L’Autorità Garante, tenendo conto dei numerosi reclami ricevuti e della necessità di verificare il rispetto delle Linee guida sui cookie del 10 giugno 2021, aveva delegato il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza per condurre una serie di accertamenti online.

Dalle verifiche è emersa una serie di criticità significative. Al primo accesso, sul sito compariva un banner sui cookie che dichiarava il trattamento di dati personali e l’uso di cookie per il funzionamento, il miglioramento del sito e la pubblicità personalizzata, offrendo le opzioni “Accetta Tutti” o “Scopri di più” per personalizzare le preferenze. Tuttavia, se l’utente avesse cliccato sul comando “X”, il banner sarebbe ricomparso a ogni accesso successivo, creando una situazione che, secondo il Garante, compromette la fluidità dell’esperienza utente e può forzare l’utente a prestare il consenso pur di proseguire la navigazione.

Inoltre, la Cookie Policy e la Privacy Policy del sito esaminato presentavano gravi lacune: la Cookie Policy conteneva riferimenti a norme di legge abrogate e non indicava i destinatari dei dati, mentre la Privacy Policy faceva riferimento a norme non più in vigore e all’emergenza sanitaria legata alla pandemia di Covid-19. Queste carenze informative impedivano agli utenti di conferire un consenso libero, informato e specifico, come richiesto dalla normativa. Il Garante ha evidenziato che l’informativa era incompleta, mancando di informazioni sui destinatari dei dati e di un avvertimento chiaro che la chiusura del banner tramite “X” avrebbe comportato il mantenimento delle impostazioni di default.

Le condotte rilevate hanno configurato violazioni di diversi articoli del Regolamento (UE) 2016/679, tra cui quelli relativi alla definizione di consenso, ai principi di trattamento, alle condizioni per il consenso, alla trasparenza e alle informazioni da fornire, oltre agli articoli sulla responsabilità del titolare del trattamento e sulla protezione dei dati fin dalla progettazione e per impostazione predefinita. È stata inoltre riscontrata la violazione dell’articolo 122 del Codice privacy, che disciplina l’uso dei cookie.

Il Garante ha chiarito che spetta al titolare del trattamento l’obbligo di fornire un’informativa completa sui dati trattati tramite cookie e di acquisire il consenso per i cookie non tecnici. In questo caso specifico, l’assenza e l’insufficienza delle informazioni nel banner e nella cookie policy, insieme alla ricomparsa forzata del banner, hanno costituito una violazione.

Nonostante il proprietario del sito avesse dichiarato di aver affidato la gestione del sito a una società terza e di non disporre delle competenze tecniche per aggiornare l’informativa, e avesse successivamente apportato delle modifiche al banner in pendenza del procedimento, tali modifiche sono state ritenute non idonee a ripristinare la conformità del sito e, anzi, non conformi alla disciplina vigente sotto ulteriori profili.

Di conseguenza, il Garante ha ingiunto al proprietario del sito di conformare i trattamenti di dati personali effettuati tramite cookie e altri strumenti di tracciamento alla normativa vigente. Ciò significa che l’azienda deve configurare il banner in modo da consentire un consenso specifico e informato all’utilizzo dei cookie di natura non tecnica e integrare l’informativa generale sulla protezione dei dati personali con un riferimento specifico al trattamento dei dati tramite cookie.