NEWS

Il Tribunale amministrativo del Lussemburgo annulla la sanzione record da 746 milioni di euro inflitta ad Amazon per violazioni del GDPR

La lunga vicenda della sanzione record inflitta ad Amazon per violazioni del GDPR segna un inaspettato nuovo capitolo. Il tribunale amministrativo d’appello del Lussemburgo ha infatti annullato la multa da 746 milioni di euro, imponendo all’autorità per la protezione dei dati di riesaminare il caso.

La sanzione era stata originariamente inflitta nel 2021 dalla Commission nationale pour la protection des données (CNPD), l’autorità lussemburghese competente in materia di protezione dei dati personali, per presunte violazioni del Regolamento europeo sulla privacy legate al trattamento dei dati degli utenti per finalità di pubblicità comportamentale online.

La decisione del tribunale – Con questa sentenza, i giudici hanno ritenuto che l’autorità non abbia condotto un’analisi adeguata prima di irrogare la sanzione. In particolare, secondo la corte, la CNPD non avrebbe valutato correttamente il grado di colpa della società, ossia se le violazioni fossero state commesse intenzionalmente o per negligenza.

Inoltre, il tribunale ha osservato che l’autorità non avrebbe preso in considerazione sanzioni alternative, arrivando quasi automaticamente alla multa record. Per questo motivo, la decisione è stata annullata e il caso dovrà essere riesaminato dall’autorità di controllo, che dovrà effettuare una nuova valutazione conforme ai criteri richiesti dal diritto europeo.

È importante sottolineare che il giudice non ha escluso la possibilità che vi siano state violazioni del GDPR: il punto centrale della sentenza riguarda piuttosto il modo in cui la sanzione è stata motivata e quantificata.

La CNPD aveva determinato la mancata osservanza della base giuridica per il trattamento dei dati personali. La corte ha adesso confermato che il legittimo interesse non è una base giuridica valida. Altre violazioni erano quelle relative agli obblighi di trasparenza e di informazione degli interessati in merito al trattamento dei loro dati personali, al diritto di accesso ai dati trattati, al diritto di rettifica e cancellazione dei dati personali trattati e al diritto di opposizione al trattamento dei dati personali.

La posizione di Amazon - La società statunitense ha accolto con favore la decisione del tribunale. Un portavoce di Amazon ha ribadito che l’azienda aveva sempre contestato la sanzione e la sua entità, definita “sproporzionata”, motivo per cui aveva deciso di presentare ricorso.

La multa, al momento della sua adozione, era stata considerata la più alta mai inflitta nell’ambito del GDPR, attirando l’attenzione di autorità e imprese a livello globale.

Il commento dell’autorità lussemburghese - In una nota ufficiale, la Commission nationale pour la protection des données da parte sua ha dichiarato di “prendere atto della decisione” del tribunale.

L’autorità ha inoltre sottolineato che il procedimento avviato nei confronti di Amazon ha comunque portato l’azienda ad adeguare le proprie pratiche alle disposizioni applicabili in materia di pubblicità comportamentale online.

Un caso emblematico per l’enforcement del GDPR - Il contenzioso tra Amazon e la CNPD è iniziato dopo un’indagine sulle modalità con cui il gruppo utilizzava i dati degli utenti per finalità pubblicitarie personalizzate. Poiché il quartier generale europeo della società si trova in Lussemburgo, la CNPD agisce come autorità capofila nel sistema di cooperazione previsto dal GDPR.

La vicenda rappresenta uno dei casi più rilevanti nella storia dell’applicazione del regolamento europeo sulla protezione dei dati. L’annullamento della sanzione non chiude però definitivamente la questione: la CNPD dovrà ora rivalutare il caso e decidere se e in quale misura applicare una nuova sanzione, alla luce delle indicazioni del tribunale.

Fonte: Reuters

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Le autorità per la protezione dei dati di tutto il mondo lanciano allarme su immagini generate dall'AI e rischi sulla privacy
Next Dall’Onu un rapporto sulle sfide globali della raccolta internazionale di dati personali

Privacy Day Forum 2025: il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy