[doc. web n. 10027096]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 112 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. GLI ATTI PERVENUTI ALL’AUTORITÀ E L’ISTRUTTORIA PRELIMINARE CONDOTTA.

Nell’ambito dell’istruttoria attivata dall’Autorità in merito ad alcuni reclami proposti nei confronti di Italiaonline S.p.A. (di seguito “Società” o “Italiaonline”) – in particolare quello presentato dal sig. XX e diretto ad ottenere la rimozione di alcuni risultati di ricerca reperibili in associazione al proprio nominativo tramite i portali Libero e Virgilio – la Società, in riscontro ad una richiesta di informazioni inviata dall’Autorità, ha dichiarato, con nota datata 8 febbraio 2021, che attraverso i propri portali “si limita a rendere accessibile, senza poter eseguire alcun tipo di intervento e nel rispetto del contratto sottoscritto (…), la lista dei risultati di ricerca forniti ed elaborati da Google”, precisando di non poter intervenire né sui risultati ottenuti in esito alle ricerche condotte utilizzando i motori di ricerca ivi presenti, né sui criteri di visualizzazione degli stessi ed indicando Google come unico soggetto titolato a gestire le richieste degli interessati. La Società ha concluso affermando che “l’eventuale rimozione di risultati di ricerca dall’indice di Google verrà recepita automaticamente anche sui Portali” di Libero e di Virgilio.

Date le criticità riscontrate nel trattamento effettuato, emerse anche nell’ambito di reclami analoghi pervenuti nel frattempo (152997 e 161297), l’Autorità ha avviato un accertamento d’ufficio inviando alla Società, in data 3 maggio 2021, una richiesta di informazioni con la quale è stato chiesto di fornire dettagli in ordine al servizio reso agli utenti con riguardo alla funzione di ricerca presente all’interno dei due portali sopra menzionati, indicando altresì la tipologia di dati trattati, le modalità e finalità della comunicazione di questi ultimi ad altri soggetti, in particolare Google LLC, nonché i tempi di conservazione dei dati. È stato chiesto inoltre di fornire elementi con riguardo allo specifico ruolo svolto da Italiaonline e da terzi con riferimento al trattamento complessivamente effettuato tramite i predetti motori di ricerca - non essendo tali informazioni desumibili dall’informativa presente all’interno dei portali – nonché alle modalità previste per garantire agli interessati l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento (UE) 2016/679 (di seguito “Regolamento”).

La Società, con nota del 20 maggio 2021, ha dichiarato quanto segue:

il motore di ricerca presente all’interno dei portali funziona interrogando direttamente il motore di ricerca di Google attraverso delle librerie Javascript fornite da quest’ultima, precisando che lo stesso non è in alcun modo integrato con tecnologia o sistemi di proprietà di Italiaonline;

quando l’utente inserisce una query nella c.d. “buca di ricerca” presente nei portali di Libero e Virgilio viene attivata una chiamata Javascript verso Google che “restituisce un listato di risultati di ricerca normalmente composto da link sponsorizzati e risultati organici” che dipendono esclusivamente da Google ed in ordine ai quali Italiaonline non ha alcun potere di intervento, né alcuna responsabilità, come risulterebbe chiarito nelle Note legali presenti nel footer di ogni pagina;

l’erogazione del servizio trova la sua disciplina nei termini e condizioni di un contratto stipulato con Google ed include, oltre ai servizi di ricerca, anche quelli di pubblicità che consentono ad Italiaonline di ricevere il pagamento di un corrispettivo (cd. revenue share) “in proporzione al numero di clic validi sugli annunci [di Google] visualizzati [sui Portali], al numero di impressioni valide di annunci [di Google] visualizzate [sui Portali], o ad altri eventi posti in essere in relazione alla visualizzazione di annunci [sui Portali]”;

di non trattare, con riferimento al servizio collegato al motore di ricerca, alcun dato personale ed identificativo degli utenti, né, di conseguenza, di farne comunicazione a terzi, ivi incluso Google che assume pertanto la veste di titolare autonomo secondo i termini indicati nell’informativa privacy presente nel sito web della medesima;

di non svolgere alcun ruolo rilevante ai sensi della normativa in materia di protezione dei dati personali e di non conservare i dati personali degli utenti in relazione al servizio sopra specificato;

di indirizzare l’utente a rivolgere la propria richiesta di deindicizzazione direttamente a Google, nel caso in cui il medesimo rivolga erroneamente tale istanza ad Italiaonline.

L’esame delle informative privacy disponibili all’interno dei portali Libero e Virgilio, e che si presentano come sostanzialmente analoghe, ha evidenziato l’espressa indicazione di Italiaonline come titolare del trattamento dei dati effettuato nell’ambito dei diversi servizi resi disponibili tramite i predetti portali, anche con riferimento all’esercizio dei diritti da parte degli interessati, senza tuttavia contenere ulteriori indicazioni in ordine alle caratteristiche del servizio di ricerca in Internet presente nei portali gestiti dalla Società e, in particolare, ai rapporti intercorrenti tra la stessa e le società del gruppo Google.

Alla luce dell’istruttoria preliminare svolta, la condotta lamentata non è risultata chiarita e pertanto l’Ufficioà ha ritenuto di dover verificare le modalità di trattamento dei dati da parte della Società con riguardo al servizio di ricerca fornito dai portali Libero e Virgilio, nonché i trattamenti per finalità di marketing e profilazione correlati alla fruizione dei portali Libero e Virgilio da parte degli utenti.

2. LE ATTIVITÀ ISPETTIVE EFFETTUATE PRESSO LA SEDE SOCIETARIA E RELATIVI ESITI

È stata dunque condotta, nei giorni 4 e 5 aprile 2022, un’attività ispettiva presso la sede societaria dalla quale è emerso quanto segue.

A) L’attività di ricerca in internet 

A.1) Trasparenza dei trattamenti effettuati con riguardo all’attività di ricerca

La Società ha rappresentato che per la fornitura del servizio di ricerca in internet, presente nei portali Libero e Virgilio, si avvale del motore di ricerca di Google e che il modello di business in essere prevede che Google corrisponda alla Società una revenue share in base al numero di ricerche effettuate tramite i predetti portali, come confermato nei “Termini di servizio del Motore di ricerca personalizzato” (cfr. all. 1 al verbale 5 aprile 2022).

È stato verificato che all’interno delle homepage dei portali Libero e Virgilio è presente una c.d. “buca di ricerca”. Quando un utente avvia la ricerca inserendo le parole chiave (query string), il browser del medesimo utente viene indirizzato (tramite una chiamata HTTP di tipo GET) verso la pagina web “https://ricerca.libero.it” nel caso del portale Libero o verso la pagina web “https://ricerca.virgilio.it” nel caso del portale Virgilio. All’interno delle citate pagine web è presente un componente di tipo javascript, reso disponibile da Google, che comporta l’interazione del browser dell’utente con i sistemi informatici di quest’ultima, con l’invio delle parole chiave oggetto della ricerca e la ricezione dei risultati della ricerca.

In particolare, è stato effettuato un accesso al portale Libero (cfr. all. 8 al verbale del 4 aprile 2022) ed è stato constatato che:

a) avviando una ricerca con le parole chiave “ristoranti milano”, l’utente viene indirizzato all’URL “https://ricerca.libero.it/web/ricerca?regione=9&qs=ristoranti+milano”;

b) all’atto della connessione al predetto URL, il browser dell’utente effettua il download del componente di tipo javascript che consente la ricerca in internet collegandosi all’URL “https://cse.google.com/cse.js?cx=partner-pub-2033535132705533:3045086034” e, in seguito, si collega a un altro URL riconducile a Google per inviare le parole chiave “ristoranti milano” e ricevere i risultati della ricerca.

È stato inoltre effettuato un accesso al portale Virgilio dal quale è emerso che:

a) avviando una ricerca con le parole chiave “ristoranti milano”, l’utente viene indirizzato all’URL “https://ricerca.virgilio.it/ricerca?f=hpA&site=&qs=ristoranti+milano”;

b) all’atto della connessione al predetto URL, il browser dell’utente effettua il download del componente di tipo javascript che consente la ricerca in internet collegandosi all’URL “https://cse.google.com/cse.js?cx=partner-pub-2033535132705533:6474221855” e, in seguito, si collega a un altro URL riconducibile a Google per inviare le parole chiave “ristoranti milano” e ricevere i risultati della ricerca.

