[doc. web n. 9996609]

Provvedimento dell'8 febbraio 2024

Registro dei provvedimenti
n. 80 dell'8 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Claudio Filippi, vice segretario generale;

VISTO il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (c.d. direttiva ePrivacy), come modificata dalla direttiva 2009/136/CE del 25 novembre 2009, del Parlamento europeo e del Consiglio;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTO il decreto legislativo 28 maggio 2012, n. 69 “Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori”;

VISTE le Linee Guida del Garante per la protezione dei dati personali in materia di cookie e altri strumenti di tracciamento, del 10 giugno 2021 (di seguito anche Linee Guida Cookie);

VISTI i reclami pervenuti a questa Autorità;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. RICOSTRUZIONE DEGLI AVVENIMENTI

1.1. I reclami Noyb

Con dieci distinti reclami dell’agosto 2021 ai sensi dell’art. 77 del Regolamento (UE) 2016/679 (di seguito, GDPR) i sigg.ri Stefano Rossetti, Carmen Villarroel Luque e Maria Magierska, agendo individualmente, ma tutti comunque rappresentati dall’associazione austriaca senza scopo di lucro NOYB – European Center for Digital Rights, hanno lamentato una serie di presunte violazioni delle disposizioni in materia di cookie e altri strumenti di tracciamento.

Tali violazioni riguarderebbero i trattamenti di dati degli utenti effettuati nei siti https://www.leggioggi.it, https://www.theplan.it, https://www.lagazzettadeglientilocali.it; https://www.diritto.it; https://maggiolieditore.it; https://www.comuni.it; https://www.maggioli.it; https://www.ingegneri.cc/; https://www.ufficiocommercio.it e https://www.ilpersonale.it, tutti riconducibili a Maggioli S.p.A. (di seguito, anche “la Società”), cui l’associazione aveva già direttamente notificato le proprie doglianze in data precedente la presentazione dei reclami all’Autorità. Nel prosieguo, per semplicità espositiva, i dieci reclami saranno raggruppati tenuto conto delle violazioni contestate:

1.2. Le violazioni lamentate

1.2.1. Con riferimento al sito www.leggioggi.it, il reclamante ha contestato:

(i) l’assenza di un pulsante “rifiuta” sul primo livello del banner, con presenza di caselle preselezionate nel secondo livello;

(ii) l’adozione di una modalità di rifiuto dei cookie consistente in un link anziché in un pulsante, come invece nel caso di selezione dell’opzione "accetta tutto"; nel reclamo pervenuto all’Autorità si dà atto tuttavia che questa impostazione è stata modificata dalla società a seguito dell’interlocuzione diretta e dunque in data precedente la presentazione del reclamo al Garante;

(iii) l’utilizzo di colori “ingannevoli” dei pulsanti dedicati alle scelte degli utenti; al pari della precedente, anche questa impostazione è stata modificata dalla società a seguito della interlocuzione diretta con Noyb;

(iv) il contrasto ingannevole dei pulsanti dedicati alle scelte dell’utente; anche questa asserita illiceità è stata rimossa in fase precedente la presentazione del reclamo;

(v) il ricorso alla base giuridica del legittimo interesse di cui all’art. 6.1(f) del Regolamento “per le attività di trattamento rilevanti (ossia “Select basic ads”, “Create a personalised ads profile”, “Select personalised ads”, “Create a personalised content profile”, “Select personalised content”, “Measure ad performance”, “Measure content performance”, “Apply market research to generate audience insights”, “Develop and improve products”, “Personalised ads and content, ad and content measurement, audience insights and product development”, “Use precise geolocation data”, “Actively scan device characteristics for identification”)”, comunque celando la possibilità di esercizio del diritto di opzione ai sensi dell’art. 21 del Regolamento;

(vi) in relazione al consenso degli utenti, una procedura di revoca non agevole rispetto a quella adottata per il suo rilascio.

1.2.2. Con riferimento ai siti www.theplan.it, www.maggiolieditore.it, www.comuni.it, www.maggioli.it, il reclamante ha lamentato:

(i) l’assenza di un pulsante “rifiuta” sul primo livello del banner con presenza di caselle preselezionate nel secondo livello;

(ii) l’adozione di una modalità di rifiuto dei cookie consistente in un link anziché in un pulsante, come invece nel caso di selezione dell’opzione "accetta tutto";

(iii) l’utilizzo di colori “ingannevoli” dei pulsanti dedicati alle scelte degli utenti;

(iv) il contrasto ingannevole dei pulsanti dedicati alle scelte dell’utente;

(v) in relazione al consenso degli utenti, una procedura di revoca non agevole rispetto a quella adottata per il suo rilascio.

