[doc. web n. 10148519]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 175 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, ed il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le Linee guida in materia di cookie e altri strumenti di tracciamento del 10 giugno 2021 (in www.garanteprivacy.it, doc. web n. 9677876, di seguito “Linee Guida cookie”);

VISTO il Protocollo d’intesa del 30 marzo 2021 siglato dal Corpo della Guardia di Finanza e dal Garante per la protezione dei dati personali;

VISTA la nota n. 57504 del 21 ottobre 2022 con la quale l’Autorità, tenuto conto dell’esigenza di procedere ad una verifica sul rispetto delle citate Linee guida, anche alla luce dei numerosi reclami pervenuti in materia, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza (di seguito, anche “Nucleo”) l’effettuazione di una serie di accertamenti on-line chiedendo di concentrare l’attività, in una prima fase, su un campione di operatori nell’ambito dell’e-commerce;

VISTA la nota n. 10808 del 24 gennaio 2023 con la quale il Nucleo ha fornito gli elenchi dei possibili destinatari degli accertamenti, indicando l’area geografica di provenienza e il volume d’affari;

VISTA la nota n. 36204 del 28 Febbraio 2023 con la quale, nel rispetto di canoni di omogeneità dell’intervento e in applicazione di un criterio selettivo predeterminato e uniforme su tutto il territorio nazionale, fondato anche su indicatori dimensionali e geografici, Professional System S.r.l.s. è stata individuata, unitamente ad altri titolari, tra i soggetti destinatari di dette verifiche, concretamente effettuate in data 20 aprile 2023 in relazione al sito internet www.beautycore.it;

CONSIDERATO che, in tale sede, è emerso che:

- al primo accesso al sito non appariva alcun banner a comparsa immediata sull’utilizzo dei cookie;

- nel footer del sito era presente il link di collegamento alla “Cookie policy” raggiungibile all’indirizzo URL www.beautycore.it/content/2-cookie-policy;

- nel suindicato testo, suddiviso in paragrafi, venivano menzionate le seguenti tipologie di cookie: “cookie strettamente necessari”, “cookie di analisi e prestazioni”, “cookie di terze parti” e “cookie di profilazione”. In relazione a tale ultima categoria veniva chiarito che “Questo sito utilizza i cookie di Google Adsense per proporre banner pubblicitari”;

- nella cookie policy in questione inoltre, nel paragrafo “GESTIONE DEI COOKIE”, veniva riportato che “L’utente può decidere se accettare o meno i cookie utilizzando le impostazioni del proprio browser”; in realtà, non era tuttavia possibile rilasciare il singolo consenso per quelle, tra le tipologie di cookie in precedenza elencate, per le quali la disciplina applicabile ne impone l’acquisizione quale condizione di liceità del trattamento;

- a seguito delle operazioni svolte, la sezione “Visualizza tutte le autorizzazioni e i dati dei siti” del browser utilizzato indicava l’installazione di 8 cookie;

VISTA la nota del 15 Settembre 2023 (prot. 128833/23) con la quale, ai sensi dell’art. 166, comma 5, del Codice, l’Autorità ha comunicato a Professional System S.r.l.s. l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e le presunte violazioni di legge, individuate, nel caso di specie, nella violazione degli artt. 4, punto 11, 5, 7, 24 e 25 del Regolamento e dell’art. 122 del Codice, nonché delle indicazioni contenute nelle Linee guida cookie, riconducibili alla mancata configurazione del banner in maniera tale da consentire all’utente di esprimere un consenso informato, libero e granulare;

PRESO ATTO che la Società, avvalendosi del diritto di cui all’art. 166, comma 6, del Codice, ha fatto pervenire le deduzioni del 13 ottobre 2023 (prot. 140304/23), ma non ha chiesto di essere sentita dall’Autorità;

PRESO ATTO, altresì, che con i richiamati scritti difensivi, da intendersi qui integralmente richiamati, il titolare ha rappresentato che “a seguito di verifica ci risulta che i cookie utilizzati dal sito sono cookie tecnici di PrestaShop per il funzionamento del sito web e la funzione “User-ID” su Google Analytics è disattivata. Pertanto l’utente non viene identificato e i dati personali non vengono trasmessi a terzi. Si specifica che i cookie di Google sono usati solo per l’analisi del traffico sul sito web senza la profilazione e identificazione degli utenti”;

RITENUTO, dunque, che per le ragioni esposte, nel caso in esame non siano ravvisabili gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali e che, pertanto, sia necessario disporre l’archiviazione del procedimento ai sensi dell’art. 11, comma, 1, lett. b) del reg. interno n. 1/2019;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 11, comma, 1, lett. b) del reg. interno n. 1/2019, dichiara che non sono ravvisati gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali, nei termini descritti in motivazione, in relazione alla condotta tenuta da Professional System S.r.l.s, in persona del legale rappresentante pro-tempore, con sede legale in Potenza (PZ), in via Alassio n. 4/5, 85100, P.I. 02000010765 e pertanto dispone l’archiviazione del procedimento;

DISPONE ALTRESI’

ai sensi dell’art. 154-bis del Codice e dell’art. 37 del citato regolamento interno n. 1/2019, la pubblicazione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell'interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei