È trascorso oltre un mese da quando la Commissione nazionale lussemburghese per la privacy (CNPD) ha inflitto una sanzione record nei confronti di Amazon, tuttavia ancora scarseggiano le informazioni disponibili sulle ragioni della misura adottata. Una decisione che proietta però l’Autorità lussemburghese nel novero dei paladini della tutela dei dati nei confronti del Big tech, in un periodo in cui invece l’atteggiamento titubante e benevolo della DPC irlandese ha sollevato numerose critiche.
Mega sanzione privacy ad Amazon, 746 milioni di euro: così si stringe la morsa sulla big tech
Perché tanto mistero sulla decisione
La decisione della CNPD non è stata infatti resa pubblica in quanto, per il diritto lussemburghese, i provvedimenti dell’Autorità privacy non possono essere diffuse fino all’esaurimento delle impugnazioni. E Amazon ha già fatto sapere di intendere ricorrere in appello contro la sanzione.
Anzi, a ben vedere ai sensi dell’art. 52 della Legge lussemburghese del primo agosto 2018 che disciplina l’attività e il funzionamento della CNPD, la pubblicazione della decisione costituisce una vera e propria sanzione aggiuntiva comminabile (se sarà il caso) solamente quando la decisione non è più utilmente appellabile.
Questa disciplina (che in termini simili esiste anche in Italia ma non pregiudica la natura pubblica della sentenza che, se di interesse giornalistico, rimane accessibile) in Lussemburgo fa il paio con la rigida disciplina in tema di segreto professionale a cui sono soggetti i componenti della CNPD, che quindi non hanno comunicato la loro decisione nemmeno ai colleghi del CNIL francese, che pur hanno partecipato alla fase istruttoria.
Questo esempio, seppur di per sé non particolarmente significativo, permette comunque di evidenziare un nervo scoperto circa l’armonizzazione del diritto comunitario in tema di
protezione dei dati, con trattamenti che coinvolgono l’intera comunità che vengono sanzionati senza che se ne conoscano le ragioni e la portata.
La sanzione dell’Autorità per la tutela della privacy del Lussemburgo
La sanzione emanata dalla CNPD ammonta alla cifra record 746 milioni di euro e impone ad Amazon di intraprendere una serie di azioni per evitare ulteriori trattamenti dati illegittimi.
La competenza del CNPD è motivata dal fatto che Amazon Europe Core S.a.r.l. ha sede in Lussemburgo e quindi, sebbene l’istruttoria abbia avuto origine sulla base di una segnalazione
da parte della NGO francese La Quadrature du Net (LQDN), e sebbene l’Autorità francese (CNIL) sia stata coinvolta nell’istruttoria della procedura, l’autorità capofila rimane quella lussemburghese, così come il tribunale amministrativo lussemburghese sarà chiamato a decidere sull’appello che Amazon presenterà (entro tre mesi dalla comunicazione della decisione).
Come anticipato, sappiamo ancora poco della decisione che motiva la maxi-sanzione ad Amazon, se non che la stessa riguarda le attività di profilazione per scopi pubblicitari messe in atto dall’azienda di Bezos.
Stando a quanto riferisce La Quadrature du Net (che ha presentato un ricorso collettivo al CNPD a nome di diecimila utenti Amazon), l’azienda USA nel corso del procedimento ha affermato che queste attività di profilazione sono legittimate dall’esecuzione di un contratto fra le parti e che quindi, di conseguenza, non è necessario per l’azienda ottenere il consenso dell’utente.
L’Autorità del Lussemburgo quindi, nel sanzionare Amazon, ha ritenuto infondata questa ricostruzione, affermando che il contratto fra l’azienda e i propri utenti non può estendersi a legittimare un’attività di profilazione tesa a proporre agli utenti stessi nuovi prodotti sulla base delle preferenze acquisite ed elaborate dall’azienda attraverso i suoi algoritmi.
Sempre stando a quanto riferisce La Quadrature du Net, il CNPD ha concesso ad Amazon sei mesi di tempo per intervenire e correggere questa situazione, correzione che verosimilmente
(salvo sospensioni dell’efficacia del provvedimento del CNPD in sede di ricorso avanti al giudice amministrativo lussemburghese) porterà Amazon a sospendere l’attività di profilazione degli utenti ovvero a chiedere agli stessi se vogliono prestare o meno il consenso affinché questa
attività di profilazione prosegua.
Se Amazon non dovesse intervenire per tempo (e non dovesse ottenere una sospensiva) dovrà pagare una penale di 746 mila euro per ogni giorno di ritardo nella soluzione della problematica oggetto di sanzione.
Amazon, dal canto suo, ha confermato di aver ricevuto la sanzione nella propria relazione trimestrale relativa al periodo aprile-giugno 2021, ma ha anche dato atto di aver intenzione di ricorrere in appello contro il provvedimento del CNPD e di “difendersi vigorosamente” in quanto lo considera infondato.