1.2.3. Infine, con riferimento ai siti www.lagazzettadeglientilocali.it, www.diritto.it, www.ingegneri.cc, www.ufficiocommercio.it e www.ilpersonale.it, il reclamante ha segnalato:

(i) l’assenza di un pulsante “rifiuta” sul primo livello del banner con presenza di caselle preselezionate nel secondo livello;

(ii) l’adozione di una modalità di rifiuto dei cookie consistente in un link anziché in un pulsante, come invece nel caso di selezione dell’opzione “accetta tutto”; nei reclami pervenuti all’Autorità si dà atto tuttavia che questa impostazione è stata modificata dalla società a seguito della interlocuzione diretta e dunque in data precedente la presentazione dei reclami al Garante;

(iii) l’utilizzo di colori “ingannevoli” dei pulsanti dedicati alle scelte degli utenti; al pari della precedente, anche questa impostazione è stata modificata dalla società a seguito della interlocuzione diretta con Noyb;

(iv) il contrasto ingannevole dei pulsanti dedicati alle scelte dell’utente; anche questa asserita illiceità è stata rimossa in fase precedente la presentazione dei reclami;

(v) il ricorso alla base giuridica del legittimo interesse di cui all’art. 6.1(f) del Regolamento “per le attività di trattamento rilevanti (ossia "Select basic ads", "Create a personalised ads profile", "Select personalised ads", "Create a personalised content profile", "Select personalised content", "Measure ad performance", "Measure content performance", "Apply market research to generate audience insights", "Develop and improve products", "Personalised ads and content, ad and content measurement, audience insights and product development", "Use precise geolocation data", "Actively scan device characteristics for identification”)”, comunque celando la possibilità di esercizio del diritto di opzione ai sensi dell’art. 21 del Regolamento.

2. ATTIVITÀ ISTRUTTORIA SVOLTA

2.1. L’attività ispettiva

Nei giorni 1 e 2 agosto 2022 l’Autorità ha effettuato un accertamento ispettivo presso la Società volto a verificare l’osservanza delle disposizioni in materia di protezione dei dati personali e, più in particolare, la modalità di implementazione della disciplina sui cookie e altri strumenti di tracciamento; ciò in considerazione sia dei menzionati reclami, sia delle Linee Guida in materia di cookie e altri strumenti di tracciamento adottate dall’Autorità il 10 giugno 2021. Questo provvedimento ha infatti concesso termine ai titolari fino al gennaio 2022 per conformare la propria condotta alle disposizioni di legge in materia, con particolare riguardo alle modalità di acquisizione e di registrazione del consenso on-line degli utenti per l’impiego di cookie e altri marcatori.

Nel corso di tale accertamento la Società si è riservata il deposito di ulteriori atti e documentazione e, pur adempiendovi nel termine concesso, ha assunto una nuova riserva su uno dei punti oggetto delle proprie difese. Con comunicazione del 23 dicembre 2022 l’Autorità ha pertanto richiesto alla società di fornire ulteriori elementi, essendosi resa necessaria l’acquisizione di specifici chiarimenti su talune delle questioni oggetto della precedente interlocuzione e, in particolar modo, sulle determinazioni assunte in ordine al punto oggetto di riserva. La società vi ha provveduto con comunicazione trasmessa al Garante il 30 gennaio 2023.

2.2. Il modello di business della Società e i correlati trattamenti, anche nell’interlocuzione con l’associazione reclamante.

Il gruppo Maggioli nasce nel campo dell’editoria di tipo tradizionale (stampa e commercializzazione di volumi), ma negli ultimi quindici anni circa ha espanso la propria attività orientandosi maggiormente, per una parte preponderante della propria operatività, verso il settore ICT, con l’obiettivo principale di fornire competenze e soluzioni necessarie per la transizione digitale del settore pubblico. La Società si articola in tre aree principali: ICT (business unit informatica), Digital Publishing e Servizi centrali Staff. Questi ultimi sono ulteriormente divisi in 9 aree (amministrativo, commerciale, compliance, privacy, ecc.). La Società è titolare attualmente di 47 domini Internet, alcuni dei quali accessibili anche da utenti autenticati oltre che da utenti che non dispongono di account e credenziali di accesso. Negli ultimi mesi, circa una decina di siti sono stati dismessi ovvero, in alcuni casi, accorpati in ragione di specifiche scelte imprenditoriali: erano quindi circa 60 più di un anno fa.

Nel maggio 2021, dieci di essi hanno costituito oggetto di interlocuzione con l’associazione no profit austriaca Noyb, la quale ha inviato via mail singole contestazioni relative a presunte illiceità nella implementazione, da parte della società, delle disposizioni in materia di impiego di cookie e altri strumenti di tracciamento.
La società ha replicato ai rilievi attraverso la piattaforma dedicata predisposta da Noyb medesima, ha effettuato alcune delle modifiche richieste ed ha prodotto agli atti del presente procedimento la prova di tale interlocuzione.

Segnatamente: la prima di esse ha interessato l’implementazione di un meccanismo di acquisizione del consenso alla ricezione dei cookie di profilazione terze parti conforme con le Linee Guida del Garante, a quell’epoca già conosciute perché poste in consultazione pubblica. È stata quindi predisposta una soluzione che, in adempimento del principio di privacy by default, consente all’utente di chiudere semplicemente il banner selezionando la “X”, senza prestare il consenso e dunque mantenendo le impostazioni di base, che non consentono l’installazione di cookie diversi dai tecnici.

