Era il 3 agosto 2021 quando è stato pubblicato per la prima volta l’avviso di multa nei confronti del colosso Amazon, mentre tre giorni fa viene aggiornato dal CNPD (Commissione Nazionale Lussemburghese per la protezione dei Dati) a seguito di nuove informazioni.
L’accusa fatta dal CNPD è relativa alle pratiche di elaborazione dei dati del colosso della vendita al dettaglio online, con conseguente multa di 746 milioni di euro, ad oggi la più alta per violazioni del GDPR.
Amazon però ha comunicato di voler contestare.
Ad oggi, purtroppo, non c’è una fonte ufficiale che affermi quali norme abbia violato Amazon, ma possiamo constatare alcuni dati:
- Amazon ha la sua sede ufficiale Europea in Lussemburgo, individuando così l’autorità di vigilanza nel CNPD;
- La violazione è relativa alle pratiche pubblicitarie di Amazon Europe Core S.a.r.l, riguardo la sicurezza e il consenso dell’utente;
- Il caso dovrebbe includere un’analisi della base legale per il trattamento dei dati personali;
- Amazon si è focalizzata sull’aspetto della sicurezza, negando una fuga di dati o una divulgazione di essi a terzi.
Il fatto è che non si tratta soltanto di una mera violazione di dati, in quanto ad essere colpito è il sistema di targettizzazione dei consumatori con la pubblicità. Non a caso sono state fatte diverse indagini sull’argomento, come quella del UK Information Commissioner Office (ICO), relativa alla pubblicità e alle offerte istantanee, sospese a maggio 2020 per dare priorità alla risposta alla pandemia. La trasparenza per i cittadini però è una priorità per l’ICO, come la difesa della condivisione dei dati e, proprio per questo, l’indagine Adtech promossa dall’ente ha avuto luogo nuovamente nel Gennaio 2021. Anche il DPA francese, CNIL, ha intrapreso un’azione legale contro Amazon, per la sua conformità ai cookie, con una multa di 35 milioni di euro, lo scorso anno.
Se riflettiamo, dunque, su quanto appena detto, capiamo bene che non si tratta soltanto di una multa, anzi, da quanto trapelato, ci sarebbero ulteriori divieti oltre alla multa: la CNPD avrebbe ordinato ad Amazon di interrompere il trattamento illecito entro 6 mesi, con una conseguente multa di 736.000 euro al giorno, in caso di inottemperanza.
Il ricorso di Amazon
Il 15 ottobre 2021, Amazon però presenta ricorso, asserendo che il CNPD possa pubblicare una decisione o parte di essa, solo se tutti i processi di ricorso sono stati esauriti e non vi è alcun pregiudizio nella pubblicazione della decisione. Secondo il procedimento amministrativo Lussemburghese, Amazon aveva 3 mesi per avviare la procedura e, ora, è lo stesso ad avere 3 mesi per rispondere all’amministrazione, mentre quest’ultima 1 solo mese per rispondere ad Amazon. Questo porta ad una sola conseguenza: a meno che il giudice non intervenga chiedendo chiarimenti, verrà attuata un‘archiviazione.
Ad oggi Amazon, non ha ancora pubblicato i motivi per cui ha presentato ricorso ma afferma a gran voce che:
Mantenere la sicurezza delle informazioni relative ai nostri clienti e la loro fiducia sono priorità assolute per noi. Non c'è stata alcuna violazione di dati personali, né alcuna esposizione a terze parti di dati relativi ai nostri clienti. Queste circostanze sono indiscutibili.
Effettivamente i ricorsi hanno buone possibilità di successo ai sensi del GDPR, dati i requisiti procedurali imposti alle DPA, si tratta quindi solo di tempo per capire come andrà a finire.
