Amazon enfrenta posible multa de US$425 millones por temas de privacidad en la Unión Europea

Un regulador de privacidad de la Unión Europea ha propuesto una multa de más de US$425 millones contra Amazon.com Inc, como parte un proceso que podría conducir a la hasta ahora más grande pena bajo la legislación de privacidad del bloque, indicaron personas familiarizadas con la materia.

La comisión de protección de datos de Luxemburgo, la CNPD, ha hecho circular un borrador de la decisión entre las otras 26 autoridades nacionales del bloque, en que sanciona las prácticas de privacidad de Amazon y proponiendo la multa, indican las fuentes. La CNPD es el regulador sobre privacidad líder para Amazon en la Unión Europea (UE), porque Amazon tiene su centro de operación en el Gran Ducado.

El caso de Luxemburgo se relaciona con presuntas violaciones a la Ley General de Protección de Datos, o GDPR, vinculadas a la colección y uso de información personal por parte de Amazon, y no está relacionada a su negocio en la nube, Amazon Web Services, dijo una de las personas familiarizadas con el caso. La persona declinó elaborar sobre los detalles de la acusación contra Amazon.

Un vocero de Amazon declinó hacer comentarios. La compañía ha dicho anteriormente que la privacidad de sus clientes es una prioridad y que cumple con la ley en todos los países donde opera. Un portavoz de CNPD dijo que el regulador no tenía permitido hacer comentarios sobre casos individuales.

Antes de que el borrador de la decisión se convierta en definitivo, debe ser aceptado efectivamente por otros reguladores de privacidad de la UE, un proceso que podría tomar meses y llevar a cambios sustantivos, incluyendo una multa mayor o menor.

La multa propuesta por Luxemburgo representaría cerca del 2% de los ingresos netos reportados por Amazon en 2020, de US$21.300 millones, y 0,1% de sus US$386.000 millones en ventas. Bajo la GDPR, los reguladores pueden multar hasta por 4% de los ingresos anuales de las compañías.

El regular de Luxemburgo ha recibido algunos objeciones a su borrador de decisión, incluyendo al menos una que dice que la multa debería ser mayor, según indicó también la persona familiarizada con el tema. Luxemburgo puede resolver las objeciones amigablemente o rechazarlas y gatillar un debate y una votación entre todos los reguladores de privacidad de la UE en la Directorio de Protección de datos de Europa.

El borrador de decisión y el tamaño de la multa señala una nueva oleada de imposición de las normas de privacidad contra grandes compañías tecnológicas en Europa, cuando los gigantes de Silicon Valley están bajo un escrutinio en aumento a nivel global.

El regulador de privacidad de Irlanda, que lidera la aplicación de la GDPR en Facebook Inc., el Google de Alphabet Inc. y Apple Inc., porque sus sedes principales están en ese país, ha dicho que espera este año hacer borradores de decisiones en cerca de media docena de casos de violación de privacidad, que involucran a grandes compañías tecnológicas.

Uno de los borradores de decisión irlandesa circuló a otros reguladores de GDPR es sobre fallos en transparencia alrededor de información compartida por el servicio de chat de Facebook Whatsapp. El borrador de decisión recomienda una multa de entre 30 millones de euros y 50 millones de euros, según fuentes conocedoras, equivalente a entre US$37 millones y US$61 millones.

Un portavoz de Facebook declinó hacer comentarios.

La imposición de medidas de privacidad de la UE viene junto con un incremento en la aplicación de medidas por violación de la libre competencia, con los reguladores europeos y de Estados Unidos lanzando múltiples casos contra las grandes tecnológicas. La semana pasada, los principales aplicadores de medidas de libre competencia en el Reino Unido y la UE anunciaron una investigación formal antimonopolio contra el servicio de citas de Facebook y su servicio de avisos clasificados Marketplace.

Un vocero de Facebook dijo la semana pasada que su Marketplace y servicio de citas “opera en un ambiente altamente competitivo con mucho incumbentes grandes. Continuaremos cooperando completamente con las investigaciones para demostrar que estas no tienen mérito”.

Cuando se trata de privacidad, activistas se han quejado de que la velocidad de los reguladores europeos es demasiado lenta. Desde que la GDPR se hizo efectiva en 2018, las penas más grandes bajo la ley han sido 50 millones de euros contra Google, realizada por el regulador de privacidad francés, de acuerdo con la firma legal DLA Piper.

Irlanda, que lidera la aplicación para la UE de muchas de las grandes tecnológicas de EE.UU. ha estado bajo un particular ataque de activistas y políticos, por no haber tomado más decisiones. Hasta ahora, la autoridad ha emitido una decisión final sobre un caso que involucra una tecnológica grande, multando a Twitter con 450 mil euros en diciembre.

En respuesta a estas críticas, Helen Dixon, quien lidera al regulador de privacidad irlandés, dijo que los casos de tecnológicas son nuevos y se les debe dar a las compañías el derecho al debido proceso, para responder sustantivamente a todas las acusaciones, o se arriesga dejarlo luego a la suerte de lo que decidan las cortes.