L’autorità di controllo francese per l’applicazione delle norme sulla protezione dei dati, la CNIL, sta analizzando una possibile violazione del GDPR da parte di Amazon nelle attività di sorveglianza dei dipendenti.

Non è la prima volta che il colosso americano rischia una sanzione di tale portata. Ma quali sono le ragioni di questo ennesimo provvedimento?

In particolare, sembrerebbe che l’azienda abbia raccolto dati sulle performance dei dipendenti in maniera massiva e sproporzionata per valutare la produttività all’interno dei magazzini di Amazon France Logistique.

La CNIL sta vagliando l’idea di comminare una sanzione di 170 milioni di euro, considerando il fatturato totale dell’azienda controllante. In difesa dell’azienda, gli avvocati di Amazon hanno dichiarato che i dati raccolti erano necessari alla corretta gestione dell’impianto e dei magazzini.

Attualmente si è in attesa della pronuncia da parte dell’autorità di controllo sulla presunta violazione del GDPR da parte di Amazon, ma intanto è utile analizzare quello che sappiamo finora per trarne importanti insegnamenti.

Qual è la violazione GDPR contestata ad Amazon

Veniamo ai fatti, così come raccontati da Matthew Newman su MLex.

L’accusa della Commission Nationale de l’Informatique et des Libertés (CNIL) contro Amazon è di aver violato il Regolamento generale sulla protezione dei dati nelle attività di monitoraggio dei dipendenti durante le mansioni lavorative.

In particolare, la società pare avrebbe applicato la sorveglianza sul posto di lavoro in modo scorretto, monitorando sproporzionatamente due indicatori:

1. indicatore “mitragliatrice”, ossia il tempo per mettere via un oggetto;
2. il tempo di inattività.

Il controllo dei dipendenti sarebbe avvenuto attraverso una “mitragliatrice”, che si attiverebbe quando il lavoratore impiega meno di 1,25 secondi per riporre un oggetto o, al contrario, se non ripone nessun oggetto per almeno 10 minuti.

La violazione da contestare, dunque, sarebbe il monitoraggio persistente di performance, attraverso una raccolta dati ritenuti “non essenziali né proporzionati” dalla CNIL. A sottolineare l’inadeguatezza nelle fasi di raccolta dei dati sui propri dipendenti da parte di Amazon è stato proprio un funzionario francese per la protezione dei dati della CNIL che, in un’udienza pubblica, ha evidenziato la violazione del GDPR da parte di Amazon.

Dalle indagini dell’autorità di controllo francese sarebbe emerso che i dipendenti di Amazon France sono collegati a uno scanner elettronico per il controllo delle prestazioni. Pratica considerata, per di più, stressante e con un impatto negativo sulla salute dei dipendenti.

Il tutto, per un periodo di conservazione dei dati sull’attività e l’inattività dei lavoratori – 31 giorni – considerato eccessivo e sproporzionato.

La contestazione, dunque, partirebbe dalla presunta violazione dell’articolo 6 del GDPR, relativo alla liceità del trattamento, che indica le condizioni di liceità del trattamento, e delle norme del Regolamento Europeo sulla protezione dei dati personali relative al periodo di conservazione dei dati personali, il quale deve essere sempre limitato al minimo necessario.

Come ha risposto Amazon alle accuse di violazione GDPR

Con una dichiarazione inviata a MLex dopo l’udienza, l’azienda di Jeff Besos si è dichiarata in disaccordo con le conclusioni della CNIL, ma disposta a collaborare. Attraverso un suo portavoce, Amazon ha fatto sapere di avere sistemi conformi alla normativa nazionale francese e a quella europea e di aver fiducia in una risoluzione positiva delle questione.

Secondo gli avvocati della piattaforma e-commerce, infatti, le informazioni raccolte risultano necessarie per il corretto funzionamento dei sistemi di logistica aziendale. Inoltre, vengono considerati necessari per la sicurezza dei dipendenti.

L’azienda si è difesa anche sostenendo che le modalità di gestione dei centri di logistica e distribuzione analizzati sarebbero comunque relative a impianti situati negli Stati Uniti e, di conseguenza, non sottoposti all’applicazione del Regolamento Europeo sulla protezione dei dati personali.

Perché la nuova sanzione ad Amazon

Secondo quanto avrebbe affermato il funzionario francese per la protezione dei dati della CNIL, sebbene le attività contestate siano attribuibili direttamente alla società europea Amazon France Logistique, l’applicazione di una eventuale sanzione sarebbe diretta invece ad Amazon.com, Inc, quale società madre.

Tale scelta deriverebbe dall’applicazione del principio di imputabilità alla società capogruppo della responsabilità per la violazione delle norme sulla concorrenza da parte della società propria controllata.

Questo riferimento, dunque, fa ritenere che la CNIL starebbe valutando anche il risvolto del monitoraggio di Amazon nella violazione delle regole europee a tutela della concorrenza.

Perché la sanzione ad Amazon è così alta

Per capire l’entità della sanzione proposta nei confronti di Amazon occorre guardare all’impianto delle sanzioni previste dal GDPR. In particolare, l’articolo 83 del GDPR prevede sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, per le violazioni di maggiore gravità, come quelle relative ai principi di base del trattamento, comprese le condizioni relative al consenso e la liceità del trattamento.

Per il computo delle sanzioni, la CNIL farebbe riferimento non al fatturato di Amazon France Logistique, ma al fatturato dell’azienda madre Amazon.com, Inc che ne è responsabile. Per questo motivo la sanzione pecuniaria potrebbe raggiungere i 170 milioni di euro.

Vi terremo aggiornati con ulteriori considerazioni ed approfondimenti, una volta che sarà emesso e reso noto il provvedimento.

Sicuramente, si tratterà di un provvedimento che farà discutere.

@RIPRODUZIONE RISERVATA