La proposta di una maxi multa, una leading authority locale contro una big tech: un episodio che si contestualizzerebbe nello scenario più ampio della competizione nella digital economy. Per raccolta e utilizzo dei dati in maniera non conforme al GDPR, la CNPD, l’autorità garante della privacy del Lussemburgo, avrebbe proposto ai colleghi degli altri Stati membri di comminare una multa da 425 milioni di dollari nei confronti di Amazon.
Lo riporta il Wall Street Journal, citando fonti anonime vicine alla questione. Amazon in Europa ha sede in Lussemburgo, ecco perché della vicenda si è occupata l’autorità locale: “È evidente come in questo caso, a differenza di altri finora analoghi assurti alle cronache, ci troviamo di fronte ad una leading authority, ai sensi del GDPR, che opera in seno al meccanismo di one stop shop”, spiega l’avvocato Rocco Panetta di Panetta&Associati.
Indice degli argomenti
Amazon, le presunte violazioni al GDPR
Non è ancora chiaro nel dettaglio quali siano i motivi specifici della proposta sanzionatoria avanzata dall’autorità del Lussemburgo: genericamente, riguarderebbero la raccolta e l’utilizzo dei dati, processi che sarebbero stati svolti in maniera non conforme al regolamento europeo. Ciò che emerge è che l’attività ispettiva non riguarderebbe il comparto cloud-computing Amazon Web Services.
Il Wall Street Journal precisa che la fonte si è rifiutata di indiare le presunte accuse specifiche contro il colosso. D’altro canto, anche un portavoce di Amazon si sarebbe rifiutato di commentare.
L’iter sanzionatorio su Amazon
Come da protocollo, l’autorità del Lussemburgo ha avanzato la proposta di sanzione alle altre quarantasei autorità europee, perché per procedere è necessario concordare il provvedimento con tutti i garanti. Non si tratta di un processo immediato, potrebbero volere mesi. Intanto, ciò che emerge dalle fonti riportate dal WSJ, sarebbero giunte al Garante del Lussemburgo già alcune obiezioni da altre autorità: qualcuno avrebbe in particolare sottolineato che la multa dovrebbe essere più alta.
Secondo l’analisi di Panetta, “dalle notizie di stampa emerge che la Autorità per la privacy lussemburghese avrebbe arrivato l’art 64 del Gdpr, chiedendo consenso alle altre 26 autorità indipendenti europee. Il GDPR inizia a segnare il suo perimetro di elezione, quello dell’uniformità europea dell’azione di controllo e regolazione, anche attraverso il ricorso a sanzioni esemplari e di portata transnazionale”.
La cifra proposta dall’autorità del Lussemburgo corrisponderebbe al 2 per cento del reddito netto riportato da Amazon di 21,3 miliardi di dollari per il 2020, e lo 0,1% del suo fatturato di 386 miliardi di dollari. Ricordiamo che per il GDPR le sanzioni possono arrivare al 4 per cento delle entrate annuali.
Il quadro più ampio: scontro sulle big tech
L’episodio si contestualizza in uno scenario più ampio: “Un episodio nel contesto della guerra relativa all’uso dei dati e alla conservazione e utilizzazione dei dati tra Europa e mondo statunitense. Siamo entrati in un altro mondo, eppure le persone fanno un’enorme fatica a cogliere il cambiamento in atto, ma per fortuna l’Europa era attenta a ciò e il GDPR ha anticipato alcuni aspetti”, spiega l’ex presidente del Garante privacy italiano e docente di Diritto costituzionale Francesco Pizzetti.
Il regolatore della privacy irlandese, che guida l’applicazione del GDPR per Facebook Inc., Alphabet Inc. Google e Apple Inc. perché le loro sedi centrali UE sono in quel paese, ha detto che si aspetta di prendere decisioni in circa una mezza dozzina di casi di privacy che coinvolgono grandi aziende tecnologiche quest’anno.
Una bozza di decisione irlandese circolata ad altre autorità di regolamentazione accusa le lacune del GDPR nella trasparenza intorno alla condivisione dei dati da parte del servizio di chat WhatsApp di Facebook. Quella bozza di decisione raccomanda una multa di circa 30 milioni di euro a 50 milioni di euro, secondo persone che hanno familiarità con la questione, equivalente a circa 37 milioni di dollari a 61 milioni di dollari.
L’indagine privacy su Facebook in Irlanda può continuare, ecco perché è una decisione importante
La crescente applicazione della privacy da parte dell’UE arriva insieme alla crescente applicazione dell’antitrust, con i regolatori europei e statunitensi che lanciano molteplici casi contro le grandi aziende tecnologiche. La scorsa settimana, i principali responsabili della concorrenza nel Regno Unito e nell’UE hanno annunciato indagini formali antitrust sul servizio di incontri di Facebook e il suo servizio di annunci marketplace.
Un portavoce di Facebook ha detto la scorsa settimana che i suoi servizi “operano in un ambiente altamente competitivo con molti grandi operatori storici. Continueremo a cooperare pienamente con le indagini per dimostrare che sono senza merito”.
Molti attivisti per la privacy si sono lamentati che l’enforcement in Europa è troppo lento. Da quando il GDPR è entrato in vigore nel 2018, la maggiore sanzione è stata una multa di 50 milioni di euro contro Google dal regolatore della privacy francese, secondo lo studio legale DLA Piper.
Finora, l’autorità irlandese, che come detto a un cruciale ruolo guida, ha emesso una decisione finale solo in un caso big-tech, multando Twitter per 450.000 euro a dicembre.
In risposta alle critiche, Helen Dixon, che guida il regolatore della privacy irlandese, ha detto che i casi tecnologici sono nuovi e le aziende devono avere il diritto di rispondere in modo sostanziale a tutte le accuse. Altrimenti i provvedimenti rischiano di rigettati in tribunale in un secondo momento.