Questa modifica non è stata tuttavia esplicitata nell’informativa resa all’utente, sia in forma breve che nella forma estesa posizionata nel secondo livello, ad eccezione dei due siti www.maggioli.it e www.maggiolieditore.it. La soluzione prescelta, in linea con quanto contenuto nelle Linee Guida del Garante, è diversa da quella auspicata da Noyb, che richiedeva l’implementazione, nel banner, di un pulsante “rifiuta” o simili. Per questa ragione, e diversamente da quanto avvenuto con riferimento ad altre contestazioni, la modifica effettuata su questo specifico punto non è stata oggetto di comunicazione di avvenuta adesione alle richieste di Noyb. A seguito di questa interlocuzione, non sono intercorsi ulteriori contatti con Noyb, né la Società ha ricevuto reclami o segnalazioni di tenore analogo da parte di altri interessati.

Al momento delle verifiche effettuate dall’Ufficio, la Società si avvaleva, in relazione a tutti i siti di sua proprietà, in qualità di intermediario, della piattaforma per la gestione dei consensi elaborata da OneTrust. I rapporti con tale piattaforma erano disciplinati contrattualmente dall’accordo del 4 agosto 2020 e successivi rinnovi annuali.

2.3. Le verifiche effettuate

Con riferimento ai siti oggetto delle contestazioni di Noyb, occorre innanzitutto precisare che, come già indicato e come riconosciuto dalla stessa Associazione, la maggior parte delle contestazioni mosse sono state risolte dalla società già prima della proposizione dei reclami al Garante. Inoltre, l’entrata in vigore delle Linee Guida sui cookie e altri strumenti di tracciamento, successiva all’inoltro dei reclami, ha imposto al titolare l’adozione di accorgimenti e modalità idonei a conformare il trattamento dei dati degli utenti effettuati per il tramite di cookie alle indicazioni in esse contenute, ed è dunque soprattutto alla luce di queste indicazioni che l’Autorità ha condotto la valutazione circa la liceità dei trattamenti in questione.

È stato accertato al riguardo che, oltre a cookie di tipo tecnico indispensabili per il loro funzionamento, la Società non utilizza cookie di profilazione prima parte, né effettua trattamenti di profilazione degli utenti sui propri siti avvalendosi di cookie di terze parti: al contrario, sono le terze parti che si avvalgono di cookie propri, cioè delle stesse terze parti, veicolati per il tramite dei siti Maggioli, per effettuare trattamenti di profilazione riferibili alle terze parti medesime. Nel corso della complessiva attività istruttoria è stato accertato inoltre che l’archiviazione di cookie terze parti nei dispositivi degli utenti avviene su 8 dei 10 siti oggetto di indagine, ad esclusione dunque dei siti www.maggioli.it e www.maggiolieditore.it.

Per la realizzazione delle proprie campagne promozionali on-line, la società si avvale infatti esclusivamente dello strumento Google Adwords, basato sull’impiego di parole chiave (keywords) e che dunque non presuppone l’impiego di cookie. Per quanto riguarda l’invio di newsletter, esso avviene a seguito della compilazione di un apposito form da parte dei soggetti che intendano riceverla e pertanto, anche in questo caso, non vengono utilizzati cookie.

È stato chiarito inoltre che, già al momento della verifica ispettiva, uno dei dieci siti in questione, segnatamente www.ingegneri.cc, non risultava più attivo, in quanto accorpato ad altro sito (www.ediltecnico.it).

È stato altresì verificato che la piattaforma OneTrust forniva anche un servizio di classificazione dei cookie impiegati dal singolo sito sulla base di un database denominato cookiepedia, che “legge” i cookie utilizzati dal dominio e li interpreta alla luce di una nomenclatura preesistente, attribuendo loro una denominazione il più possibile uniforme, o quantomeno comune almeno tra gli associati del framework.

Tale classificazione era determinata ed imposta da OneTrust e si articola in 4 categorie, peraltro riportate nella cookie policy pubblicata sui siti del gruppo: cookie strettamente necessari, di funzionalità, utilizzati per pubblicità mirata, cookie di prestazioni. È tuttavia possibile modificarle, seppure ciascuna di esse sia generata attraverso uno script di OneTrust. I cookie utilizzati sui siti di Maggioli venivano rilevati ed interpretati da OneTrust mediante comparazione con il proprio database preesistente (Cookiepedia), in modo da poterli successivamente classificare come appartenenti all’una o all’altra delle quattro categorie menzionate. Solo nell’eventualità in cui OneTrust non fosse in grado di effettuare questa comparazione e dunque di identificare un cookie poiché non presente in Cookiepedia, lo imputava di default al titolare Maggioli, etichettandolo come un cookie prima parte della società.

Questa procedura poteva dunque causare degli errori poiché tutti i cookie di terze parti non censiti in precedenza su cookiepedia potevano essere classificati come direttamente riferibili alla Società. Di tale inconveniente quest’ultima si è accorta, ad esempio, con riferimento ad un cookie non tecnico riconducibile a Facebook, dunque un cookie di profilazione terza parte, che tuttavia era stato classificato da OneTrust come cookie prima parte di Maggioli stessa. L’errore ha pertanto riguardato non la qualificazione funzionale del cookie, bensì la sua imputabilità ad un soggetto in luogo di un altro ed è stato successivamente sanato.