È stato infine constatato che le informazioni relative alle connessioni alle pagine web “https://ricerca.libero.it/” e “https://ricerca.virgilio.it/” da parte degli utenti sono registrate in alcuni file di log (access.log) conservati in alcuni web server della Società e contenenti, tra gli altri, l’indirizzo IP del dispositivo dell’utente, la data e l’ora in cui è stata effettuata la ricerca, le parole chiave utilizzate, nonché informazioni sul browser utilizzato e sul sistema operativo del dispositivo dell’utente (c.d. user agent).

La Società – nel fornire copia dei file di log relativi alle ricerche effettuate nel corso delle attività ispettive sui portali Libero e Virgilio, nonché di quelli relativi ad ulteriori 1.000 ricerche effettuate mediante i predetti portali (cfr. all. 11 del verbale del 4 aprile 2022) – ha dichiarato che i predetti file di log sono conservati nei sistemi della Società per cinque giorni dal momento della loro generazione e successivamente sono cancellati, precisando di non conservarne altre copie.

Nell’evidenziare che il principale servizio fornito agli utenti dei portali Virgilio e Libero è quello di posta elettronica, la Società ha rappresentato che gli utenti registrati ai due portali sono complessivamente circa XX, fornendo altresì informazioni sul numero di utenti fruitori del servizio di ricerca in internet ivi reso disponibile che mensilmente è risultato utilizzato sul portale Libero da circa XX e sul portale Virgilio da circa XX (in particolare, date le difficoltà tecniche evidenziate dalla Società, è stato preso come riferimento il periodo compreso tra il 1° e il 31 marzo 2022; cfr. verbale 4 aprile 2022 e nota 29 aprile 2022).

Dall’analisi delle informative privacy, presenti nei due portali (Libero e Virgilio) all’epoca dell’ispezione, è emerso che il trattamento dei dati personali effettuato nell’ambito del servizio di ricerca in Internet, per il quale la Società si avvale del motore di ricerca di Google, non risultava descritto, né conseguentemente risultavano indicati i ruoli assunti dalle società coinvolte nel trattamento di dati che ne discende. Italiaonline ha infatti dichiarato di limitarsi “a rendere accessibile, senza poter eseguire alcun tipo di intervento e nel rispetto del contratto sottoscritto con Google Inc. [(rectius Google LLC, con sede legale negli Stati Uniti)] la lista dei risultati di ricerca forniti ed elaborati da Google stessa” (v. nota 8 febbraio 2021). Tuttavia, come emerso dalle verifiche tecniche effettuate in loco, risulta, di fatto, una comunicazione di dati dalla Società a Google LLC – in particolare, delle informazioni connesse alle ricerche effettuate dagli utenti dei due portali sopra indicati – della quale non è data alcuna informazione agli utenti, sia quelli non registrati che quelli registrati (per entrambe le categorie di utenti, la comunicazione potrebbe in ipotesi coinvolgere una maggiore quantità di dati personali, anche di diverso tipo, inclusi dati appartenenti a categorie particolari ai sensi dell’art. 9 del Regolamento, come acquisito in atti; vedi, ad esempio, la ricerca con le parole chiave “sedia con vaso per handicap”, all. 11 al verbale 4 aprile 2022).

Dall’esame dei “Termini di servizio del Motore di ricerca personalizzato” (cfr. all. 1 al verbale del 5 aprile 2022), è inoltre emerso che “la Pagina dei risultati o gli elementi ad essa associati forniti da Google tramite il Servizio [di ricerca in Internet] possono contenere pubblicità. Il Servizio [di ricerca in Internet] è compatibile con il programma AdSense di Google e l'Utente [(nel caso in esame Italiaonline)] può fare domanda di partecipazione (www.google.com/adsense), secondo quanto stabilito dai Termini e condizioni di AdSense di Google”. I “Termini di Servizio Online di Google AdSense” (cfr. all. 1 al verbale del 5 aprile 2022), che regolano i rapporti tra Italiaonline e Google Ireland Limited (con sede legale in Irlanda), indicano, peraltro, che il Publisher (Italiaonline in questo caso) e Google concordano sui “Termini sulla Protezione dei Dati Google Ads Titolare-Titolare” e che il Publisher debba assicurare “che in ogni momento in cui usa i Servizi, le Proprietà abbiano norme sulla privacy chiaramente definite e di facile accesso che forniscano agli utenti finali informazioni chiare ed esaustive in merito a cookie, informazioni specifiche per dispositivi, informazioni su località e altre informazioni archiviate in, reperibili in, o raccolte da dispositivi di utenti finali in connessione ai Servizi, comprese, ove applicabili, le informazioni in merito alle opzioni concesse agli utenti finali per la gestione di cookie. Il Publisher metterà in atto sforzi commerciali ragionevoli per assicurare che un utente finale acconsenta all'archiviazione e all'accesso ai cookie, informazioni specifiche sul dispositivo” (cfr. art. 10 dei Termini di Servizio Online di Google AdSense).

Ciò posto, la predetta comunicazione di dati può quindi dirsi effettuata anche per finalità promozionali di Google (servizi di ricerca “personalizzati” e link sponsorizzati) – ulteriori e diverse dalla fornitura del servizio di ricerca in Internet – oltre che per le finalità del corrispettivo-remunerazione fornito alla Società.

In tal senso, risulta opportuno far riferimento alla sentenza CGUE (Seconda Sezione) del 29 luglio 2019 – Fashion ID GmbH & Co. KG (Causa C-40/17),  in base alla quale l’art. 2, lett. h), e l’art. 7, lett. a), della direttiva 95/46 – secondo un ragionamento logico-giuridico valido anche in base all’impianto del Regolamento – devono essere interpretati nel senso che, qualora il gestore di un sito web inserisca in detto sito un componente (nel caso deciso dalla Corte di Giustizia si trattava di un plug-in social fornito da Facebook) che consente al browser del visitatore del medesimo sito di richiamare contenuti del fornitore del componente in parola e di trasferire in tal modo a detto fornitore dati personali del visitatore, il gestore del sito web (Italiaonline, nel caso in esame) deve ritenersi titolare, congiuntamente al fornitore del componente (che, sulla base della documentazione fornita dalla società, sembrerebbe essere Google LLC con riguardo alla componenti di tipo Javascript che consente le ricerche in Internet ed invece Google Ireland Limited nel caso di cookie per l’attività di advertising), entrambi decidendo le finalità e modalità del trattamento e perseguendo un interesse economico, in un regime di fattuale contitolarità. Coerentemente, la Società, in quanto di fatto contitolare, avrebbe dovuto fornire una previa idonea informativa agli utenti dei portali Libero e Virgilio riguardo alle operazioni di trattamento in esame, quali la raccolta e la comunicazione mediante trasmissione dei dati di cui trattasi, nonché alle modalità di esercizio dei diritti di cui agli artt. 15-22 del Regolamento in relazione alle diverse tipologie di trattamenti effettuati da Italiaonline e Google. L’inidoneità dell’informativa resa da Italiaonline è comprovata anche dal fatto che, nel corso del tempo, diversi utenti hanno formulato alla stessa richieste di deindicizzazione dei risultati di ricerca ad essi riferibili, operazione che non ricade nella sfera di disponibilità della Società. Tale circostanza ha reso necessario per la Società specificare, di volta in volta, agli utenti che hanno chiesto la deindicizzazione di contenuti (es. pagine web, immagini o video) presenti tra i risultati di ricerca di rivolgere le proprie istanze nei confronti di Google LLC, determinando con ciò un aggravio del percorso da seguire per esercitare i relativi diritti.

Inoltre, sebbene a tale riguardo Italiaonline abbia fatto presente che nei portali Libero e Virgilio veniva indicato all’utente che “Annunci e risultati [sono] forniti da Google”, fornendo anche un link all’informativa privacy di Google, è tuttavia stato rilevato che tale informativa veniva comunque resa solo dopo che il trattamento era stato effettuato (raccolta e trasmissione di dati a Google) ed evidentemente non poteva surrogare l’informativa dovuta da Italiaonline.

Analogamente le informative privacy presenti nei portali Libero e Virgilio non includevano alcuna indicazione in ordine ai trattamenti di dati personali che comportano la conservazione nei file di log, memorizzati sui sistemi della Società, delle informazioni relative alle ricerche effettuate dagli utenti tramite il servizio di ricerca in Internet ivi reso disponibile

Complessivamente, sono dunque emerse una scarsa consapevolezza e un non adeguato governo dei trattamenti descritti, e, quindi, una possibile violazione del principio di accountability, nonché del principio di privacy by design.

Alla luce di quanto sopra rappresentato, si è ritenuto di dover contestare la violazione degli artt. 5, parr. 1, lett. a) e b), e 2; 6; 9; 12, parr. 1 e 2; 13, parr. 1, lett. c), d), e), e 2, lett. a); 24; 25, par. 1, del Regolamento, peraltro rispetto a un rilevante numero di interessati.

A.2) Registro dei trattamenti effettuati con riguardo all’attività di ricerca

L’Ufficio, in sede ispettiva, ha chiesto alla parte di illustrare i motivi per cui nel registro tenuto dalla Società non siano descritte le attività di trattamento effettuate in relazione agli utenti che utilizzano il servizio di ricerca in Internet reso disponibile sui portali Libero e Virgilio.

Precisando quanto dichiarato nella giornata del 4 aprile 2022 in relazione alle attività che riguardano gli utenti non registrati ai portali Libero e Virgilio, la Società (verbale 5 aprile 2022) ha rappresentato che anche tali attività sarebbero descritte nel registro tenuto dalla Società quando basate su un consenso dell’utente all’utilizzo di cookies; precisando peraltro che: “il trattamento n. 124 del registro dei trattamenti, identificato nell’allegato 3 al verbale del 4 aprile 2022 con il Num ID 6 del foglio Information Technology, ha, nell’interpretazione datagli dall’azienda, come finalità quella proprio di ricomprendere tutti i soggetti (clienti effettivi, fornitori potenziali e utenti) i cui dati sono trattati dalla parte nei sistemi informativi diretti a terzi diversi dai dipendenti”. La descrizione del trattamento in questione, pur considerate le specifiche fornite a chiarimento dalla Società, non risulta idonea a considerare completo il contenuto obbligatorio del registro dei trattamenti, in quanto il detto trattamento non risulta identificabile nel registro. Son risultati dunque ravvisabili i presupposti della violazione dell’art. 30, par. 1, lett. a), b), c), d) ed f), del Regolamento.

B) Ulteriori trattamenti di dati mediante i portali “Libero” e “Virgilio”.

In occasione delle attività ispettive, con riguardo alla procedura di registrazione ai portali Libero e Virgilio, è risultato che la Società acquisisce i consensi eventualmente prestati dall’interessato al trattamento per finalità di marketing (di Italiaonline, nonché dei suoi partner) e di profilazione. In particolare, l’Ufficio ha effettuato la registrazione di un account Libero (cfr. all. 8 al verbale 5 aprile 2022), accertando che:

in un primo momento veniva mostrata all’utente un’unica casella, non selezionata per impostazione predefinita, per l’acquisizione dei consensi al trattamento per finalità di marketing e profilazione;

nel momento in cui l’utente prestava il predetto consenso, venivano mostrate al medesimo due ulteriori caselle, relative alle singole finalità (marketing e profilazione) ed entrambe selezionate;

l’utente, per poter esercitare una scelta specifica sulle finalità del trattamento per le quali fornire il proprio consenso, poteva deselezionare, anche singolarmente, le predette caselle;

il consenso al trattamento per finalità di marketing veniva acquisito con un’unica formula con riferimento sia a Italiaonline che ai suoi partner.

Con particolare riferimento alla registrazione di un utente minorenne è risultata prevista “l’acquisizione dei consensi al trattamento per finalità di marketing e profilazione; - con specifico riferimento alla registrazione di un utente infraquattordicenne, è previsto l’inserimento di alcuni dati (nome e cognome, codice fiscale, numero di cellulare) relativi al soggetto che esercita la responsabilità genitoriale, al quale viene inviato un sms con un codice OTP che deve essere inserito per perfezionare la registrazione; -il soggetto che esercita la responsabilità genitoriale sull’utente infraquattordicenne non è coinvolto nelle fasi successive alla registrazione (ad es., le variazioni dei predetti consensi)”.

Inoltre, l’Ufficio ha effettuato la c.d. registrazione light al servizio Libero Club, constatando (cfr. all. 9 al verbale 5 aprile 2022) che il consenso al trattamento per finalità di marketing è acquisito mediante un’unica formula con riferimento sia a Italiaonline che ai suoi partner.

Successivamente, con nota del 29 aprile 2022, la Società ha precisato che “il modulo di registrazione, visionato nel corso della visita ispettiva, è stato attivato per una fase di test e pertanto per un periodo limitato e, precisamente, dal giorno 23 marzo ore 10:00 al giorno 8 aprile alle ore 15.30. La ragione di questo test deriva dalla circostanza che, come illustrato nell’informativa di Libero e Virgilio Mail, la profilazione è collegata all’invio di comunicazioni di marketing. Quindi, al fine di consentire agli utenti questo collegamento tra la finalità di invio di comunicazioni di marketing e l’attività di profilazione, la Società ha sperimentato - quale parte di un’attività di test - un consenso a più livelli con: un primo livello in cui viene comunicato al cliente che la profilazione sarà usata per l’invio di comunicazioni di marketing; un secondo livello in cui viene comunque offerta al cliente la possibilità di scegliere in modo più modulare il consenso che vuole prestare, selezionando o deselezionando i consensi” (cfr. all. H alla nota del 29 aprile 2022). La Società ha rappresentato che “il totale degli utenti registrati su Libero Mail nel periodo indicato è di XX” (di cui XX hanno prestato il consenso sia al marketing sia alla profilazione, XX non hanno prestato nessun consenso, XX hanno prestato consenso solo al marketing e XX solo alla profilazione) e che “il totale degli utenti registrati su Virgilio Mail nel periodo indicato è di XX” (di cui XX hanno prestato il consenso sia al marketing sia alla profilazione, XX non hanno prestato nessun consenso, XX hanno prestato consenso solo al marketing e XX solo alla profilazione).

La Società ha dichiarato altresì che “la fase di test, in cui il modulo di registrazione mostrato in sede di ispezione è stato usato, è durata unicamente 16 giorni. Al termine della stessa, la società ha ritenuto che i benefici per gli utenti non fossero tali da giustificare una modifica del modulo di registrazione. Per tale motivo, con effetto dal 8 aprile alle ore 15.30, è stato ripristinato il precedente modulo di registrazione” che prevede la raccolta di un consenso per “ricevere comunicazioni sui prodotti di Italiaonline e dei suoi Partner” e di un consenso per “ricevere offerte e promozioni cu ciò che più ti piace”. La Società ha inoltre rappresentato che, “per evitare che gli utenti registrati nella finestra temporale dei 16 giorni sopra indicati avessero prestato i consensi rispetto ad un modulo diverso da quello adottato in relazione agli altri utenti della piattaforma,(…) ha deciso di resettare i consensi prestati da tali utenti in questi 16 giorni e sta procedendo ad inviare [una] comunicazione di servizio” con la quale ha informato tali utenti della “possibilità di aggiornare i consensi forniti in fase di registrazione dell’ (…) account di posta elettronica”.

Dalle verifiche effettuate, è emerso che la suindicata finalità di marketing è stata ampiamente attuata, tanto che la Società ha rappresentato di aver effettuato campagne di direct email marketing (DEM) nei confronti degli utenti della propria customer base per reclamizzare non solo servizi o prodotti propri, ma anche di soggetti terzi con cui Italiaonline ha contatti diretti o con cui entra in contatto tramite intermediari (cc.dd. Centri Media). Peraltro, le informative per il trattamento rinvenibili nei due suindicati portali son risultate lacunose riguardo alla finalità di profilazione e ai tempi di conservazione dei dati o, quantomeno, ai criteri utilizzati per stabilirli ed applicarli.

Alla luce di quanto sopra rappresentato, con riferimento ai siti Virgilio e Libero (per quest’ultimo, tanto la procedura ‘ordinaria’ quanto quella ‘light’), sono emersi i presupposti della violazione dell’art. 13, par. 1, lett. c) e par. 2, lett. a), nonché dell’art. 7 del Regolamento, in quanto risulta raccolto un consenso, in una forma che non può considerarsi né libera né specifica, per diverse finalità non contrattuali, come il marketing della Società, quello di soggetti terzi e la profilazione. Di conseguenza, in via strettamente correlata, le prospettate attività di trattamento in questione sono risultate prive di base giuridica, in violazione dell’art. 6 del Regolamento.

B.1) Il trattamento dei dati dei soggetti minorenni.

Il trattamento di dati per finalità di marketing e profilazione è risultato inoltre effettuato anche con riguardo agli utenti minorenni senza tuttavia introdurre alcuna gradazione in rapporto all’età, né prevedere, in caso di minori infraquattordicenni, meccanismi di verifica da parte del titolare della responsabilità genitoriale attivabili in occasione di eventuali variazioni del consenso eventualmente espresse dall’utente minorenne successivamente all’accesso al servizio. Dunque, quando l’utente minore di quattordici anni dà il consenso al trattamento dei propri dati per finalità di marketing e profilazione a fronte di un diniego espresso originariamente dal titolare della responsabilità genitoriale, questi -pur disponendo astrattamente di una capacità valutativa più ampia di quella che può far capo ad un minore- non viene però coinvolto nella successiva, eventuale, fase di modifica. Pertanto, la manifestazione della volontà, da parte del minore, deve ritenersi non valida e quindi non applicabile il presupposto giuridico del consenso.

In proposito, occorre tenere conto del fatto che il Regolamento europeo impone specifiche garanzie a tutela dei minori di età in virtù della ridotta capacità di questi ultimi di comprendere tutti i rischi che possono derivare dall’utilizzo di determinati servizi (cfr. Considerando 38 del Regolamento); garanzie che nel caso di specie non paiono essere state adottate e che non sembrano esser surrogabili dal richiesto consenso. Particolare attenzione dovrebbe poi essere posta all’utilizzo di dati personali nell’ambito di processi decisionali automatizzati, tra i quali rientra la profilazione (come intesa dall’art. 4, punto 4) del Regolamento), dai quali i minori - in generale e non solo quelli infraquattordicenni - dovrebbe restare tendenzialmente esclusi specie laddove detti processi - fra cui sicuramente rientra il marketing mirato- siano idonei a produrre effetti significativi sui medesimi  (cfr. Considerando 71 del Regolamento e le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione adottate il 3 ottobre 2017 – nella versione emendata e adottata in data 6 febbraio 2018),

È emersa pertanto l’esigenza di contestare anche la presunta violazione degli artt. 6, 7, 8 e 22 del Regolamento, unitamente all’art. 2 quinquies del Codice, che specifica la portata del citato art. 8 nell’ordinamento nazionale.

B.2) Gestione delle istanze di cancellazione

Con limitato riferimento al portale Libero, è risultato che l’utente che intenda cancellare il proprio account di posta elettronica deve fornire alla Società anche copia del proprio documento di identità in corso di validità (verbale 5 aprile cit.). Tale richiesta, motivata dalla Società con l’esigenza di accertare la corrispondenza tra il titolare dell’account e colui che ne chiede la cancellazione, non trova riscontro con analoghi requisiti previsti in fase di apertura dello stesso e non appare pertanto giustificata con specifico riguardo alla finalità dichiarata da Italiaonline. Non risulta neppure chiaro quale sia il trattamento successivo a detta acquisizione, in particolare avuto riguardo ai tempi di conservazione e alle relative finalità, potendosi con ciò configurare una possibile violazione dell’art. 5, par. 1, lett. c), d) ed e) del Regolamento. Occorre inoltre rilevare che la richiesta di un documento di identità, prevista dalla Società come modalità ordinaria per consentire all’interessato l’esercizio del proprio diritto di cancellazione, appare eccessivamente gravosa per il medesimo ponendosi pertanto in contrasto, in un’ottica di semplificazione, con le indicazioni fornite dall’art. 12, par. 2, del Regolamento.

3. NOTIFICA DELLE PRESUNTE VIOLAZIONI AI SENSI DELL’ART. 166, COMMA 5, DEL CODICE.

In base a quanto sopra evidenziato, l’Autorità ha ritenuto necessario, il 28 settembre 2022, contestare alla Società la presunta violazione delle seguenti disposizioni:

• artt. 5, par. 1, lett. a), b), c), d), ed e), nonché par. 2; 6, 7, 8, 9, 12, parr. 1 e 2, e 13, par. 1, lett. c), d), e), nonché par. 2, lett. a); 22; 24; 25, par. 1; 30, par. 1, lett. a), b), c), d) ed f), del Regolamento;

• artt. 2-quinquies del Codice.

Con la medesima nota, l’Autorità ha pertanto provveduto a comunicare l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni pecuniarie di cui all’art. 83, parr. 4 e 5, del Regolamento.

4. LA DIFESA DI ITALIAONLINE E LE CORRISPONDENTI VALUTAZIONI DI ORDINE GIURIDICO DELL’AUTORITÀ.

Italiaonline ha fornito riscontro alla suddetta contestazione mediante l’invio di una memoria difensiva il 27 ottobre 2022 (il cui contenuto, comprovato da ulteriori elementi e documenti, con particolare riferimento alle azioni correttive già poste in essere, è stato ripreso in sede d’audizione tenutasi il 21 novembre 2022). In considerazione delle ragioni (per maggior dettaglio, si fa rinvio integrale alla detta memoria) riportate di seguito nel presente provvedimento, Italiaonline ha chiesto alla Autorità di riconoscere e dichiarare che non sussistono i presupposti per l'applicazione delle sanzioni amministrative ipotizzate, o, in via subordinata, che ricorrono i presupposti per l'applicazione di sanzioni nella misura minima prevista dalla legge.

La Società ha altresì chiesto all’Autorità di non pubblicare il provvedimento eventualmente adottato a chiusura del procedimento, anche per ragioni di tutela concorrenziale con le altre imprese operanti nel medesimo settore.

A) L’attività di ricerca in internet 

A.1) Trasparenza dei trattamenti effettuati con riguardo all’attività di ricerca

La Società, riprendendo quanto già rappresentato in sede di accertamento ispettivo, ha asserito che, all’interno dei Portali, è presente un componente di tipo JavaScript fornito da Google che inserisce il proprio contenuto all’interno del codice HTML della pagina della sezione dei Portali in cui è accessibile il Servizio di Motore di Ricerca di Google. Tale componente consente l’interazione diretta del browser dell’utente con i sistemi informatici di Google con il conseguente invio diretto delle parole chiave da parte dell’utente ai server di Google e la conseguente e immediata ricezione dei risultati della ricerca effettuata. Per impostazione tecnica di default, i Portali presentano una configurazione c.d. “client-side JavaScript” che velocizza il processo di caricamento del contenuto e comporta che, per gestire una ricerca, il browser possa inviare una richiesta direttamente al server indicato, ovvero nel caso di specie quello di Google per la gestione delle ricerche ricevute.

In tal modo, secondo la Società, “le interazioni con il motore di ricerca Google sono esclusivamente effettuate dal browser dell’utente finale (client): - senza alcuna interazione tra i server di Italiaonline e quelli Google; - senza alcuna comunicazione di dati da Italiaonline a Google; e senza alcun controllo da parte di Italiaonline delle modalità e finalità del trattamento dei dati personali relativi al Servizio di Motore di Ricerca di Google”. Italiaonline ha precisato che “I … browser peraltro contengono direttamente (senza necessità di plug-in) l’interprete JavaScript, per poter eseguire le relative componenti JavaScript. Pertanto … la ricerca che l’utente esegue tramite i Portali sul motore di ricerca di Google non è comunicata direttamente da Italiaonline a Google né Italiaonline, pur volendo, sarebbe in grado di comunicare dati personali degli utenti a Google … i dati di navigazione (log) sono gli unici dati raccolti da Italiaonline al fine di monitorare il funzionamento tecnico e le prestazioni dei Portali … In particolare, i dati contenuti nei file di log … sono dati di navigazione contenenti le informazioni minime per la corretta gestione e manutenzione dei Portali e sono usati al fine di monitorare il funzionamento tecnico del sito; ciò peraltro viene evidenziato e reso noto agli utenti nelle relative informative sul trattamento dei dati personali pubblicate sugli stessi siti (le “Informative Privacy dei Portali”). Per configurazione tecnica …., Italiaonline non è neanche in grado di conoscere i risultati della ricerca e non sa cosa l’utente visualizzerà e su cosa cliccherà dopo la ricerca. Tutte queste informazioni sono unicamente accessibili da - e pertanto sono sotto l’esclusivo controllo di - Google; ciò viene chiaramente comunicato agli utenti dei Portali quando visualizzano i risultati della ricerca tramite la dicitura ‘Annunci e risultati forniti da Google’ seguita dal link all’informativa sul trattamento dei dati personali di Google.” Italiaonline ha poi aggiunto che “alcune delle informazioni contenute nel file di log, in particolare la URL della ricerca con i suoi parametri, sono previste dal protocollo di integrazione … richiesto da Google in relazione al Servizio di Motore di Ricerca di Google. Tale protocollo richiede espressamente di menzionare l’oggetto della richiesta come parte dell’URL della pagina che sarà visualizzata con i risultati della richiesta. Qualora Italiaonline volesse adottare un’altra soluzione tecnica che non comporti la raccolta di questo dato, la stessa non potrebbe mettere a disposizione dei propri utenti tale servizio nè, controllando Google il 94.82% del mercato dei motori di ricerca, potrebbe offrire all’utenza, attraverso i Portali, un servizio di motore di ricerca alternativo che abbia uguale efficacia, portata e rilevanza “. Ad avviso di Italionline non sussisterebbe alcuna titolarità del trattamento in capo a sé medesima, non eseguendo alcun trattamento di dati personali con riferimento a detto servizio e non determinando in alcun modo, neanche indirettamente, le finalità e i mezzi del trattamento; e non sussisterebbe neanche una contitolarità del trattamento tra Google e Italiaonline in relazione al servizio perché non vi sarebbe nessuna determinazione congiunta delle finalità e dei mezzi del trattamento né vi sarebbe nessun controllo o influenza diretta o indiretta di  Italiaonline sul servizio in questione.

