[doc. web n. 10171713]

Provvedimento del 4 giugno 2025

Registro dei provvedimenti
n. 328 del 4 giugno 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.gpdp.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida cookie, anche alla luce dei numerosi reclami e segnalazioni pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce, della commercializzazione di autoveicoli, nonché dei trattamenti svolti da operatori turistici e aziende di trasporto terrestre, marittimo ed aereo;

VISTA la nota n. 38468 del 3 marzo 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari degli accertamenti, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 130776 del 21 settembre 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato ed uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Centrauto Cancellieri 2 S.r.l. è stata indicata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 30 novembre 2023 in relazione al sito internet www.centrautocancellieri.it;

CONSIDERATO che in tale sede è emerso quanto segue:

1) al primo accesso al sito appariva, sulla home-page, un banner a comparsa immediata sull’utilizzo dei cookie recante la dicitura “Questo sito utilizza cookie tecnici e di profilazione, anche di terze parti, per monitorare e personalizzare l’esperienza di navigazione. Proseguendo con la navigazione o cliccando su qualsiasi elemento, acconsenti all’utilizzo dei cookie. Per negare il consenso o sapere quali cookie utilizziamo, clicca sul pulsante rosso qui a fianco”;

2) il banner conteneva il comando “OK” di colore verde e il pulsante “Pagina Informativa sui cookie e su come rifiutarli” di colore rosso;

3) cliccando sul comando “Pagina Informativa sui cookie e su come rifiutarli”, si apriva automaticamente una nuova scheda del browser che consentiva di consultare la «Informativa d.L. 30 giugno 2003 n. 196 “CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI»;

4) nel footer del sito era presente il link “Privacy e cookie” che rimandava all’informativa di cui al precedente punto n. 3);

5) anche in calce al form utile alla richiesta di informazioni - presente nella sezione dedicata ai contatti - era visibile il link di collegamento “Letto l’informativa sulla privacy” che consentiva di consultare l’informativa di cui al precedente punto n. 3);

6) tramite la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato, raggiungibile all’indirizzo URL “chrome://settings/content/all”, risultava che il sito faceva uso di cookie;

CONSIDERATO altresì che, all’esito di un ulteriore accesso al sito www.centrautocancellieri.it, successivo all’accertamento effettuato dal Nucleo speciale privacy della Guardia di Finanza, è emerso che era stato implementato un banner che consentiva all’utente di esprimere un consenso personalizzato all’utilizzo dei cookie diversi da quelli tecnici oppure di chiudere il medesimo banner, continuando la navigazione con le impostazioni default, senza l’utilizzo di cookie diversi da quelli di natura tecnica; che, inoltre, le informative sul trattamento dei dati personali erano state aggiornate alla più recente normativa;

VISTA la nota del 29 marzo 2024 con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Centrauto Cancellieri 2 S.r.l. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché nel contrasto con le Linee guida cookie, riconducibili all’utilizzo di un banner che non consentiva all’utente la prosecuzione della navigazione mantenendo le impostazioni di default, che non presuppongono l’impiego di cookie diversi da quelli tecnici, oppure di esprimere un valido consenso all’utilizzo dei cookie di natura diversa da quella tecnica; nonché all’utilizzo di un’informativa obsoleta e recante riferimenti normativi non più attuali;

CONSIDERATO che il titolare non ha presentato scritti difensivi e non ha richiesto di essere sentito dall’Autorità ai sensi degli artt. 166, comma 6, del Codice e 13, comma 1, del reg. interno n. 1/2019 (disponibile per la consultazione sul sito www.gpdp.it, doc. web n.  9107633);

RITENUTO che la condotta posta in essere dal titolare del trattamento abbia configurato una violazione degli artt. 4, punto 11; 5; 7; 12; 13; 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie;

CONSIDERATO tuttavia l’apprezzabile sforzo del titolare di adeguarsi spontaneamente alla normativa vigente in materia di protezione dei dati ancora prima della notifica della contestazione da parte dell’Autorità;

RITENUTO, dunque:

a) che le misure adottate dal titolare siano idonee a rimuovere le criticità sopra segnalate e, pertanto, di non dover prescrivere ulteriori misure correttive al riguardo;

b) in ragione delle specificità dell’accertamento, di poter prescindere nel caso di specie dall’adozione di misure di carattere sanzionatorio pecuniario, limitandosi a rivolgere alla Centrauto Cancellieri 2 S.r.l. un ammonimento, ai sensi di cui all’art. 58, par. 2, lett. b) del Regolamento, per l’inosservanza delle disposizioni previste in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento rilevata nell’ambito dell’istruttoria;

RITENUTO che ricorrano i presupposti per procedere all’annotazione nel registro interno dell’Autorità di cui all’art. 57, par. 1, lett. u), del Regolamento, relativamente alle misure adottate nel caso di specie nei confronti di Centrauto Cancellieri 2 S.r.l. in conformità all’art. 58, par. 2, del Regolamento medesimo;

VISTA la documentazione in atti;

VISTE le osservazioni formulate ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

a)  reputate adeguate le misure adottate dal titolare per rimuovere le criticità evidenziate con l’atto di contestazione, ritiene di non dover prescrivere ulteriori azioni al riguardo;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento rivolge un ammonimento a Centrauto Cancellieri 2 S.r.l., con sede legale in Femignaro (PU), Via Metauro, 1, P.IVA 02450290412, in qualità di titolare del trattamento, per l’inosservanza delle disposizioni vigenti in materia di trattamento dei dati personali mediante l’utilizzo di cookie e altri strumenti di tracciamento, come meglio indicato nella parte motiva;

DISPONE

ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 4 giugno 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia 

IL SEGRETARIO GENERALE REGGENTE
Filippi