenti al reclamo, almeno fino alla richiesta in tal senso da parte di questa Autorità.

3. La difesa della società

Nelle memorie difensive, inviate con nota del 17 gennaio 2025, la Società:

riguardo all’obbligo di adeguato riscontro ex art. 12 RGPD, dopo aver ripercorso lo scambio di comunicazioni con l’interessato, avuto “a valle di un tentativo di prenotazione per la località di XX direttamente dal sito di Bluepillow e di ricezione di una mail automatica di “recall” di carrello abbandonato, con offerte alternative per la medesima destinazione prescelta”, ha evidenziato che “il mittente della comunicazione automatica sopra riportata, è la Società Blue Pillow noreply@bluepillow.com, non altre agenzie, non altri soggetti”. L’email inviata si inseriva e si inserisce quindi nel contesto dell’articolo 130 comma 4 del Codice Privacy […]”. Inoltre ha sottolineato come il reclamante non abbia mai “forni[to] evidenza di avere ricevuto comunicazioni da parte di soggetti terzi”. La medesima Società ha affermato di aver tentato di “comprendere le istanze del reclamante e fornire assistenza al reclamante” il quale “[…] si limitava a confermare la circostanza che la prenotazione non era andata a buon fine, per poi inoltrare in data 4 giugno la famosa mail di recall, proveniente da Blue Pillow stessa, insistendo sulla nomina del data protection officer e sul nome dell’agenzia a cui Blue Pillow – secondo il personale convincimento del Reclamante – avrebbe trasferito i dati personali dello stesso” e osserva come “non si può non rilevare un sotteso e costante equivoco mantenuto tale dal Reclamante stesso” […il quale] “non tenendo conto delle risposte già ricevute da BluePillow, ma esclusivamente dei suoi personali convincimenti, avrebbe poi formulato reclamo all’autorità di protezione dati;

nelle stesse memorie, si rappresenta che la Società “non ritiene di avere violato nella sostanza i principi di correttezza e trasparenza in relazione al trattamento di dati personali posti in essere nei confronti dell’interessato Reclamante, né di avere leso diritti specifici e fondamentali dello stesso, essendosi egli erroneamente convinto della sussistenza di un trattamento di dati personali che in realtà non c’era, nonostante le diverse spiegazioni da Bluepillow” e che “non siano in realtà state omesse informazioni rilevanti, posto che effettivamente, nessuna agenzia di viaggi fu coinvolta nel trattamento dei dati personali del Reclamante”. Riguardo alla contestazione relativa alla violazione degli obblighi di trasparenza e di informativa ex artt. 5, para. 1 lett. a) e 13 RGPD, la Società ha rappresentato che “L’informativa in relazione al trattamento dei dati personali visibile dal Reclamante nel giugno 2022, riportava quanto segue […] <<Raccogliamo le informazioni da te fornite al momento dell'iscrizione o dell'utilizzo di uno qualsiasi dei nostri servizi, quando registri un account con noi. Per esempio, quando crei e registri un conto con noi, fai una prenotazione per un viaggio o una prenotazione attraverso un servizio Bluepillow o quando usufruisci di una promozione Bluepillow, possiamo chiederti il nome, l'indirizzo e-mail, la password o altre informazioni rilevanti”. Quando effettui una prenotazione di viaggio o una prenotazione all'interno di un servizio Bluepillow, possiamo trasferire i tuoi dati personali che ci fornisci al fornitore finale con il quale stai effettuando la prenotazione per […]>>. Il documento informava quindi come a conclusione della prenotazione (il Reclamante non ci è mai arrivato, ndr), i dati personali potessero essere trasmessi al fornitore finale, ossia alla struttura ricettizia” […]. Inoltre, seppure imperfetta, l’informativa raggiungeva comunque lo scopo minimo di informare quali trattamenti di dati personali Blue Pillow poneva in essere e in quali circostanze e per quali finalità avrebbe comunicato dati a soggetti terzi”. Nelle stesse memorie, Bluepillow ricorda inoltre di aver provveduto ad aggiornare l’informativa a più riprese, da ultimo, tenendo conto delle criticità evidenziate dall’Autorità con l’atto di avvio del procedimento (e.g. base giuridica di alcuni trattamenti indicata in modo non specifico per i vari tipi di trattamento, nonché termini di conservazione dei dati eccessivamente lunghi). In particolare, la Società chiarisce come il “termine di conservazione previsto in 2 anni dall’ultimo contatto con l’utente per l’invio della mail di recall /carrello abbandonato ai sensi dell’articolo 130 comma 4 Codice Privacy, sia stat[o] indicat[o] avendo a mente il Provvedimento Generale dell’Autorità Garante del 24 febbraio 2005, che prevede “fino ad un massimo di 2 anni (il termine di conservazione) per i dati relativi al marketing”. Ad ogni modo, nelle medesime memorie, la Società comunica di aver provveduto a modificare interamente l’informativa, in particolare, riducendo il termine riguardante il trattamento dei dati personali per l’invio della e-mail di recall/carrello abbandonato a 12 mesi;