Preliminarmente, occorre partire dalla considerazione della particolare ampiezza del concetto di ‘dato personale’ - tale quindi da determinare l’attribuzione della qualifica di titolare in capo a chi ne faccia oggetto di trattamento – che include anche l’indirizzo IP nella misura in cui consenta di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente (cfr. art. 4, par. 1, n. 1, del Regolamento; e anche Gruppo ex art. 29, WP 136 - Parere n. 4/2007 sul concetto di dati personali, del 20 giugno 2007, pag. 16). Tutto ciò soprattutto ove, come nel caso di specie, l’indirizzo IP sia associato ad altre informazioni relative al browser utilizzato, alla data e all’ora della navigazione ed ai parametri oggetto della ricerca (cfr. considerando 30 del Regolamento), i quali, per espressa affermazione della Società, sono inclusi all’interno degli URL della ricerca, i cui log sono conservati nei server della medesima.

Tale profilo già di per sé è idoneo a fondare in capo ad Italiaonline la qualifica di titolare del trattamento, tenuto conto del fatto che, anche a non voler considerare quanto riportato di seguito in ordine ai rapporti di contitolarità, la raccolta e la conservazione di dati costituiscono indubbiamente operazioni di trattamento (cfr. art. 4, par. 1, n. 2, del Regolamento), come peraltro si evince dall’attuale informativa presente nei portali Libero e Virgilio (cfr. in particolare la sezione 2.a “dati di navigazione” e la successiva sezione 9 “Conservazione dei dati personali”).

Con riferimento al profilo della contitolarità del trattamento, le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate il 7 luglio 2021 dal Comitato europeo per la protezione dei dati, stabiliscono che “la partecipazione congiunta nella determinazione delle finalità e dei mezzi implica che più soggetti esercitino un’influenza determinante sull’effettuazione del trattamento e sulle relative modalità. In pratica, la partecipazione congiunta può assumere diverse forme, come, ad esempio, quella di una decisione comune presa da due o più soggetti, oppure derivare da decisioni convergenti di due o più soggetti per quanto concerne le finalità e i mezzi essenziali”. In particolare, sulla base della giurisprudenza della Corte di Giustizia dell’Unione Europea (v. sentenza Fashion ID, cit.), “le decisioni possono essere considerate convergenti sulle finalità e sui mezzi se si integrano a vicenda e se sono necessarie affinché il trattamento abbia luogo, in modo tale da avere un impatto tangibile sulla determinazione delle finalità e dei mezzi del trattamento. Occorre sottolineare che il concetto di decisioni convergenti va considerato in relazione alle finalità e ai mezzi del trattamento, ma non con riguardo ad altri aspetti del rapporto commerciale tra le parti. In tal senso, un criterio importante per individuare decisioni convergenti in questo ambito consiste nel verificare se il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti alle finalità e ai mezzi, nel senso che i trattamenti di ciascuna parte sono tra loro indissociabili, ovverosia indissolubilmente legati”. Viene inoltre evidenziato che “come chiarito dalla CGUE, […] un soggetto sarà considerato contitolare del trattamento insieme ad altri solo per quelle operazioni rispetto alle quali determina, insieme ad altri, i mezzi e le finalità di quello stesso trattamento dei dati, in particolare in caso di decisioni convergenti. Se uno dei soggetti in questione decide isolatamente le finalità e i mezzi delle operazioni precedenti o successive nelle varie fasi del trattamento, tale soggetto deve essere considerato l’unico titolare di tale operazione di trattamento precedente o successiva”.

Con riguardo alla determinazione congiunta delle finalità, le citate Linee guida stabiliscono che “una contitolarità del trattamento sussiste allorquando soggetti coinvolti nel medesimo trattamento lo effettuano per finalità definite congiuntamente. Ciò avviene se i soggetti in questione trattano i dati per le medesime finalità o per finalità comuni. Inoltre, laddove tali soggetti non perseguano la medesima finalità in relazione al trattamento, alla luce della giurisprudenza della Corte di giustizia dell’Unione europea, la contitolarità del trattamento può configurarsi anche qualora i soggetti perseguano finalità strettamente collegate o complementari. Ciò può verificarsi, ad esempio, quando esiste un vantaggio reciproco derivante dalla medesima operazione di trattamento, a condizione che ciascuno dei soggetti coinvolti partecipi alla determinazione delle finalità e dei mezzi del trattamento in questione”.

Nel caso in esame, risulta accertato che Italiaonline partecipa alla determinazione delle finalità del trattamento incorporando nei portali Libero e Virgilio il citato componente javascript di Google LLC, al fine di trarne un vantaggio competitivo rendendo disponibile ai propri utenti un servizio di ricerca in internet, nonché un vantaggio economico derivante anche dalla contemporanea adesione al programma AdSense facente capo a Google Ireland Limited che, peraltro, determina in capo a Italiaonline (in qualità di publisher) una serie di adempimenti in materia di protezione dei dati personali.

Con riguardo alla determinazione congiunta dei mezzi, le citate Linee guida stabiliscono che “la contitolarità del trattamento prevede, inoltre, che due o più soggetti abbiano esercitato un’influenza sui mezzi del trattamento. Ciò non significa che, affinché sussista una contitolarità del trattamento, ciascun soggetto coinvolto debba in ogni caso determinarne tutti i mezzi. Di fatto, come chiarito dalla CGUE, soggetti diversi possono essere coinvolti in fasi diverse del trattamento e a livelli diversi. I diversi contitolari del trattamento possono pertanto determinare i mezzi del trattamento in misura diversa, a seconda di chi sia effettivamente in grado di effettuare tale determinazione. Può anche accadere che uno dei soggetti coinvolti fornisca i mezzi del trattamento e li metta a disposizione per le attività di trattamento dei dati personali da parte di altri soggetti. Anche il soggetto che decide di avvalersi di tali mezzi affinché i dati personali possano essere trattati per una determinata finalità partecipa alla determinazione dei mezzi del trattamento. Tale situazione può verificarsi, in particolare, nel caso di piattaforme, strumenti standardizzati o di altre infrastrutture che consentono alle parti di trattare gli stessi dati personali e che sono stati predisposti in un certo modo da una delle parti per essere utilizzati da altre che possono anche decidere come impostarli. L’uso di un sistema tecnico già esistente non esclude la contitolarità del trattamento laddove gli utenti del sistema possano decidere in merito al trattamento dei dati personali da effettuare in tale contesto. […] Inoltre, la scelta da parte di un soggetto di utilizzare per le proprie finalità uno strumento o un altro sistema sviluppato da altri per il trattamento di dati personali costituirà probabilmente una decisione congiunta sui mezzi di tale trattamento da parte dei soggetti in questione” (v. memoria citata).

Nel caso in esame, la scelta di Italiaonline di rendere disponibile agli utenti dei portali Libero e Virgilio un servizio di ricerca in Internet, realizzato e gestito da Google LLC, costituisce una decisione sui mezzi del trattamento effettuato dalla Società. Infatti, incorporando nei suoi portali il citato componente javascript (reso disponibile da Google LLC ai soggetti che intendono utilizzare il suo servizio di motore di ricerca personalizzato), Italiaonline ha esercitato un’influenza determinante sulle operazioni che comportano la raccolta e la trasmissione dei dati personali dei visitatori dei suoi portali a Google LLC e ha pertanto determinato, congiuntamente a quest’ultima, i mezzi di tale trattamento. Peraltro, tale ricostruzione trova conferma nei termini del servizio di motore di ricerca personalizzato di Google che prevedono che “quando l'Utente [(nel caso in esame, Italiaonline)] riceverà le Query degli Utenti finali [(gli utenti dei portali Libero e Virgilio utilizzatori del servizio in questione)], le dovrà inoltrare a Google. […] Google non è responsabile per la ricezione delle query degli Utenti finali o per la trasmissione di dati tra l’Utente e l'interfaccia di rete di Google. L’Utente è tenuto a fornire l’hardware e il software necessari per l’espletamento dei propri obblighi in base a quanto stabilito nei presenti Termini e condizioni d’uso, tra cui a titolo esemplificativo: (a) l’implementazione e la gestione del Sito; (b) l’implementazione e la gestione dell'interfaccia tra il Sito e il Servizio; e (c) la ricezione delle query dell’Utente finale e il successivo inoltro a Google” (cfr. par. 1.3 dei “Termini di servizio del Motore di ricerca personalizzato”, all. 1 al verbale 5 aprile 2022).