Nel corso dell’ispezione è stato accertato che nell’informativa allora disponibile nei siti della società, di cui sono stati acquisiti i relativi screenshot comprensivi, sito per sito, anche dell’informativa come appariva al 31 maggio 2021 al momento della ricezione delle contestazioni di Noyb (All. 3 al verbale di operazioni compiute del 3 agosto 2022), si affermava “Noi e i nostri partner conserviamo e/o accediamo alle informazioni su un dispositivo, come gli ID univoci nei cookie per il trattamento dei dati personali. È possibile accettare o gestire le vostre scelte cliccando qui sotto, compreso il vostro diritto di opporvi in caso di utilizzo di interessi legittimi”.
È stato verificato anche che sia l’informativa breve presente all’interno del banner sia la cookie policy estesa presente nel secondo livello sono state predisposte e gestite da OneTrust secondo un modello pro-forma e che una parte dell’informativa, segnatamente quella sopra riportata, non era editabile direttamente ed autonomamente da Maggioli da pannello di controllo (cfr. al riguardo gli screenshot, sub all. 4 al verbale di operazioni compiute).

Tale rigidità del framework poteva essere tuttavia, in genere, superata mediante la richiesta, formulata a OneTrust, di apertura di uno specifico ticket, in modo da modificare l’informativa rendendola conforme alla situazione di fatto come rappresentata.

È emerso che la società ha fatto ricorso alla base giuridica del legittimo interesse, menzionata nell’informativa, esclusivamente per l’impiego di cookie tecnici prima parte. Tale base giuridica non era riportata nella privacy policy estesa, ma era chiaramente indicata nell’info breve contenuta nel banner.

A seguito dell’entrata in vigore delle Linee Guida del Garante sull’impiego di cookie la Società ha implementato una serie di misure, tra le quali, oltre al meccanismo della X già menzionato, posto in essere già in epoca precedente allo scadere del termine concesso dall’Autorità per la implementazione delle misure indicate e comunque ulteriormente migliorato dopo il gennaio 2022 tramite l’effettuazione di una modifica cromatica che ha reso più visibile il relativo comando, è stata introdotta l’icona relativa allo stato dei consensi su tutti i siti sui quali non era ancora presente; è stato effettuato un upgrade cromatico dei pulsanti; sono state adottate modifiche di usabilità, ad esempio quanto alla reiterazione del banner, per rendere le configurazioni adottate più in linea con le indicazioni del Garante.

In sede di verifica ispettiva sono state effettuate specifici controlli mediante accesso ai sistemi informatici all’esito dei quali non sono state riscontrate criticità quanto alle modalità di registrazione dei consensi ottenuti ovvero di revoca di quelli ottenuti in precedenza.

3.    MODIFICHE APPORTATE A SEGUITO DELL’ACCERTAMENTO ISPETTIVO E ISTANZA DI ACCESSO AGLI ATTI

Con comunicazione del 5 settembre 2022, a scioglimento delle riserve assunte, Maggioli S.p.A. ha dichiarato:

- di aver provveduto alla modifica ed aggiornamento delle cookie policy dei siti oggetto di contestazione (come da allegati 14, 15, 16, 17, 18, 19, 20, 21, 22 e 23 alla comunicazione del 5 settembre 2022); tale modifica ha comportato la riduzione a due delle quattro categorie di cookie descritte (distinte, ora, in tecnici e di profilazione), “in modo da fornire informazioni complete e maggiormente comprensibili per gli utenti”;

- di aver effettuato alcune modifiche relative alla classificazione di cookie di terza parte, erroneamente classificati dallo strumento automatico di OneTrust come cookie di prima parte;

- di aver implementato, all’interno della privacy policy dei siti, l’aggiunta di una sezione dedicata ai cookie con il link alla rispettiva cookie policy (allegati 24, 25, 26, 27, 28, 29, 30, 31, 32 e 33 alla comunicazione del 5 settembre 2022).

Da ultimo, la società ha dichiarato di aver richiesto a OneTrust, mediante apertura di specifico ticket, la modifica del testo del banner cookie di primo livello relativo a 8 dei 10 siti in questione (cfr. all. 34 e 35 della comunicazione del 5 settembre 2022).

Tuttavia, e “nonostante le insistenze di Maggioli, il fornitore non ha provveduto, ritenendo il testo del banner non conforme al framework IAB”. Ciò che ha comportato la contestazione di inadempimento contrattuale, da parte della società a OneTrust, cui è stata pertanto trasmessa formale comunicazione di recesso dal contratto, con contestuale ricerca di nuovo fornitore (all. 36 della comunicazione al Garante del 5 settembre 2022). Sugli esiti di tale ricerca, la società si è nuovamente riservata di tenere aggiornata l’Autorità.

In data 10 novembre 2022 la Società ha poi proposto istanza di accesso agli atti per ottenere copia dei reclami e relativi allegati oggetto delle attività istruttorie in questione. A tale istanza è stato reso riscontro il 21 novembre, con contestuale inoltro dei documenti richiesti.

Successivamente, sullo specifico punto sul quale Maggioli S.p.A. aveva assunto riserva, in assenza di maggiori indicazioni di dettaglio e perdurando per l’Autorità lo stato di attesa di indicazioni, il Garante ha inviato, in data 23 dicembre 2022, una richiesta di informazioni ai sensi dell’art 157 del Codice, cui Maggioli S.p.A. ha reso riscontro nel termine stabilito (30 gennaio 2023).

Con la medesima comunicazione del 30 gennaio, poi, la Società, con riguardo alle contestazioni dell’associazione reclamante, ha tra l’altro chiarito di aver effettuato, già fin dalla data del 30 giugno 2021, le seguenti modifiche:

- in merito alla contestazione circa l’asserito design ingannevole del link: la società ha sostituito il link ipertestuale “gestisci preferenze” con un apposito pulsante;

- in merito alla contestazione circa l’adozione di colori dei pulsanti ingannevoli: la società ha provveduto ad uniformare i colori dei pulsanti del banner, che si presentano in blu - fatta eccezione per la “X” - in linea con i colori aziendali;

- in merito alla contestazione relativa al contrasto dei pulsanti ingannevole: la società ha provveduto a definire le stesse dimensioni per i pulsanti del banner;

- in merito alla contestazione circa l’implementazione di un meccanismo di revoca del consenso non agevole: la società ha installato l’icona che consente agli utenti di ritornare sul banner per modificare le scelte espresse; tale icona è raggiungibile da tutte le pagine dei siti oggetto di reclamo.

4. NOTIFICA DELLA VIOLAZIONE AI SENSI DELL’ART. 166, COMMA 5, DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

In base a quanto è stato possibile accertare in loco ed a seguito dell’esame della documentazione prodotta anche in sede di supplemento di attività istruttoria, con comunicazione del 30 maggio 2023 l’Autorità ha provveduto alla formale notifica alla Società della comunicazione di avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice, che qui si intende integralmente richiamata e riprodotta, contestando le violazioni di seguito illustrate.

Innanzitutto è stato contestato che, con riferimento a otto dei dieci siti web nella titolarità della Società, risultasse omessa ogni indicazione relativa al significato da attribuire alla selezione del comando contraddistinto da una X, posto all’interno del banner; con conseguente violazione del principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) nonché degli artt. 12 e 13 del Regolamento.

Anche l’informativa breve resa disponibile è risultata fuorviante ed erronea, poiché menzionava, per i trattamenti di profilazione effettuati per il tramite di cookie, il ricorso alla base giuridica del legittimo interesse e il relativo diritto di opposizione, in realtà inconfigurabili nella specie, dal momento che l’impiego di cookie diversi dai tecnici impone l’obbligo dell’acquisizione del preventivo consenso informato dell’utente ai sensi della disciplina di carattere speciale di cui all’art. 122 del Codice. La configurazione dei siti web in questione è risultata, allora, illecita in quanto in violazione del principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), e delle disposizioni di cui agli artt. 12 e 13 del Regolamento, nonché dello stesso art. 122 del Codice che impone, appunto, l’obbligo di acquisizione del consenso escludendo il ricorso alla base giuridica del legittimo interesse; come pure degli artt. 4, punto 11 e 7 del Regolamento che definiscono le caratteristiche e le condizioni di quel consenso.

Nella qualità di titolare, pubblicando nei propri siti un banner non rispettoso delle norme, predisposto dal fornitore One Trust, Maggioli S.p.A. ha violato gli artt. 5, par. 2, 24 e 25 e, in riferimento alla selezione di un partner tecnologico, quale responsabile, che non ha garantito la conformità dei trattamenti di dati effettuati alla disciplina applicabile, anche l’art. 28 del Regolamento.

In conclusione, alla luce di quanto sopra, è stato contestato a Maggioli S.p.A. che la condotta della società, in difformità anche dalle indicazioni contenute nelle Linee guida cookie, ha costituito una violazione delle disposizioni di cui agli artt. 4 punto 11; 5; 7; 12; 13; 24; 25 e 28 del Regolamento e dell’art. 122 del Codice.

5. LE MEMORIE DIFENSIVE DI MAGGIOLI S.P.A.

La Società ha replicato con memoria del 29 giugno 2023, affermando quanto segue:

a) di aver stipulato un contratto con nuovo fornitore di CMP, Iubenda S.r.l., in data 11 maggio 2023, in forza del quale è stata implementata una “soluzione che consente l’erogazione agli utenti delle informative sui cookie (breve ed estesa), così come previsto dalla normativa vigente, per tutti i 7 siti oggetto del presente fascicolo istruttorio”; al riguardo, ha sottolineato comunque che “nelle more del cambio di fornitore … aveva tuttavia già provveduto a cambiare - prima della notifica dell’avvio del procedimento - il testo del banner breve visibile sui siti in questione, eliminando il riferimento alla base giuridica del legittimo interesse per il trattamento relativo ai cookie”;