L’impatto della decisione del CNPD
Sebbene questa non sia la prima sanzione milionaria contro una grande azienda tech, si tratta senz’altro di una sanzione di portata economica senza precedenti e che segna una nuova rotta per la tutela privacy in Unione Europea.
Nonostante siano passati ormai tre anni dall’entrata in vigore del GDPR, le grandi aziende tecnologiche, specie quelle statunitensi che hanno vissuto come marginale e distante l’innovazione giuridica portata dalla nuova normativa, non hanno affrontato con serietà il proprio adeguamento privacy e non hanno rinunciato a trattamenti di dati al limite del lecito o, in certi casi, sicuramente illeciti.
Solo un deciso intervento delle autorità garanti, scevro di sudditanza psicologica (ed economica) da questi giganti del settore tecnologico, è in grado di spostare gli equilibri che interessano a queste grandi compagnie, equilibri che si basano solo ed esclusivamente sul rapporto fra costi e benefici (economici e di immagine) fra una profilazione selvaggia e il rischio sanzione in cui incorrono.
Il caso dell’Autorità garante irlandese
In questo senso si distingue (in negativo) l’Autorità garante irlandese, che finora si è dimostrata poco incisiva e troppo condiscendente con i colossi USA che hanno scelto l’Irlanda per stabilire le loro sedi europee visto il favorevole trattamento fiscale concesso loro nel Paese.
I casi Scherms I e II sono l’esempio lampante di un’Autorità disposta a soprassedere su evidenti violazioni fino ad essere smentita dalla Corte di Giustizia UE in due distinte occasioni.
Anche il caso esaminato dal CNPD è significativo, questa elevata sanzione è stata infatti comminata per un trattamento di dati che (a quanto è dato sapere) viene ritenuto fisiologico dalla maggior parte degli utenti (la profilazione all’interno del marketplace Amazon) e che
Amazon non nasconde agli utenti ed anzi viene presentato quasi come un “servizio” da parte del colosso USA.
Nonostante infatti il CNPD non contesti ad Amazon problemi di sicurezza dei dati o una loro perdita (come puntualmente rilevato da Amazon una volta ricevuta notizia della sanzione), è il modo in cui gli stessi vengono trattati che costituisce un problema e l’uso che degli stessi Amazon fa (pur alla luce del giorno) senza consenso degli utenti.
Il fattore tempo e il rischio obsolescenza delle sanzioni: i grandi problemi dei Garanti privacy
Solo un cambio di mentalità da parte di queste grandi aziende può portarle a un approccio davvero privacy oriented che tenga conto della protezione dei dati personali sin dalla progettazione.
Nonostante il plauso al CNPD per il coraggio che la distingue da alcuni garanti invece più tentennanti, c’è da dire che la sanzione evidenzia un altro problema endemico dell’attività dei garanti, ovvero il fattore tempo.
La sanzione arriva infatti dopo una segnalazione risalente ancora al 2018, in un mondo come quello di oggi sanzioni simili rischiano di diventare presto obsolete, con le grandi compagnie che hanno già sviluppato nuove tecnologie (magari più insidiose) per superare le tecniche sanzionate tardivamente. L’attività dei garanti dev’essere rapida perché sia efficace e questo impone che le autorità vengano organizzate dai singoli stati in modo da garantire questa efficienza e tempestività, se necessario, anche aumentando personale e mezzi a disposizione di questi fondamentali regolatori.
Un periodo di tre anni per risolvere un caso essenziale come questo è evidentemente troppo per pensare alle Autorità garanti come a un tempestivo argine per il diffuso malcostume in tema di trattamento dati e per contribuire in tempo utile alla creazione di un ambiente sensibile ai problemi privacy.
La sanzione del CNPD apre quindi nuovi scenari sia riguardo all’entità delle sanzioni comminabili sia in riferimento al fatto che le autorità non devono concentrarsi solo su data breach e trattamenti borderline, ma anche trattamenti percepiti come “normali” che però nascondono gravi violazioni della normativa GDPR.
Al contempo però la decisione evidenzia alcuni problemi nella gestione dei procedimenti affidati alle singole Autorità nazionali. Il sistema dell’Autorità capofila per i trattamenti che riguardano più stati, previsto dal GDPR, mostra il fianco a molteplici critiche essendo esposto a ritardi o differenze anche significative di procedura, oltre che a problemi di “sudditanza” in certi casi.
Il legislatore europeo potrebbe, alla luce di quanto sta accadendo, considerare una decisione condivisa fra le varie Autorità coinvolte o affidata ad un organo collettivo sopranazionale nel caso di trattamenti che si estendono tentacolarmente in tutta l’Unione europea.