La Società, come dichiarato dalla medesima e rilevabile accedendo ai due portali Libero e Virgilio, ha provveduto, nel corso del procedimento, ad integrare l’informativa resa agli utenti rendendo esplicite alcune operazioni di trattamento delle quali non era stata data evidenza in precedenza (come, ad esempio, la conservazione dei file di log con informazioni sulle ricerche effettuate dagli utenti ed il relativo termine).

Tuttavia, tenuto conto di quanto emerso nel corso dell’istruttoria, si reputa che detta informativa non sia ancora sufficientemente chiara ed in linea con gli obblighi derivanti dal Regolamento risultando in particolar modo carente l’esatta indicazione dei ruoli rispettivamente svolti da Italiaonline e da Google LLC, in qualità di contitolari, con riguardo al trattamento complessivamente considerato connesso al servizio di ricerca in internet.

Tale carenza si riflette altresì in una non chiara indicazione, nella sezione dedicata ai diritti degli interessati nel contesto dell’informativa, di quale soggetto debba ritenersi, nelle varie fasi del trattamento, destinatario delle istanze degli interessati e ciò con particolare riguardo alle richieste di deindicizzazione. La Società ha, infatti, ricondotto quest’ultima nell’ambito del “Trattamento di dati connessi ad altri servizi” presente nell’informativa (cfr. punto 6 di quest’ultima), affermando che “il servizio motore di ricerca accessibile tramite la barra di ricerca in alto nel Sito (“cerca nel web”) è fornito da un soggetto terzo che tratta i dati raccolti nell’erogazione del servizio in qualità di titolare del trattamento (…) in via del tutto autonoma dal Titolare (Italiaonline) che non ha controllo su quali informazioni vengano raccolte e per quali finalità” rinviando poi all’informativa di Google per maggiori informazioni su di esso e sulla procedura attraverso la quale poter esercitare un’istanza di deindicizzazione.

Inoltre la scelta di darne atto in quella specifica sezione mira ad escludere, anche per la terminologia utilizzata, qualsivoglia coinvolgimento della Società nei trattamenti riconducibili a detto servizio, peraltro in contraddizione con le indicazioni date nella medesima informativa riguardo alla conservazione dei file di log relativi alle operazioni di ricerca ed ai tempi di detta conservazione (cfr. punto 9 dell’informativa).

Sulla base delle precedenti considerazioni, si ritiene confermato che Italiaonline non abbia fornito e tuttora non fornisca (in base ad un accertamento d’ufficio effettuato il 5 febbraio u.s.), nell’ambito dei portali Libero e Virgilio e con riferimento ai trattamenti connessi alla ricerca in internet condivisi con Google LLC, un’idonea informativa con la quale descrivere siffatti trattamenti ed i relativi ruoli che non risultano sufficientemente chiariti neppure a seguito delle integrazioni apportate ad essa nel corso del procedimento. Si ritiene pertanto di dover ingiungere, quale misura correttiva, la modifica delle dette informative nei suddetti termini.

In base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento è inoltre tenuto ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace (cfr. le “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7 e 38).

In particolare, con riferimento al caso in esame, in relazione al principio di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), del Regolamento), si rappresenta che il titolare deve fornire informazioni chiare e trasparenti all’interessato su come raccoglierà, utilizzerà e condividerà i suoi dati personali (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punti 65 e 66). In particolare:

le informazioni devono essere fornite in un linguaggio chiaro e semplice, conciso e comprensibile (chiarezza);

le informazioni devono essere fornite al momento opportuno e nella forma adeguata (contestualità);

gli interessati devono essere messi in grado di ben comprendere ciò che possono aspettarsi dal trattamento dei loro dati personali, in particolare quando si tratti di minori o di soggetti appartenenti ad altre categorie vulnerabili (comprensibilità).

Peraltro, tutto quanto sopra considerato – e, in particolare, che Italiaonline risulta aver improntato un non adeguato disegno, organizzativo e formale, dei propri trattamenti e, al contempo, di non avere un’ adeguata contezza dei trattamenti posti in essere, nello specifico, in relazione al servizio di ricerca in internet reso disponibile nell’ambito dei portali Libero e Virgilio, che comportano una comunicazione di dati a Google LLC – non si ritiene che le difese prospettate dalla Società siano idonee a confutare la contestazione della violazione del principio di privacy by design e di accountability (artt. 5, par. 2; 24 e 25, par. 1, del Regolamento).

Sulla base delle precedenti considerazioni sull’effettiva titolarità dei trattamenti connessi alla ricerca in Internet, è confermato che Italiaonline non ha fornito, nell’ambito dei portali Libero e Virgilio, un’idonea informativa con la quale descrivere siffatti trattamenti ed i relativi ruoli (artt. 5, par. 1, lett. a) e b); 6; 9; 12, parr. 1 e 2, 13, parr. 1, lett. c), d), e), e 2, lett. a), del Regolamento).

Sono dunque da ritenersi confermate tutte le violazioni sopra contestate con riguardo ai trattamenti di dati personali connessi al servizio di motore di ricerca in internet (artt. 5, parr. 1, lett. a) e b), e 2; 6; 9; 12, parr. 1 e 2, 13, parr. 1, lett. c), d), e), e 2, lett. a); 24; 25, par. 1, del Regolamento).

Con riferimento, invece, ai trattamenti di dati personali connessi al servizio Google AdSense, che presentano profili di rilevanza comunitaria, in considerazione del fatto che tale servizio è fornito per l’Unione europea da Google Ireland Limited e che, rispetto ad esso, l’Autorità di protezione dei dati da ritenersi capofila è quella irlandese, si è provveduto a coinvolgere quest’ultima, per un suo eventuale intervento, al fine di valutare e definire, riguardo ai trattamenti dei dati degli utenti connessi all’esecuzione del contratto Google AdSense, l’assetto dei rapporti intercorrenti tra la società fornitrice del servizio (Google Ireland Limited).

A.2) Registro dei trattamenti effettuati con riguardo all’attività di ricerca

La Società, richiamando quanto asserito già in sede d’ispezione, ha precisato che, a suo avviso, “il trattamento n. 124 ricomprende infatti anche quello relativo alle attività di ricerca sui Portali, assolvendo tale trattamento alla funzione di tracciamento e monitoraggio di tutte le attività poste in essere rispetto alle ricerche in internet da parte di utenti non registrati. In ogni caso, per maggior chiarezza e precisione, la Società ha provveduto ad integrare ulteriormente il registro avendo tenuto conto delle osservazioni dell’Autorità in sede di accertamento ispettivo e nel successivo atto di contestazione” (v. all. n.6 alla detta memoria).

Pur prendendo atto della modifica introdotta, si ritiene di dover confermare la violazione dell’art. 30 del Regolamento, considerata soprattutto la rilevanza, per durata e per mole degli interessati, del trattamento, prima non indicato.

B) Ulteriori trattamenti di dati mediante i portali “Libero” e “Virgilio”.

La Società ha affermato la conformità, a suo avviso, dei moduli di raccolta dei consensi per le attività di marketing e profilazione, limitandosi a rappresentare, in via generica ed indifferenziata rispetto ai propri portali web contraddistinti da analoga procedura di registrazione, che il “modello di business della Società comporta che le comunicazioni di marketing siano sempre inviate dalla Società e non ci sia mai una comunicazione dei dati dell’utenza consensata a terzi per lo svolgimento delle proprie attività di marketing. Questi ultimi, quindi, non ricevono in alcun modo da parte di Italiaonline informazioni circa l’identità specifica dei soggetti che hanno prestato il suddetto consenso per la ricezione delle comunicazioni di marketing né alcun altro dato personale che possa consentire a tali soggetti terzi di indirizzare autonomamente comunicazioni commerciali. In tale scenario, l’acquisizione di un unico consenso è peraltro in linea con la posizione espressa proprio dalla Autorità nelle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 dove è stato previsto che ‘relativamente alla comunicazione a terzi per finalità di marketing in generale, va subito rilevato che la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull´acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità [---] occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto d..al medesimo titolare per svolgere esso stesso attività promozionale.’” La Società ha così chiarito che svolge le attività promozionali in modo compatibile con la vigente normativa non effettuando il peculiare trattamento consistente nella comunicazione dei dati a soggetti terzi per le loro attività promozionali. L’Autorità ritiene dunque che la suindicata ipotizzata violazione (mancanza di consenso per la comunicazione a terzi), oggetto di contestazione, non debba essere confermata e dunque vada archiviata.

Italiaonline risulta in atti non aver detto invece nulla riguardo ad un’altra criticità ravvisata: ed in particolare, con riferimento sempre alla medesima procedura di registrazione di un account Libero e Virgilio, all’utilizzo di un’unica casella per l’acquisizione dei consensi al trattamento per le finalità di marketing e di profilazione, e, ove l’interessato presti il relativo consenso, di due ulteriori caselle, relative alle singole finalità (marketing e profilazione), entrambe preselezionate e quindi, necessariamente, da deselezionare, ove si intenda non prestare il consenso. La richiesta del consenso in questione è dunque in contrasto con il principio della volontà dell’interessato libera e specifica, oltre che informata, comprovabile ed espressa in modo inequivocabile (V. anche Considerando 32, 40, 42 e 43 del Regolamento riguardo ai necessari requisiti di validità del consenso). Inoltre, alcun chiarimento risulta, nella memoria di Italiaonline, con riguardo alla lacunosa indicazione della finalità di profilazione e dei tempi di conservazione dei dati raccolti mediante i due propri portali.

Alla luce di quanto sopra rappresentato, con riferimento ai portali Virgilio e Libero, si ritiene di dover confermare le suddette violazioni con particolare riferimento agli artt. 6 e 7 nonché all’art. 13, par. 1, lett. c), e par. 2, lett. a), del Regolamento.

B.1) Il trattamento dei dati dei soggetti minorenni.

Al riguardo, la Società ha asserito che “quale misura di sicurezza e controllo, le Condizioni Generali di Contratto di Italiaonline stabiliscono … chiaramente che, in caso di registrazione dell’account da parte di un utente minorenne, è necessario il consenso di chi ne detiene la patria potestà o esercita la tutela legale, ivi inclusa l’accettazione delle Condizioni Generali di Contratto,” le quali peraltro “prevedono che resta responsabilità del genitore o del tutore legale fornire l’assistenza necessaria al minore nella creazione dell’account di posta e nel successivo controllo dell’accesso ai servizi, come previsti all’interno delle Condizioni Generali di Contratto”. Inoltre, ad avviso della Società, tramite l’apposita informativa privacy “gli utenti della posta elettronica sono resi chiaramente edotti sulla necessità di un preventivo consenso da parte di chi esercita la patria potestà e tutela legale nonché sull’immediata interruzione del servizio in caso di assenza del consenso”.

Italiaonline ha quindi affermato di aver “adempiuto in modo diligente ai propri obblighi informativi e non può essere responsabile per l’eventuale negligenza del genitore o tutore nel controllare l’operato dei minori” e di aver comunque deciso di porre in essere misure migliorative rispetto a quelle già previste:

- per non consentire più ai minori la registrazione al servizio, ha rivisto le pagine collegate all’account di registrazione del servizio di posta elettronica, non consentendo all’utente minorenne tout court di esprimere o di modificare i consensi per il trattamento dei propri dati forniti in fase di registrazione;

- ad ogni modo, per azzerare qualsiasi rischio di invio di comunicazioni commerciali non appropriate rispetto all’intera utenza di minorenni (inclusi pertanto gli ultra-quattordicenni), la Società si sta astenendo - e continuerà ad astenersi anche in futuro - dall’effettuare qualsiasi trattamento dei dati di soggetti minori (anche oltre i quattordici anni di età) per le finalità che richiedono un consenso, evitando quindi l’invio di comunicazioni di marketing e lo svolgimento di attività di profilazione. Infine, la Società ha evidenziato che sono state integrate le Condizioni Generali di Contratto per esporre in modo più chiaro quali siano i limiti all’utilizzo dei servizi di posta elettronica da parte dei soggetti minorenni e che entro il primo trimestre del 2023 delle procedure di salvaguardia aggiuntive attraverso un funnel di doppia autorizzazione, sia in fase di registrazione dell’account sia in fase di modifica dell’anagrafica, da parte dei soggetti esercenti la responsabilità genitoriale o dei tutori legali, così come descritto nel documento in allegato (doc. n. 5, all. alla memoria).

Pur preso atto dei chiarimenti forniti e delle misure prospettate dalla Società, si ritiene di dover confermare le contestazioni effettuate al riguardo (artt. 6, 7, 8 e 22 del Regolamento, unitamente all’art. 2 quinquies del Codice), tenuto conto del fatto che i trattamenti svolti dalla società anteriormente alle variazioni introdotte nel corso del procedimento sono avvenuti senza prevedere alcuna gradazione nella richiesta dei consensi in rapporto all’età dei minori interessati, con particolare riguardo al marketing ed alla profilazione, né -con riferimento ai minori infraquattordicenni- meccanismi di verifica da parte del titolare della responsabilità genitoriale attivabili in occasione di eventuali variazioni del consenso eventualmente espresse dall’utente minorenne successivamente all’accesso al servizio.

Tali circostanze, come argomentato nella sezione B.1 del punto 2 del presente provvedimento, hanno inficiato la validità dei consensi espressi dai minori che hanno nelle more attivato ed utilizzato account di posta elettronica gestiti da Italiaonline S.p.A.

B.2) Gestione delle istanze di cancellazione

Secondo la Società, la procedura oggetto di contestazione:

è stata adottata con lo specifico obiettivo di creare un’ulteriore barriera di sicurezza, in modo tale da proteggere l’individuo da una cancellazione illegittima o inavvertita delle informazioni contenute all’interno delle caselle di posta elettronica;

sarebbe giustificabile in base alla natura delle informazioni e dei dati personali che tendenzialmente sono contenuti nelle caselle di posta elettronica dei clienti, aventi una certa storicità e pertanto una rilevante portata informativa o documentale, nonché del valore intrinseco della casella di posta elettronica per l’utente e dei possibili pregiudizi derivanti all’interessato a causa del mancato accesso ed utilizzo.

Per questo motivo la Società ha affermato di aver deciso di adottare il suddetto meccanismo di riconoscimento dell’utente attraverso richiesta della copia del documento d’identità in fase di cancellazione dell’account, evidenziando che “L’asimmetria sussistente tra i dati personali acquisiti in fase di registrazione e di cancellazione si giustifica alla luce dell’assenza di informazioni e contenuti rilevanti nella fase di creazione del nuovo account, ritenendo, quindi, … di adottare in tale fase misure di sicurezza proporzionate allo specifico livello di rischio.” Inoltre, la Società ha fatto presente che “in ottica preventiva ed in aggiunta alle misure di cui sopra, concede anche un termine all’interessato per la revoca della cancellazione del proprio account.”  La Società ha poi sottolineato che: “In forza della contestazione in oggetto, … sarebbe costretta a sostituire una misura di sicurezza, che è in grado di minimizzare i rischi e risulta proporzionale al rischio di cancellazioni illegittime e che di fatto scoraggia l’accesso di utenti non autorizzati, con la seguente procedura. In sede di cancellazione, all’utente potrebbe essere richiesto di effettuare un processo di autenticazione per la verifica dell’identità del richiedente non più con l‘acquisizione del relativo documento di identità, ma bensì attraverso un doppio meccanismo di verifica con inoltro di un codice di conferma al numero di cellulare fornito dall’utente e successivo meccanismo di doppia notifica della richiesta di cancellazione, sia verso il numero cellulare che l’indirizzo di posta elettronica secondario”. La Società ha infine aggiunto che “a seguito della verifica dell’identità, le copie degli stessi documenti d’identità e le altre informazioni e dati raccolti non vengono trattate per ulteriori finalità, ma bensì eliminate. Ad ogni modo, a seguito dei rilievi avanzati nel Provvedimento … ha provveduto, immediatamente e nelle more dell’adozione di ulteriori presidi anche a seguito del confronto con la Autorità, ad aggiornare l’informativa resa agli utenti che si registrano al servizio di posta elettronica indicando in dettaglio le modalità e i tempi di conservazione del suddetto documento d’identità.”