b) che l’omessa informativa agli utenti circa il significato da attribuire alla selezione del comando contraddistinto dalla X posto all’interno del banner non ha comportato alcuna violazione, dal momento che è ormai noto agli utenti del web che il comando in questione comporta la prosecuzione della navigazione in assenza di cookie di tracciamento;

c) con riferimento alla menzione del legittimo interesse quale base giuridica del trattamento, già nel corso dell’accertamento ispettivo la Società si è adoperata per la modifica in questione, con l’effetto che “al momento della notifica dell’apertura del procedimento, tale indicazione non era più presente”; fermo restando, comunque, che di fatto e in termini concreti la base giuridica effettivamente utilizzata per l’installazione di cookie diversi dai tecnici cui Maggioli S.p.A. ha fatto ricorso è sempre stata il consenso dell’utente; ad ogni buon conto, il passaggio al nuovo fornitore non ha comportato “alcuna attività di migrazione dei consensi già acquisiti all’installazione di cookie di profilazione dal momento che vengono presentati agli utenti nuovi banner”;

d) che “le contestazioni di NOYB nascono da quello che - in tutta evidenza - può essere ritenuto un abuso del diritto”, dal momento che “Maggioli si è da subito attivata dopo le contestazioni originarie … Tra l’altro dalla lettura dei reclami la Società ha verificato che il contenuto risultava essere il medesimo delle contestazioni inizialmente formulate dall’associazione reclamante, nonostante fossero state già compiute importanti azioni di miglioramento, appositamente segnalate nei tempi richiesti sulla piattaforma di Noyb (e dichiarate in sede di ispezione)”.

Infine, la Società ha chiesto la fissazione di apposita audizione ai sensi dell’art. 166, comma 6, D. lgs. 196/2003. L’Autorità vi ha provveduto comunicando, il 18 ottobre 2023, che l’audizione si sarebbe tenuta il successivo 26 ottobre. Alla data stabilita, tuttavia, la Società- senza comunicare al riguardo alcun impedimento - non è comparsa, come da verbale redatto in pari data ed allegato agli atti del procedimento.

6. LE VALUTAZIONI DELL’AUTORITÀ

Con riferimento ai profili fattuali e giuridici evidenziati, anche in base alle affermazioni rese dalle Società in corso di istruttoria, di cui la dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

Si deve innanzitutto precisare che le argomentazioni addotte dalla Società non appaiono idonee ad escludere integralmente la responsabilità della medesima in relazione alle condotte contestate.

Al momento delle verifiche, successive alla ricezione dei reclami Noyb come pure all’entrata in vigore delle indicazioni e dei chiarimenti resi nelle Linee Guida del Garante in materia di cookie e altri strumenti di tracciamento, otto dei dieci siti oggetto della presente istruttoria, e segnatamente https://www.leggioggi.it; https://www.theplan.it; https://www.lagazzettadeglienti locali.it;  https://www.diritto.it; https://www.comuni.it (oggi www.servizidemografici.it); https:/ /www.ingegneri.cc/ (poi www.ediltecno.it, ad oggi dismesso); https://www.ufficiocommercio.it e https://www.ilpersonale.it, non riportavano nel banner alcuna indicazione circa la possibilità per l’utente di utilizzare il comando rappresentato dalla “X”, posta al suo interno, per proseguire la navigazione lasciando inalterate le impostazioni di default che non implicano l’accettazione di cookie di profilazione.

Al riguardo, occorre sottolineare che l’art. 5, par. 1, del Regolamento individua i principi fondamentali applicabili a qualsiasi trattamento di dati personali. Ai sensi di questa disposizione, i dati personali devono essere, tra l’altro, (i) trattati in modo lecito, corretto e trasparente (principio di liceità, correttezza e trasparenza); (ii) trattati per finalità determinate, esplicite e legittime e (iii) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione).

In particolare, il principio di trasparenza si traduce nell’obbligo, che grava sul titolare del trattamento, di fornire all’interessato tutte le informazioni inerenti al trattamento dei dati personali che lo riguardano in modo accessibile e comprensibile, rendendolo edotto, tra l’altro, delle informazioni indicate agli artt. 12 e 13 del Regolamento, al fine di conseguire la più ampia, piena consapevolezza dell’interessato sia in ordine ai trattamenti delle sue informazioni di carattere personale sia in relazione alle scelte che gli competono ai sensi della disciplina di legge.

Quanto al principio di correttezza, esso implica innanzitutto che il titolare adotti una condotta sempre rigorosamente rispettosa del dettato normativo nonché orientata alla massima tutela dei diritti e delle libertà degli interessati.

Nel caso di specie, l’assenza di una indicazione chiara circa la possibilità di proseguire la navigazione senza accettare di essere profilati non assicura la piena consapevolezza dell’utente sulle scelte nella sua disponibilità.

Aver omesso di informare l’utente circa il significato da attribuire alla selezione del comando contrassegnato dalla “X” viola dunque il principio di liceità, correttezza e trasparenza di cui all’art. 5, par. 1, lett. a) nonché gli artt. 12 e 13 del Regolamento.

All’interno del banner era inoltre presente una informativa breve del seguente, letterale tenore: “Noi e i nostri partner conserviamo e/o accediamo alle informazioni su un dispositivo, come gli ID univoci nei cookie per il trattamento dei dati personali. È possibile accettare o gestire le vostre scelte cliccando qui sotto, compreso il vostro diritto di opporvi in caso di utilizzo di interessi legittimi …” (vedi all. n. 3 al verbale di operazioni compiute del 2 agosto 2022).

Tale dicitura, e innanzitutto la menzione del legittimo interesse quale base giuridica applicabile ai trattamenti dei dati degli utenti effettuati per il tramite di cookie diversi dai tecnici risulta erronea e fuorviante, dunque illecita in quanto in violazione del principio di liceità, correttezza e trasparenza del trattamento di cui all’art. 5, par. 1, lett. a), e delle disposizioni di cui agli artt. 12 e 13 del Regolamento, nonché dello stesso art. 122 del Codice che impone, nella fattispecie, l’obbligo di acquisizione del consenso escludendo il ricorso alla base giuridica del legittimo interesse; come pure degli artt. 4, punto 11 e 7 del Regolamento che definiscono le caratteristiche e le condizioni del consenso che deve essere prestato dall’interessato.

In effetti, sulla base di tali disposizioni, il consenso eventualmente acquisito sulla base di indicazioni fuorvianti non può reputarsi valido.

Si dà atto che la società, già nel corso dell’accertamento ispettivo, ma soprattutto in fase successiva, si è avveduta della non conformità della propria condotta agli obblighi che gravano sul titolare ai sensi delle norme citate, adoperandosi per ottenere la modifica dell’informativa in questione (un possibile testo maggiormente in linea con il dettato normativo è stato, infatti, predisposto già nel corso dell’ispezione ad opera della società ed allegato sub doc. 5 al verbale di operazioni compiute del 2 agosto 2022). Si dà atto pure che tale criticità risulta ad oggi sanata.

In effetti, a fronte del diniego opposto da OneTrust alle richieste di modifica delle indicazioni oggetto di pubblicazione sui propri siti, la Società ha esercitato il diritto di recesso dal contratto in vigore, pur limitandosi a dichiarare, al riguardo, dapprima di aver avviato una attività di ricerca di un nuovo fornitore e successivamente, nella comunicazione del 30 gennaio 2023, ad elencare diversi potenziali fornitori, restando “in attesa di ricevere gli ultimi riscontri dai fornitori interpellati”. Solo in data ancora successiva, cioè all’esito della ricezione della comunicazione di avvio del procedimento, con le memorie del 29 giugno 2023, Maggioli S.p.A. ha comunicato l’avvenuto avvicendamento dei fornitori e la sostituzione del proprio partner tecnologico con un nuovo, diverso soggetto il quale ha implementato una diversa tipologia di banner.

Sennonché anche all’esito del supplemento istruttorio deve rilevarsi, al riguardo, che ai sensi degli artt. 24 e 25 del Regolamento compete al titolare, come definito all’art. 4, par. 1, punto 7) del Regolamento, non soltanto la determinazione delle finalità e dei mezzi del trattamento, ma anche l’individuazione di tutte le misure più appropriate per conseguire il duplice obiettivo del rispetto delle norme e della tutela dei diritti e delle libertà degli interessati. Su tale soggetto, in base all’art. 5, par. 2 del Regolamento, grava inoltre l’obbligo di rispettare tutti i principi di protezione dati e di dimostrarlo.

La società titolare, pubblicando nei propri siti un banner non rispettoso delle norme, ha pertanto comunque violato gli artt.5, par. 2, 24 e 25 del Regolamento.

Ancora alla luce di una disposizione del Regolamento, e segnatamente del suo art. 28, è necessario interpretare i rapporti tra Maggioli S.p.A. e OneTrust, fornitore che, nella pattuizione in essere all’epoca dei fatti, rivestiva la qualifica di responsabile del trattamento dei dati nella titolarità della società. Dispone, infatti, l’art. 1.2 dell’“Allegato 1 – addendum sul trattamento dei dati” alle Condizioni generali di contratto allegate al contratto sottoscritto tra le parti nell’agosto 2020, e successivamente assoggettato a rinnovi annuali senza soluzione di continuità, rubricato “Rapporti tra le parti”, che “Il Cliente (il titolare del trattamento) designa OneTrust come responsabile del trattamento dei dati personali descritti nel contratto (i “Dati”) ai fin indicati nel Contratto (o come altrimenti concordato per iscritto dalle parti) (la “Finalità consentita”). Ciascuna parte deve conformarsi agli obblighi previsti ai sensi della normativa applicabile sulla protezione dei dati …”.

Ne consegue che, così documentalmente definita l’interrelazione tra la Società e OneTrust, deve riconoscersi in capo al titolare la responsabilità della gestione del trattamento effettuata dal responsabile che ha nominato, dovendo il titolare affidarsi, per ricoprire tale ruolo, a soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse. Che garantiscano, cioè, che il titolare possa, anche per il loro tramite, mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (cfr. considerando 81 del Regolamento), e adottare decisioni conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili, pena l’imputabilità ad esso della culpa in eligendo oltre che della culpa in vigilando, entrambe ricorrenti nella specie. L’aver individuato un responsabile che ha predisposto un banner non conforme alle norme applicabili, non essersi avveduta dell’illecito, dunque non aver adottato le misure tecniche e organizzative adeguate, qualifica come illecita la condotta della società poiché in violazione degli artt. 24, 25 e 28 del Regolamento.

È tuttavia doveroso tenere in considerazione, al riguardo, che la Società ha fatto ricorso alla base giuridica del legittimo interesse soltanto in relazione all’impiego di cookie tecnici e non di profilazione - essendo peraltro i cookie tecnici, ai sensi delle Linee guida, esentati dall’obbligo della preventiva acquisizione del consenso dell’utente - e pertanto, fatto salvo quanto indicato con riguardo all’informativa, pur avendo erroneamente qualificato la base giuridica, la Società di fatto ha, sotto questo profilo, trattato i dati in conformità alle norme.

Ne consegue che, qualificata errata la menzione del legittimo interesse del titolare e dunque fuorviante ed errata l’informativa resa al riguardo, si deve comunque tener conto del fatto che tale condotta non ha comportato danni per gli interessati.

In conclusione, alla luce di quanto sopra, la condotta di Maggioli S.p.A., in difformità anche dalle indicazioni contenute nelle Linee guida cookie, costituisce pertanto una violazione delle disposizioni di cui agli artt. 4 punto 11; 5; 7; 12; 13; 24; 25 e 28 del Regolamento e dell’art. 122 del Codice.

7. Valutazioni conclusive

Per quanto sopra esposto si ritiene accertata la responsabilità della Società Maggioli S.p.A. in ordine alle violazioni contestate.

Tuttavia, tenendo pure in conto:

- che, a seguito della ricezione dei reclami Noyb, e in data precedente all’avvio dell’istruttoria presso questa Autorità, il titolare si è tempestivamente adoperato per effettuare l’implementazione di alcune delle modifiche richieste dai reclamanti per la messa in conformità dei diversi siti nella titolarità della Società;

- che l’erronea indicazione del legittimo interesse quale base giuridica del trattamento dei dati degli utenti ha riguardato esclusivamente l’impiego di cookie tecnici e pertanto non ha comportato danni per gli interessati;

- che, in assenza di dolo, la Società ha erroneamente ritenuto sufficiente affidarsi a un partner tecnologico, nominato responsabile, il quale tuttavia alla prova dei fatti non ha adempiuto alle richieste del titolare volte alla messa in conformità dei siti in questione;

- che al riguardo Maggioli S.p.A., avvedutasi - anche a seguito dell’attività di accertamento ispettivo - degli illeciti e preso atto del rifiuto di OneTrust di adottare le modifiche richieste per rendere i siti conformi alla disciplina di legge, ha esercitato il diritto di recesso dal contratto in essere provvedendo alla stipulazione, l’11 maggio 2023, di un nuovo contratto con altro fornitore di CMP, Iubenda S.r.l.;

- che a seguito di tale avvicendamento i consensi già acquisiti sono stati azzerati e agli utenti sono stati presentati ex novo i banner come risultanti all’esito delle modifiche implementate;

- che nel corso dell’intero procedimento, ivi compresa la fase delle verifiche ispettive, la Società ha evidenziato un atteggiamento di disponibilità e cooperazione con l’Autorità volto alla più efficace risoluzione delle criticità indicate;

- che non risultano essere pervenute ulteriori segnalazioni o reclami né presso l’Autorità né direttamente al titolare in relazione ai trattamenti di dati oggetto del presente procedimento,

si ritiene di poter soprassedere dall’applicazione di una sanzione amministrativo-pecuniaria e, verificato che attualmente tutti i siti nella titolarità della Società risultano conformi alla disciplina di legge in materia di cookie e altri strumenti di tracciamento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, di rivolgere un ammonimento a Maggioli S.p.A. affinché in ordine alle violazioni sopra riscontrate della disciplina vigente.

TUTTO CIÒ PREMESSO, IL GARANTE:

accertata l’illiceità, nei termini di cui in motivazione, dei trattamenti effettuati da Maggioli S.p.A., con sede legale in Santarcangelo di Romagna (RN), Via del Carpino 8, C.F. 06188330150, P. IVA 02066400405, in persona del legale rappresentate pro tempore, ai sensi dell’art. 58, par. 2, lett. b), rivolge un ammonimento a Maggioli S.p.A. in relazione ai seguenti profili di illiceità specificatamente descritti in motivazione: 

- la mancata indicazione, nell’informativa agli interessati, della possibilità di utilizzare il comando contraddistinto dal segno grafico “X” posto all’interno del banner per continuare la navigazione in assenza di tracciamento;

- l’errata menzione della base giuridica del legittimo interesse per il trattamento dei dati degli utenti per il tramite di cookie;

- l’individuazione di un responsabile del trattamento carente dei requisiti imposti dalla disciplina vigente.

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure correttive.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n.150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi