Il Lussemburgo si è prodotto in un exploit che rende l’idea di cosa possa fare una piccola autorità di controllo per favorire la protezione dei dati personali dei cittadini UE rispetto all’operato non sempre inappuntabile delle Big Tech.

La Commission nationale pour la protection des données (CNPD) ha emesso lo scorso 15 giungo una decisione – pronunciata in qualità di Lead Supervisory Authority nell’ambito dei meccanismi di cooperazione di cui all’art. 60 GDPR – che condanna Amazon Europe Core S.à r.l al pagamento della cifra record di 746 milioni di euro per violazione degli obblighi GDPR in tema di raccolta di libero consenso degli utenti alla profilazione per fini pubblicitari.

La notizia è stata confermata solo oggi dalla CNPD e solo in seguito al fatto che il 29 luglio scorso Amazon nel riportare i propri risultati trimestrali alla SEC aveva rivelato l’esistenza e l”entità della pesante sanzione irrogatagli dal regulator della piccola nazione europea. L’ordinamento lussemburghese impone il segreto professionale ai membri dell’Autorità e vieta la pubblicazione della decisione finché non siano scaduti i termini di impugnazione (cui Amazon ha già annunciato, nello stesso report alla SEC, di voler ricorrere): per questo, i dettagli di quanto esattamente contestato al colosso e-commerce creato da Jeff Bezos non sono ancora noti.

In attesa di saperne di più, rimane il fatto che in un sol giorno la CNPD lussemburghese ha emesso una sanzione per un ammontare quasi dieci volte superiore rispetto alla somma delle multe comminate in tre anni dalla Data Protection Commission irlandese che pur ha competenza sulle subsidiary di un numero ben più ampio di colossi digitali rispetto a quelli ospitati in tutto il Benelux. Nei dintorni di Dublino negli ultimi anni si sono insediate le promanazioni UE di compagnie del calibro di Google (YouTube, Android, etc.), Microsoft, Apple, Facebook (Instagram e Whatsapp), Twitter, TikTok, Tinder, Airbnb, eBay, Dropbox, Oracle, Salesforce, Experian, Verizon, Shopify e altre ancora. Alcune di queste, come noto, presentano aspetti molto problematici sotto il profilo della data protection, ma la Commission irlandese non ha ancora mosso serie censure verso alcuna di esse.