La decisione con cui il Tribunale amministrativo del Lussemburgo ha annullato la sanzione da 746 milioni di euro inflitta dall’Autorità garante privacy lussemburghese (Commission nationale pour la protection des données – CNPD) ad Amazon è un passaggio rilevante nell’evoluzione dell’enforcement del GDPR. Non tanto (o non solo) per l’importo della multa, quanto per la natura delle censure mosse all’autorità di controllo.
I giudici hanno ritenuto che la CNPD non abbia svolto in modo adeguato il proprio percorso argomentativo, arrivando a una conclusione sanzionatoria senza aver prima chiarito alcuni elementi fondamentali richiesti dall’articolo 83 del GDPR.
In particolare, il tribunale ha rilevato l’assenza di un’analisi puntuale dell’elemento soggettivo della condotta, ossia della distinzione tra violazione intenzionale (dolo) e violazione colposa (negligenza), nonché la mancata valutazione di possibili misure alternative alla sanzione pecuniaria.
Il profilo più delicato riguarda proprio la struttura della motivazione, poiché la decisione suggerisce che la sanzione sia stata irrogata in modo sostanzialmente automatico, senza operare un effettivo bilanciamento tra i diversi criteri previsti dal regolamento.
Ne deriva una conseguenza di sistema: la violazione del GDPR non è sufficiente, di per sé, a giustificare una sanzione di tale portata se non è accompagnata da una motivazione analitica e coerente.
I giudici, pur non escludendo la responsabilità di Amazon nel merito, richiamano le autorità a un livello più elevato di rigore giuridico. La questione viene infatti rinviata alla stessa CNPD affinché proceda a una nuova valutazione, questa volta rispettando pienamente i requisiti motivazionali richiesti.
Indice degli argomenti
Amazon e la multa record Gdpr da 746 milioni in Lussemburgo
Per comprendere la portata della decisione è necessario tornare al contesto originario.
La sanzione inflitta nel 2021 rappresentava infatti uno dei momenti più significativi nell’applicazione del GDPR, sia per l’importo (tra i più elevati mai irrogati) sia per il soggetto coinvolto, ossia uno dei principali attori globali dell’economia digitale.
L’intervento della CNPD si inseriva nel quadro delle pratiche di online behavioural advertising adottate da Amazon. Secondo l’autorità, infatti, il trattamento dei dati personali degli utenti non rispettava i requisiti di liceità e trasparenza previsti dal GDPR, con particolare riferimento alla base giuridica del trattamento e alle modalità di profilazione.
Il provvedimento aveva assunto una dimensione europea per il suo impatto economico, e, soprattutto, per il funzionamento del meccanismo dello sportello unico (one-stop-shop), che attribuisce all’autorità dello Stato membro di stabilimento principale il ruolo di capofila. Il Lussemburgo si trovava così ad esercitare una competenza che travalica i confini nazionali, incidendo sull’intero mercato europeo.
La conferma iniziale della sanzione nel 2025 sembrava pertanto consolidare un orientamento rigoroso nei confronti delle big tech; per questo, l’annullamento del 2026 introduce un elemento di discontinuità, mostrando come anche i provvedimenti più emblematici possano essere messi in discussione quando non sorretti da una motivazione adeguata.
Il ruolo del Garante del Lussemburgo: da autorità “attivista” a caso emblematico
Il percorso della CNPD negli ultimi anni riflette, in parte, le tensioni strutturali dell’enforcement europeo.
Nei primi anni di applicazione del GDPR, l’autorità lussemburghese si è distinta per un approccio particolarmente attivo, sia in termini di numero di decisioni sia per la rilevanza dei soggetti coinvolti. Oltre che nei confronti di Amazon, è infatti intervenuta su ambiti ricorrenti quali videosorveglianza, marketing e cookie, oltre che su aspetti organizzativi centrali come l’inquadramento del Data Protection Officer (indipendenza, conflitti di interesse ed effettività del ruolo). Attraverso tale costante attività ha contribuito a definire una prassi applicativa piuttosto strutturata e riconoscibile, e a delinearsi come autorità attiva e visibile.
Questa posizione è legata anche alla specificità del contesto, dal momento che il Lussemburgo ospita le sedi europee di numerosi grandi operatori digitali, il che lo rende un nodo centrale nell’applicazione del meccanismo dello sportello unico. Di conseguenza, la CNPD si è trovata a gestire procedimenti di elevata complessità, anche sotto forte pressione mediatica e istituzionale.
Lussemburgo e la sanzione Amazon Gdpr
La sanzione ad Amazon ha rappresentato il momento di maggiore visibilità di questo attivismo, diventando rapidamente un simbolo della capacità dell’Europa di intervenire nei confronti dei giganti tecnologici. Tuttavia, proprio questo ruolo ha esposto l’autorità a un rischio significativo, vale a dire quello di privilegiare l’efficacia comunicativa delle decisioni rispetto alla loro tenuta giuridica.
La pronuncia del 2026 sembra riportare l’attenzione su questo equilibrio, perché evidenzia che, oltre a colpire, occorre motivare in modo tale che la decisione resista al vaglio del giudice. In questo senso, il provvedimento lussemburghese contro Amazon si trasforma da esempio di enforcement incisivo a caso emblematico delle difficoltà strutturali delle autorità di controllo e, più ampiamente, dello stesso sistema sanzionatorio del GDPR.
Elemento soggettivo e discrezionalità sanzionatoria nel GDPR
Il cuore della decisione riguarda la centralità dell’elemento soggettivo nella determinazione della sanzione.
L’articolo 83 del GDPR, oltre a elencare criteri generali, costruisce un vero e proprio schema decisionale che impone alle autorità di valutare in modo puntuale il comportamento del titolare o del responsabile del trattamento. Tra questi criteri, il carattere doloso o colposo della violazione assume un ruolo decisivo.
Nella pratica, tuttavia, le decisioni tendono a concentrarsi sulla descrizione dell’illecito e sulle sue conseguenze, mentre la dimensione soggettiva resta implicita o viene risolta attraverso formule piuttosto standardizzate. Ne deriva una compressione della discrezionalità motivata, sostituita da una discrezionalità di fatto, non esplicitata.
Il tribunale lussemburghese interviene proprio su questo punto, affermando implicitamente che la discrezionalità sanzionatoria non può essere esercitata in modo non pienamente trasparente. La qualificazione della condotta come dolosa o colposa è dunque un passaggio essenziale che incide direttamente sulla proporzionalità della sanzione.
Non è un caso che le Linee guida 04/2022 dell’European Data Protection Board insistano sulla necessità di un percorso sanzionatorio articolato e trasparente, in cui l’elemento soggettivo e la gravità della violazione siano oggetto di una valutazione esplicita.
Per il contenzioso futuro, se le autorità non rafforzeranno la qualità della motivazione su questi aspetti, le decisioni più significative potrebbero essere sistematicamente esposte a censure in sede giurisdizionale.
Le criticità nei provvedimenti delle autorità europee (Italia inclusa) su privacy e grandi aziende
Le problematiche evidenziate dal provvedimento Amazon si inseriscono in una tendenza più ampia che riguarda diverse autorità europee.
Negli ultimi anni, una parte della dottrina e della prassi professionale ha messo infatti in luce alcune debolezze ricorrenti nei provvedimenti sanzionatori; tra queste, una certa fragilità nella costruzione della motivazione, soprattutto quando si tratta di collegare i criteri dell’articolo 83 a una quantificazione concreta della sanzione.
In molti casi, i criteri vengono richiamati in modo formale, senza che sia chiaro in che misura ciascuno di essi abbia inciso sulla decisione finale. Il risultato è una motivazione che appare completa sul piano formale ma non sempre persuasiva su quello sostanziale.
A ciò si aggiunge una tendenza a privilegiare la sanzione pecuniaria come strumento principale di enforcement, anche in contesti in cui il GDPR prevede una gamma più ampia di misure correttive. Questo orientamento contribuisce a rafforzare la percezione di un sistema sanzionatorio orientato più alla deterrenza che alla proporzionalità.
Il quadro che emerge è quello di un sistema ancora in fase di assestamento, in cui l’esigenza di efficacia si confronta con quella di rigore giuridico.
Il provvedimento italiano contro Intesa Sanpaolo e le critiche recenti
Le stesse tensioni sono riscontrabili anche nel contesto italiano, dove il provvedimento del Garante nei confronti di Intesa Sanpaolo ha generato reazioni tra gli operatori per l’ampiezza delle qualificazioni adottate (in particolare in tema di profilazione, base giuridica e aspettative degli interessati), prestandosi a diverse letture interpretative. Pur a fronte di una ricostruzione dettagliata dei fatti, la decisione presenterebbe margini di miglioramento proprio sul terreno dell’elemento soggettivo e della quantificazione della sanzione.
Anche sotto il profilo della sanzione, sono emerse osservazioni circa la trasparenza del percorso logico che conduce alla determinazione dell’importo finale.
Si tratta di rilievi che, pur non incidendo necessariamente sulla legittimità e bontà del provvedimento, evidenzierebbero la difficoltà di tradurre i criteri del GDPR in un modello decisionale pienamente prevedibile e verificabile. Un esempio concreto di come le criticità emerse a livello europeo si riflettano anche nelle autorità nazionali più consolidate.
Il DNA del GDPR: tra sanzioni esemplari e crisi della deterrenza
Per comprendere fino in fondo la portata della decisione del tribunale lussemburghese, è necessario tornare poi alla natura del sistema sanzionatorio disegnato dal GDPR.
Fin dalla sua introduzione, il regolamento ha segnato una rottura netta rispetto ai modelli precedenti, con il passaggio da sistemi sanzionatori strutturati per fattispecie e scaglioni predeterminati a un impianto fondato sull’accountability.
Ciò ha comportato un mutamento radicale: spariva la “griglia” rigida di violazioni e relative sanzioni, per essere sostituita con un sistema aperto, basato su principi e su un’ampia discrezionalità delle autorità. Il legislatore europeo ha scelto infatti di fissare il limite massimo delle sanzioni, affidando alle autorità il compito di calibrare l’intervento nel caso concreto.
Non può negarsi che, sin dal “lancio” del GDPR, la dimensione sanzionatoria è stata costruita anche come strumento di impatto simbolico. Le cosiddette “maxi-multe” hanno svolto una funzione che andava oltre la repressione del singolo illecito, diventando segnali di sistema, strumenti di indirizzo del mercato e, in una certa misura, leve di comunicazione istituzionale.
Per dirlo senza mezzi termini, l’emblematicità della sanzione (per importo e per destinatario) è sempre stata parte integrante del disegno regolatorio.
Nel tempo, però, questa impostazione ha mostrato alcune fragilità. Così, l’assenza di parametri quantitativi più puntuali e la discrezionalità nella determinazione dell’importo hanno reso le sanzioni difficili da prevedere e, soprattutto, difficili da spiegare alle imprese. In molti casi, il percorso che conduce alla quantificazione finale resta opaco, e questo finisce con alimentare la percezione di un sistema poco leggibile.
Nella fase iniziale il GDPR ha funzionato anche come uno “spauracchio”, capace di orientare i comportamenti anche attraverso la minaccia di sanzioni elevate; tuttavia, oggi si registra in alcuni contesti una progressiva perdita di credibilità percepita. Le sanzioni, proprio perché variabili, contestabili e talvolta annullate in sede giurisdizionale, rischiano di non essere più considerate un rischio concreto, bensì quasi un evento eventuale e negoziabile.
Il problema va quindi oltre la proporzionalità, riguardando la stessa efficacia complessiva del sistema.
Un apparato sanzionatorio costruito per essere esemplare può perdere la propria funzione deterrente se non è accompagnato da un livello di prevedibilità e solidità tale da renderlo credibile agli occhi dei destinatari. Il GDPR sembra oggi attraversare una fase di ridefinizione, che dovrebbe arrivare a stabilire un nuovo equilibrio tra flessibilità, proporzionalità e deterrenza.
Verso una “crisi di maturità” dell’enforcement GDPR?
Alla luce di questi elementi, la decisione del tribunale lussemburghese può essere letta come il segnale di una fase di transizione nell’enforcement del GDPR.
Dopo una prima stagione caratterizzata da un’espansione dell’attività sanzionatoria e da una crescente visibilità mediatica, emerge ora l’esigenza di un consolidamento qualitativo. Le autorità sono chiamate ad intervenire con decisioni che possano resistere a un controllo giurisdizionale sempre più attento.
Il rischio che si potrebbe profilare non è tanto quello di una riduzione dell’enforcement, quanto piuttosto quello di una sua delegittimazione, qualora le decisioni più rilevanti vengano sistematicamente annullate o ridimensionate.
La vicenda della maxi-sanzione lussemburghese ad Amazon suggerisce comunque una possibile chiave di lettura: il GDPR sta entrando in una fase di maturità, in cui la forza delle sanzioni oltre che dal loro importo o dal soggetto colpito, dipende dalla solidità giuridica che le sostiene. Da ciò dipende l’effettiva credibilità del sistema europeo di protezione dei dati.
