NEWS
Il Garante lussemburghese affonda il colpo: sanzione da 746 milioni di euro per Amazon
Sanzione per violazione della normativa data protection (anche in Irlanda con Facebook non si scherza più…)
Lo scorso luglio, la Commission National pour la Protection des Données (l’autorità lussemburghese preposta alla tutela dei dati personali, di seguito “CNDP”) ha irrogato nei confronti del colosso di Jeff Bezos una sanzione pari a 746 milioni di euro.
La decisione sarebbe stata presa a seguito di un’istruttoria originata dalla segnalazione da parte di un’organizzazione non governativa francese, La Quadrature du Net - che ha presentato un ricorso collettivo al CNPD a nome di diecimila utenti Amazon - e che aveva coinvolto anche l’autorità garante francese[1].
Pur non essendo ancora note le motivazioni alla base del provvedimento adottato[2], la segnalazione avrebbe riguardato il trattamento sotteso ad attività di profilazione effettuata senza il consenso degli utenti.
Amazon si sarebbe difesa affermando che la base giuridica e la conseguente legittimità del trattamento dei dati personali poggerebbe sull’esecuzione di un contratto fra il titolare e i propri utenti: non sarebbe necessario, pertanto, acquisire il preventivo consenso degli interessati.
L’autorità lussemburghese non avrebbe riconosciuto tale ricostruzione, ritenendo la base giuridica di cui all’articolo 6, paragrafo 1, lettera b) del Regolamento UE 2016/679 (“GDPR”) non adeguata, in considerazione della circostanza che l’attività di profilazione è tesa ad offrire agli utenti – proprio sulla base delle informazioni raccolte - servizi e prodotti nuovi rispetto a quelli già acquistati.
Amazon avrebbe sei mesi di tempo per porre rimedio alla condotta sanzionata[3].
La società americana, tuttavia, ha fatto sapere di essere in disaccordo con la decisione del CNPD e di voler appellare il provvedimento, affermando come "la decisione relativa al modo in cui mostriamo ai clienti pubblicità rilevante, si basa su interpretazioni soggettive e inedite della normativa europea sulla privacy e la sanzione proposta è del tutto sproporzionata anche rispetto a tale interpretazione" e che "mantenere la sicurezza delle informazioni relative ai nostri clienti e la loro fiducia sono priorità assolute per noi. Non c'è stata alcuna violazione di dati personali, né alcuna esposizione a terze parti di dati relativi ai nostri clienti"[4].
Il Professor Franco Pizzetti, ex presidente del Garante per la Protezione dei Dati Personali (“Garante Privacy”), in un’intervista rilasciata alla rivista Cybersecurity360 ha dichiarato che “anche se non si sa molto ancora sui motivi, è una sanzione significativa e rilevante (…) si iscrive in una linea che EDPB[5] sta sostenendo, quella di avere autorità garanti attente, soprattutto nei confronti di multinazionali digitali”[6].
Il commento dell’ex Garante Privacy si riferisce verosimilmente alla circostanza che l’EDPB aveva in più occasioni “sollecitato” l’autorità irlandese (la Data Protection Commission, “DPC”) ad essere maggiormente incisiva nei propri controlli e decisioni nei confronti dei big USA[7].
L’appello sembrerebbe essere stato accolto, dal momento che la DPC ha recentemente inflitto una sanzione di 225 milioni di euro a WhatsApp (di proprietà di Facebook dal 2014) per non essere risultata conforme all’obbligo di trasparenza imposto dal GDPR, con riferimento alle informazioni rese agli utenti sul trattamento dei propri dati personali, soprattutto per quanto attiene alla condivisione dei medesimi con Facebook[8].
La questione era stata, peraltro, portata all’attenzione dell’EPBD dal Garante Privacy già lo scorso gennaio, sottolineando l’impossibilità, per gli utenti di WhatsApp, di comprendere le modifiche effettivamente introdotte dopo l’8 febbraio 2021 da parte dell’azienda in merito al trattamento dei dati personali[9].
Sembrerebbe dunque che a livello europeo, le diverse autorità abbiano deciso di monitorare in maniera sempre più puntuale e – laddove necessario – sanzionare in modo piuttosto incisivo le condotte adottate in violazione della normativa data protection, soprattutto quando vi sono coinvolti i “grandi giocatori” del mondo tech, i quali hanno fatto dei dati personali il cuore e il motore della propria attività e del proprio posizionamento sul mercato.
[1] Commission Nationale de l'Informatique et des Libertés, di seguito “CNIL”. La competenza del CNPD è motivata dal fatto che il titolare del trattamento sottoposto ad indagine, ovvero la Amazon Europe Core S.a.r.l., ha sede in Lussemburgo.
[2] Difatti, ai sensi dell’art. 52 della Legge lussemburghese del primo agosto 2018 che disciplina l’attività e il funzionamento della CNPD, la pubblicazione della decisione costituisce una vera e propria sanzione aggiuntiva comminabile solamente quando la decisione non è più utilmente appellabile.
[3] R. Berti, F. Zumerle, Amazon, che succede dopo la sanzione privacy lussemburghese, Agendadigitale.eu, 13 settembre 2021, reperibile al seguente indirizzo https://www.agendadigitale.eu/sicurezza/privacy/amazon-cosa-sappiamo-della-sanzione-del-garante-della-privacy-del-lussemburgo).
[4] Maxi multa ad Amazon per violazione norme Ue privacy, Ansa.it. 30 luglio 2021 (https://www.ansa.it/europa/notizie/rubriche/altrenews/2021/07/30/maxi-multa-ad-amazon-per-violazione-norme-ue-privacy_8163a049-014a-4b62-ac66-d467c622e7e3.html).
[5] European Data Protection Board.
[6] A. Longo, Mega sanzione privacy ad Amazon, 746 milioni di euro: così si stringe la morsa sulla big tech, Cybersecurity360, 30 luglio 2021, consultabile al seguente indirizzo https://www.cybersecurity360.it/legal/privacy-dati-personali/mega-sanzione-privacy-ad-amazon-746-milioni-di-euro-cosi-si-stringe-la-morsa-sulla-big-tech/.
[7] E ciò in considerazione della circostanza che la maggior parte di tali società, come Facebook, ha stabilito nel territorio irlandese la propria sede europea.
[8] Irlanda: maxi sanzione da 225 milioni di euro a WhatsApp, Federprivacy, 2 settembre 2021 (https://www.federprivacy.org/informazione/mondo/whatsapp-ha-violato-la-normativa-europea-sulla-privacy-sanzione-da-225-milioni-di-euro).
[9] Garante per la Protezione dei Dati Personali, Whatsapp: Garante privacy, informativa agli utenti poco chiara. L’Autorità intenzionata ad intervenire anche in via d'urgenza, 14 gennaio 2021, consultabile al seguente indirizzo https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9519943.
