Amazon multado €746M por GDPR: la mayor multa de la historia y qué enseña a empresas mexicanas
A finales de julio, en el reporte trimestral 10-Q presentado a la SEC, Amazon reveló que la Comisión Nacional para la Protección de Datos (CNPD) de Luxemburgo le había impuesto una multa de 746 millones de euros por violaciones al Reglamento General de Protección de Datos (GDPR). La cifra rompió todos los records anteriores: triplica con holgura la multa de 50 millones que Francia le había puesto a Google en 2019 y deja muy atrás los 35 millones impuestos a H&M en 2020.
La sanción no se centra en una brecha de seguridad ni en pérdida de datos. Se centra en cómo Amazon procesa información para publicidad personalizada sin un consentimiento que la CNPD considere válido. Para una empresa mexicana que exporta servicios a la Unión Europea, este caso es una sacudida que no se puede ignorar.
Qué pasó exactamente
La investigación de la CNPD luxemburguesa nació de una queja colectiva presentada en 2018 por la asociación francesa La Quadrature du Net en nombre de más de 10,000 personas. El argumento central: la base legal con la que Amazon procesa datos para personalizar anuncios y recomendaciones no cumple con los estándares de consentimiento libre, específico, informado e inequívoco que exige el GDPR.
Aunque Amazon ha anunciado que apelará la decisión y ha argumentado que el fallo es "subjetivo y sin precedentes", el mensaje regulatorio es claro: la presunta legitimidad del modelo publicitario basado en perfilamiento por defecto ya no se acepta en jurisdicciones que aplican GDPR con seriedad.
Por qué importa para una empresa mexicana
Existe la idea, todavía común, de que GDPR es "cosa de Europa" y de empresas como Amazon o Google. La realidad es distinta:
- Si tu empresa ofrece servicios o productos a residentes de la UE, aunque tu sede esté en México, GDPR aplica.
- Si tu empresa monitorea comportamiento de residentes de la UE (cookies, analítica, publicidad), GDPR aplica.
- Si eres proveedor de un cliente europeo y procesas datos de sus usuarios o empleados, GDPR te alcanza por contrato.
Esto cubre a una proporción enorme del nearshoring mexicano: BPOs, desarrollo de software, agencias digitales, fintechs, e-commerce con clientes europeos, marketplaces, agencias de viajes. Y la apuesta de "nadie nos va a multar a nosotros" cada vez aguanta menos: las autoridades europeas están coordinando esfuerzos y las multas a empresas medianas vienen creciendo.
Las áreas que la multa de Amazon expone
Sin entrar en el detalle del caso (que sigue bajo confidencialidad parcial), las áreas críticas que esta sanción ilumina son:
Cookie consent real, no decorativo
El "banner de cookies con un solo botón gigante de aceptar" ya no se considera consentimiento válido en GDPR. Tiene que haber:
- Aceptar y rechazar con la misma facilidad y peso visual.
- Granularidad por categoría (analítica, publicidad, personalización, etc.).
- Sin pre-marcado de casillas.
- Posibilidad fácil de revocar después.
Si tu sitio mexicano sirve a usuarios europeos y tu banner sigue siendo "aceptar todo", estás expuesto.
Base legal correcta
GDPR exige documentar la base legal para cada actividad de procesamiento. Las opciones (consentimiento, contrato, obligación legal, interés vital, interés público, interés legítimo) no son intercambiables. Usar interés legítimo para casi todo, como práctica común en muchas empresas, es justamente lo que está siendo cuestionado.
Transparencia en la publicidad personalizada
Si haces remarketing, segmentación por comportamiento o lookalike audiences usando datos de usuarios europeos, tienes que poder explicar exactamente qué datos usas, de dónde vienen, con quién los compartes y por cuánto tiempo. La mayoría de las empresas no puede.
Transferencias internacionales
Después de la sentencia Schrems II (2020), los flujos de datos personales de UE hacia Estados Unidos requieren cláusulas contractuales tipo (SCC) actualizadas y, en muchos casos, medidas técnicas adicionales como cifrado fuerte. Las nuevas SCC entraron en vigor en junio de 2021 y dan plazo para actualizar contratos vigentes. Si usas AWS, GCP o Azure y procesas datos europeos, necesitas revisar tus contratos.
Plan de assessment GDPR para una empresa mexicana
Para una empresa mexicana mediana que exporta servicios a Europa, recomendamos abordar el tema en cuatro bloques:
- Mapeo de procesamientos. Inventariar qué datos personales europeos toca tu empresa, dónde, por qué y bajo qué base legal. Esto es el famoso Registro de Actividades de Tratamiento del Artículo 30.
- Revisión de avisos y consentimientos. Aviso de privacidad alineado al Artículo 13/14, mecanismos de consentimiento que cumplan con el estándar reciente, gestión de revocación.
- Acuerdos con procesadores. Contratos con todos los proveedores que tocan datos personales (DPA, Data Processing Agreement) y SCC actualizadas para transferencias fuera del EEE.
- Procedimientos para derechos del titular. Capacidad real (no solo en papel) de responder en 30 días a solicitudes de acceso, rectificación, supresión, portabilidad y oposición.
Adicionalmente, evaluar si la empresa requiere Delegado de Protección de Datos (DPO) según los criterios del Artículo 37 y, si exporta volumen relevante, considerar tener un representante en la UE (Artículo 27).
Cierre
La multa a Amazon no es la última, es la primera en escala. Las autoridades europeas tienen los recursos, los precedentes y la voluntad política para seguir aplicando GDPR con dureza. Las empresas mexicanas que aún tratan compliance como un trámite ligero están construyendo riesgo silencioso: en multas potenciales, en pérdida de contratos B2B europeos y en la reputación frente a clientes que cada vez piden más certificaciones y cuestionarios de seguridad.
La buena noticia es que, hecho con orden, el camino de GDPR es manejable y se traduce en mejor higiene de datos para todo el negocio, no solo para Europa.
¿Tu empresa exporta a UE? Hagamos un assessment GDPR. Agenda 30 minutos con nuestro equipo y revisamos contigo dónde están tus brechas mayores y cómo cerrarlas.