relativamente alla mancata istituzione del registro dei trattamenti, rilevata in sede ispettiva, la Società evidenzia come “l’assenza dello stesso non avesse impedito e/o rallentato l’attività ispettiva in sede, conclusasi qualche ora dopo dall’avvio della stessa, con tanto di simulazioni da parte degli Ispettori e accesso diretto alle banche dati, osservando gli stessi una corrispondenza tra banche dati / dati personali presenti/ finalità dichiarate e relative modalità di trattamenti”. In ogni caso, Bluepillow ha avviato a ridosso dell’Ispezione, la compilazione del Registro trattamenti”.

La Società, con la medesima nota, ha chiesto poi di essere udita e il 13 marzo 2025 si è tenuta l’audizione, durante la quale la Società, oltre ad escludere la natura dolosa della propria condotta, ha sottolineato il proprio atteggiamento proattivo nei confronti dell'interessato.

In particolare, ha evidenziato come l’inadeguatezza del primo riscontro fornito fosse dovuta alla poca chiarezza delle domande poste nelle prime e-mail inviate dall’interessato, a cui Bluepillow, “ha poi chiarito quale fosse il trattamento di dati svolto nel caso concreto, una volta compresa la ragione che avrebbe ingenerato i sospetti nel reclamante” (cfr. verbale di audizione).

La Società ha inoltre evidenziato la natura di PMI della stessa con pochi dipendenti e ricordato come lo scopo della propria attività sia quello “di agevolare gli utenti nella ricerca di un alloggio online, non di vendere dati personali a terzi, come sembrerebbe suggerire il ricorrente”.

Per quanto riguarda l'informativa, nella medesima audizione è stato rappresentato che la stessa è stata ulteriormente modificata, per garantire una maggiore chiarezza e per renderla maggiormente aderente al RGPD: in particolare, è stato evidenziato che il termine di conservazione dei dati trattati ai fini della cd. “e-mail di recall”, ivi previsto, è stato ridotto da due a un anno e che la ragione di tale periodo, pur ridotto, sarebbe da rinvenirsi nell'utilità per il singolo utente che effettua prenotazioni sul sito di Bluepillow, ribadendo, al contempo, che non è mai stata inviata all’interessato alcuna e-mail successiva a quella di “recall” trasmessa automaticamente a ridosso di un tentativo di prenotazione.

Infine, nel corso del procedimento, Bluepillow ha fatto pervenire copia del riscontro inviato al reclamante, a seguito dell’intervento di questa Autorità, in cui, oltre a porgere a quest’ultimo le scuse per l’inadeguato riscontro alle istanze iniziali, la Società fornisce chiarimenti sul trattamento effettuato, rispondendo in modo dettagliato alle domande del reclamante.

4. Esito del procedimento e conclusioni

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni e la documentazione fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare in toto i rilievi notificati e di disporre l’archiviazione del reclamo, non ricorrendo peraltro i casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

È stata, infatti, accertata l’illiceità del trattamento dei dati personali effettuato da Bluepillow, in particolare, per violazione degli artt. 5, 12, 13 e 30 del Regolamento. Con particolare riferimento alle informazioni fornite relativamente alla c.d. e-mail di “recall”, si osserva che quanto affermato dalla Società nelle memorie difensive (“il termine di conservazione previsto in 2 anni dall’ultimo contatto con l’utente per l’invio della mail di recall /carrello abbandonato ai sensi dell’articolo 130 comma 4 Codice Privacy […]”) riflette la qualificazione da parte di Bluepillow dell’e-mail di “recall/carrello abbandonato” come comunicazione per finalità di marketing, con conseguente inquadramento del relativo trattamento dei dati tra quelli a cui è applicabile la deroga riconosciuta all’art. 130, comma 4, del Codice “Privacy” (i.e. “[…]se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, debitamente informato, [non si opponga]”).

Come, invece, evidenziato nel recente provvedimento del Garante n. 576 del 17 luglio 2024, la base giuridica per questo tipo di trattamento è rappresentata più correttamente dall’art. 6, para. 1, lett. f) del RGPD (interesse legittimo); l’invio dell’e-mail di recall, non può, infatti, trovare fondamento nell’art. 130, comma 4, del Codice, non potendosi propriamente parlare di “servizi analoghi a quelli oggetto della vendita”; ciò in quanto, nel caso oggetto di reclamo non si è perfezionata, alcuna vendita, tant’è che la funzione dell’e-mail di “recall”, come rappresentato dalla stessa Società, è di far recuperare all’utente il carrello (contenente meri tentativi di prenotazione/acquisto) “abbandonato” per le ragioni più diverse.

Ad ogni modo, il testo dell’informativa è stato ulteriormente modificato nel corso del procedimento, tenendo conto anche delle interlocuzioni con l’Autorità in merito alla corretta indicazione della base giuridica dell’invio dell’e-mail di recall/carello abbandonato, non più riconducibile all’art. 130 del Codice - non potendosi considerare tale e-mail quale comunicazione per finalità di marketing - ma all’art. 6, para.1, lett. f) RGPD;

Tenuto conto di tutte le circostanze del caso, e in particolare, tenuto conto della natura, della gravità, della durata della violazione, che può essere considerata quale violazione “minore”, nonché del carattere meramente colposo della stessa e del grado di responsabilità, si ritiene sufficiente ammonire la società, ai sensi dell’art. 58, para. 2 lett. b) (cfr. Cons. 148 del RGPD), per la violazione delle disposizioni summenzionate.

L’autorità è giunta a tale conclusione all’esito dell’attività istruttoria e, in particolare, sulla base delle seguenti circostanze a favore della Società:

si è avuto conferma, anche durante l’ispezione, dello scambio di e-mail con la Società, in cui la stessa, sin da subito ha tentato di comprendere le questioni poste dall’interessato, offrendo a quest’ultimo più volte il proprio supporto; constatata l’inadeguatezza dei primi riscontri - dovuta peraltro anche all’insufficiente chiarezza delle richieste dell’interessato - è stato infine fornito riscontro completo alle istanze dell’interessato, benché in corso di procedimento, come risulta in atti;

l’informativa pubblicata sul sito è stata aggiornata e corretta, per garantire una maggiore chiarezza e per renderla maggiormente aderente al RGPD, risolvendo, tra l’altro, le incongruenze relative alla base giuridica sottesa alla raccolta di alcune tipologie di dati. A riguardo, è stato espunto il riferimento all’art. 130, comma 4, del Codice, quale base giuridica per l’invio della e-mail di “recall” (in linea con il provvedimento del Garante n. 576 del 17 luglio 2024, successivo al reclamo).

benché solo dopo l’avvio dell’istruttoria, il registro dei trattamenti di cui all’art. 30 RGPD, è stato istituito.

La Società ha dimostrato, inoltre, uno spirito ampiamente collaborativo nei confronti di questa Autorità al fine di porre rimedio alle violazioni e attivandosi per soddisfare le istanze dell’interessato (cfr. art. 83, para.2).

Dato che la condotta ha esaurito i suoi effetti e che la società ha fornito da ultimo riscontro all’interessato, non sussistono i presupposti per adottare ulteriori misure correttive.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a), rileva l’illiceità del trattamento effettuato da Bluepillow S.p.A. con sede legale in Milano, Ripa di Porta Ticinese, 63, P.I.09929610963, descritto nei termini di cui in motivazione, per la violazione degli artt. 12 ,15 e 5, par. 1, lett. a), 13 e 30 del Regolamento;

ai sensi dell’art. 58, para. 2 lett. b) del RGPD ammonisce Bluepillow, quale titolare del trattamento in questione, per aver effettuato un trattamento di dati personali in violazione della disciplina in materia di protezione dei dati personali;

ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione delle violazioni nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento.

Il presente provvedimento è adottato dal Garante, in qualità di autorità capofila nella procedura di cooperazione europea summenzionata, ai sensi dell’art. 60, par. 7, del RGPD, nonché dell’art. 143 del Codice, e in linea con quanto previsto dalle Linee Guida dell’EDPB n. 2/2022, sull’applicazione dell’art. 60 del Regolamento generale sulla protezione dei dati, adottate il 14 marzo 2022. Il medesimo provvedimento è notificato al titolare del trattamento in questione da questa Autorità e comunicato all’interessato per il tramite dell’autorità di Lussemburgo, che ha ricevuto il reclamo.

Ai sensi dell’art. 78 del Regolamento, nonché dell’art. 152 del Codice, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove il titolare risiede o ha sede ovvero presso quello del luogo di residenza dell'interessato entro il termine di sessanta giorni, se il ricorrente risiede fuori dal territorio italiano.

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Fanizza