Amazon, Multas GDPR, Nuevas Decisiones de Ejecución
Cuando la Unión Europea promulgó el Reglamento General de Protección de Datos o RGPD en 2016, cambió por completo la forma en que las empresas y corporaciones internacionales llevaban a cabo operaciones dentro de las fronteras de Europa. Dado que muchas empresas, en particular los grandes gigantes de la tecnología y las redes sociales como Twitter y Meta, funcionan de acuerdo con la recopilación y el tratamiento de los datos personales de millones de personas diferentes, el RGPD ilegalizó efectivamente muchas prácticas y técnicas de recopilación de datos que actualmente son legales en otros países del mundo. Además, como las empresas que operan dentro de la UE también deben cumplir con las disposiciones que han sido implementadas por los estados miembros individuales, mantener el cumplimiento de toda la legislación aplicable ha demostrado ser un desafío para muchas empresas.
En este sentido, la multinacional tecnológica Amazon fue multada con 746 millones de euros (888 millones de dólares) por la autoridad de datos de Luxemburgo, la Commission Nationale pour la Protection des Données o CNPD, en respuesta a varias supuestas infracciones en julio de 2021. La multa representa la mayor sanción monetaria que se ha impuesto contra una empresa en virtud de las disposiciones del GDPR, ya que el récord anterior había estado en manos de la multinacional tecnológica Google, que ha sido multada con más de 200 millones de euros (227 millones de dólares) después de haber cometido infracciones en varios países de toda Europa desde 2019, incluidos Irlanda, Francia, Bélgica.
Por qué la CNPD de Luxemburgo acusó a Amazon de violar el GDPR?
Aunque las leyes de Luxemburgo prohíben a la CNPD comentar casos individuales, el grupo francés de derechos de privacidad La Quadrature du Net llevó a cabo una investigación de Amazon a principios de 2018. Hasta el momento, aunque las razones exactas de las acusaciones y las multas subsiguientes aún no se han confirmado oficialmente, se ha informado de que el consentimiento de cookies en línea desempeñó un papel importante en que Amazon recibiera sanciones tan masivas. Como Amazon ya había sido multada con 35 millones de euros (38.101.000,00 dólares) en 2020 por la Commission Nationale Informatique & Libertés o CNIL, la autoridad francesa de protección de datos, por no obtener el consentimiento de cookies de los usuarios en línea, la corporación ha desarrollado una reputación por no mantener el cumplimiento del GDPR en lo que respecta a los países de habla francesa.
Mientras que muchos consumidores de todo el mundo ceden actualmente sus datos personales a través de los perfiles de las redes sociales, las cookies en línea representan el método original por el cual muchas empresas y corporaciones han sido capaces de obtener más información sobre los visitantes de un sitio web en particular. Por ello, muchas empresas en línea, como Amazon, dificultan enormemente la exclusión voluntaria de las cookies cuando se navega por su sitio web, si es que los usuarios tienen la posibilidad de excluirlas. Sin embargo, mientras que estas prácticas se consideran legales en prácticamente todo el mundo, especialmente en Estados Unidos, donde no se ha promulgado una legislación federal exhaustiva de protección de datos, la Unión Europea ha adoptado sistemáticamente una postura de línea dura en lo que respecta al consentimiento de las cookies en línea.
Dicho esto, además del GDPR, las empresas y organizaciones que operan en Europa también son responsables del cumplimiento de la Directiva sobre privacidad y comunicaciones electrónicas, conocida informalmente como Directiva sobre cookies de la UE o Ley de cookies de la UE. En virtud de la Ley de Cookies de la UE, los usuarios en línea dentro de la UE conservan el derecho a rechazar el uso de cookies cuando navegan por sitios web en línea, ya que la recopilación de dicha información puede considerarse una invasión de la privacidad personal. Por tanto, cuando las empresas internacionales recopilan cookies de usuarios en línea dentro de la UE sin obtener primero su permiso o consentimiento expreso, están infringiendo de hecho dos leyes distintas, lo que abre la puerta a las multas masivas que se han impuesto en los últimos años.
¿Cómo pueden evitar las empresas las multas cuando ofrecen productos y servicios en la UE?
Aunque pueda parecer una solución sencilla a primera vista, el principal medio por el que las empresas multinacionales pueden evitar infringir la legislación internacional sobre privacidad es ser transparentes sobre la información que recopilan de los consumidores, así como garantizar que los datos personales y la información sólo se recopilan de acuerdo con el consentimiento del usuario. Sin embargo, este nivel de transparencia puede reducir los ingresos publicitarios de las grandes empresas, ya que deben dedicar más tiempo, esfuerzo y recursos a obtener la información personal que necesitan para ofrecer anuncios dirigidos a los consumidores que utilizan sus respectivos sitios web y plataformas. Sin embargo, aunque Amazon puede haber perdido ingresos publicitarios al obtener el consentimiento para recopilar cookies de usuarios en línea en Francia y Luxemburgo, también podría haber evitado ser multada con cientos de millones de dólares.
A pesar de que muchos países de todo el mundo han aprobado algún tipo de legislación sobre protección de datos y privacidad personal en la última década, pocas naciones han aplicado estas leyes con el fervor y la intensidad que lo han hecho las autoridades reguladoras del continente europeo. Por ello, aunque Europa y Estados Unidos pueden disfrutar de muchas similitudes sociales y culturales, el panorama del uso de Internet entre los dos países no podría ser más diferente, ya que las empresas multinacionales son en gran medida libres de recopilar cualquier forma de datos personales que deseen de los consumidores estadounidenses. De este modo, la UE sigue estableciendo un estándar internacional para la protección de datos y la privacidad, garantizando que incluso las empresas más grandes mantengan el cumplimiento del GDPR cuando operan en Europa.