Al riguardo, questa Autorità evidenzia che la versione 2.0 delle “Guidelines 01/2022 on data subject rights - Right of access”, adottata dal Comitato europeo per la protezione dei dati il 17 aprile 2023 (versione 2.0), coerentemente con quanto precisato nella versione 1.0 adottata il 18 gennaio 2022, chiarisce che:

“it should be remembered that, as a rule, the controller cannot request more personal data than is necessary to enable this authentication, and that the use of such information should be strictly limited to fulfilling the data subjects’ request” (punto 65);

“authentication procedures often already exist between the data subjects and the controllers. The controllers may use these authentication procedures in order to ascertain the identity of the data subjects requesting their personal data or exercising the rights granted by the GDPR. Otherwise, controllers should implement an authentication procedure to do so” (punto 66);

“in cases where the controller requests or is provided by the data subject with additional information necessary to confirm the identity of the data subject, the controller shall, each time, assess what information will allow it to confirm the data subject’s identity and possibly ask additional questions to the requesting person or request the data subject to present some additional identification elements, if it is proportionate” (punto 67).

“authentication procedures often exist and controllers do not need to introduce additional safeguards to prevent unauthorised access to services. In order to enable individuals to access the data contained in their accounts (such as an e-mail account, an account on social networks or online shops), controllers are most likely to request the logging through the login and password of the user, which in such cases should be sufficient to authenticate a data subject. Furthermore, the data subjects are often already authenticated by the controller before entering into a contract or collecting their consent to the processing and, as a result, the personal data used to register the individual concerned by the processing can also be used as evidence to authenticate the data subject for access purposes. Consequently, it is disproportionate to require a copy of an identity document in the event where the data subject making a request is already authenticated by the controller” (punto 73).

Le citate Linee guida, dunque, escludono la possibilità di richiedere copia del documento di identità per la gestione di un’istanza di accesso in caso di un’autenticazione informatica dell’utente interessato; tale esclusione deve valere anche per la gestione di un’istanza di cancellazione per la quale risultano proporzionate e congrue misure ben diverse per verificare con maggiore certezza l’identità del richiedente (quali l’invio di un codice OTP a un indirizzo e-mail secondario o a un numero di cellulare) o per mitigare gli effetti pregiudizievoli in caso di richieste fraudolente (quali la previsione di un congruo periodo di conservazione dei dati successivo alla ricezione dell’istanza in rilievo).

Alla luce dei chiarimenti forniti e tenuto conto delle misure prospettate dalla Società, si ritiene di dover confermare, per i trattamenti già effettuati, la contestazione elevata al riguardo (art. 12, par. 2, del Regolamento), mentre si ritiene di dover archiviare quella dell’art. 5, par. 1, lett. c), d) ed e), del Regolamento, considerato soprattutto che la Società ha affermato di procedere all’immediata distruzione dei documenti d’identità, senza dunque procedere alla conservazione o a qualsivoglia ulteriore utilizzo.

C) Termini del procedimento amministrativo.

Ad avviso della Società, “il periodo intercorrente tra il momento in cui codesta Autorità ha avuto piena contezza di tutti gli elementi per l’accertamento della violazione e quello di contestazione supera il termine previsto della L. n. 689 del 1981, art. 14, secondo quanto anche statuito dalla relativa giurisprudenza di legittimità (Cass. civ., sez. VI - 06/12/2021, n. 38510); poiché sono decorsi più di 90 (novanta) giorni dall’ultima richiesta di documentazione integrativa a valle dell’ispezione e la notifica del Provvedimento. Allo stesso modo, il termine decorrente dal reclamo ricevuto alla conclusione delle indagini risulta in contrasto con il principio di ragionevole durata del procedimento amministrativo, essendo in tal caso decorsi ben 10 (dieci) mesi di tempo.”

Al riguardo, l’Autorità evidenzia che, in base al Regolamento interno n. 2/2019:

-  il termine per la contestazione delle violazioni è di 120 giorni dalla data dell’accertamento delle violazioni (v. punto 2), Tabella B) all. al Reg. n. 2/2019, cit.); accertamento che, nella presente fattispecie, ha comportato la necessità dell’analisi della nota inviata dalla Società il 29 aprile 2022, effettuata nei 15 giorni successivi, e che è stato definito con l’invio della comunicazione dell’avvio del procedimento in data 28 settembre 2022, ferma restando peraltro la sospensione dei termini  procedurali dal 1° al 31 agosto di ogni anno (art. 6, co. 1, Reg. n. 2/2019, cit.);

- il termine per la conclusione del procedimento, che trae origine da un controllo ex officio e che è stato avviato con la detta contestazione (28 settembre 2022) – precisato che la data di conclusione, ai sensi dell’art. 12 del Regolamento interno n. 2/2019, coincide con la data dell’adozione dell’eventuale provvedimento correttivo e sanzionatorio – è di 18 mesi dalla detta contestazione (v. punto 2), Tabella B) all. al Reg. n. 2/2019, cit.).

Dunque, il procedimento instaurato e condotto dall’Autorità si deve ritenere pienamente conforme alla normativa di riferimento.

5. RISULTANZE COMPLESSIVE.

Per quanto sopra complessivamente esposto, si ritiene accertata la responsabilità di Italiaonline in ordine alla violazione delle seguenti disposizioni:

artt. 5, parr. 1, lett. a) e b), e 2; 6; 7; 8; 9; 12, parr. 1 e 2; 13, parr. 1, lett. c), d), e), e 2, lett. a); 22; 24; 25, par.1; 30, par. 1, lett. a), b), c), d) ed f), del Regolamento;

art. 2-quinquies del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, e preso atto delle misure già adottate dalla Società che consentono all’Autorità una valutazione di minor gravità delle lacune sopra considerate, si rende necessario ingiungere alla Società, con riferimento ai trattamenti connessi alla ricerca in internet condivisi con Google LLC, di fornire un’idonea informativa con la quale descrivere siffatti trattamenti ed i relativi ruoli, anche con riguardo alla gestione dei diritti degli interessati ex artt. 15-22 del Regolamento.

Si ritiene altresì, con riguardo ai trattamenti già realizzati e con finalità dissuasiva, che sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i), e 83, parr. 4 e 5, del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA.

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti de Italiaonline spa della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing e di profilazione, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche il principio del consenso libero e specifico (artt. 6 e 7, del Regolamento) - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1) l’elevato numero dei soggetti coinvolti nei trattamenti contestati (lett. a);

2) la difformità della condotta della Società rispetto al dettato normativo e all’attività provvedimentale del Garante, con specifico riguardo alla richiesta dei consensi per le diverse finalità di marketing e di profilazione (lett. k).

Quali elementi attenuanti, si ritiene di dover tener in conto:

1) la tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi (lett. c);

2) la costante cooperazione con questa Autorità di controllo nell’ambito dell’istruttoria preliminare e del conseguente procedimento (lett. f);

3) il carattere derivato e conseguenziale di alcune violazioni riscontrate riguardo al funzionamento del motore di ricerca (in particolare: la lacunosità dell’informativa e quella del registro dei trattamenti) dalla erronea mancata qualificazione della Società come titolare (autonomo o congiunto) del trattamento, con i connessi adempimenti (lett. k);

4) la grave crisi socio-economica in atto e i suoi riflessi anche sulla situazione economico-finanziaria della Società (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Italiaonline la sanzione amministrativa del pagamento di una somma di euro 100.000,00 (centomila/00), pari a circa il 3,4% della sanzione edittale massima (euro 11.664.000,00).

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della violazione di principi consolidati nei provvedimenti del Garante (v. il consenso libero e specifico per le diverse finalità del trattamento), nonché della delicatezza della materia oggetto di istruttoria (in particolare, il trattamento dei dati dei minori, peraltro, per la finalità di marketing profilato) nonché dell’esigenza di non discriminazione rispetto a fattispecie analoghe.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della società Italiaonline S.p.A. (p.i. 03970540963), con sede legale in Assago (MI), Via del Bosco rinnovato, n. 8, e, per l’effetto, nei confronti della medesima,

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge, con riferimento ai trattamenti connessi alla ricerca in internet condivisi con Google LLC, di fornire un’idonea informativa con la quale descrivere siffatti trattamenti ed i relativi ruoli, anche con riguardo alla gestione dei diritti degli interessati ex artt. 15-22 del Regolamento;

c) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Italiaonline S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 100.000 (centomila/00), pari a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000 (centomila/00), pari, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei