Amazon acuerda pagar 2,25 millones de dólares a la Comisión Federal de Comercio de Estados Unidos (FTC) para cerrar el expediente por violar la Fair Credit Reporting Act (FCRA). La sanción, de carácter civil, pone fin a una investigación en la que el gigante del comercio electrónico se negó a facilitar los registros de transacciones fraudulentas a las víctimas de suplantación de identidad, incumpliendo los plazos y requisitos que establece la ley.
Claves de la operación
- El importe de la multa es simbólico para Amazon: 2,25 millones de dólares apenas representan el 0,0004% de sus ingresos trimestrales. Sin embargo, la resolución de la FTC sienta un precedente en la protección de los datos de los consumidores afectados por fraude.
- La FCRA obliga a entregar los datos en 30 días: las empresas deben proporcionar a las víctimas los registros de las compras realizadas con su identidad. Amazon, según la FTC, bloqueó o demoró esas solicitudes alegando preocupaciones de privacidad o incapacidad técnica.
- El escrutinio regulatorio se extiende a Europa: aunque el caso es estadounidense, autoridades como la Agencia Española de Protección de Datos (AEPD) podrían activar mecanismos similares bajo el RGPD, que ya contempla el derecho de acceso a los datos personales.
El fallo de Amazon en la protección de las víctimas de robo de identidad
La Fair Credit Reporting Act, promulgada en 1970 y reforzada en sucesivas enmiendas, no solo regula a las agencias de crédito. También impone obligaciones a empresas que, como Amazon, manejan transacciones asociadas a identidades personales. La norma exige que, cuando un consumidor denuncia haber sido víctima de suplantación, la compañía facilite en un plazo máximo de 30 días la documentación sobre las operaciones realizadas bajo su nombre.
La FTC constató que Amazon incumplió este plazo de forma sistemática. En algunos casos, los representantes de atención al cliente denegaron las peticiones por motivos de seguridad o privacidad; en otros, simplemente afirmaron que no podían acceder a esos registros. Y cuando la información llegó a entregarse, lo hizo fuera del margen legal, añadiendo más frustración a los afectados. La compañía, según fuentes del regulador, bloqueó incluso solicitudes de agencias policiales que investigaban los fraudes. Amazon no ha emitido comentarios oficiales sobre el acuerdo.
El impacto competitivo y la amenaza de nuevas sanciones
El acuerdo con la FTC evita un litigio prolongado, pero no libra a la compañía de otros frentes abiertos. La Comisión lleva meses intensificando sus investigaciones sobre las grandes plataformas digitales por el tratamiento de datos personales, y el caso de Amazon podría ser el preludio de expedientes a otras firmas que operan en comercio electrónico. Competidores como Walmart o Target, también sujetos a la FCRA, observan con atención este desenlace, que marca un endurecimiento en la aplicación de una ley históricamente centrada en las agencias de informes crediticios.
Desde el punto de vista regulatorio, la sanción envía un mensaje claro: el incumplimiento de los derechos de las víctimas de robo de identidad no saldrá barato, por simbólica que resulte la cifra para un gigante como Amazon. La FTC ha subrayado que la colaboración con los consumidores afectados es prioritaria y que cualquier empresa que obstaculice el acceso a sus propios datos se enfrentará a consecuencias.
El caso de Amazon demuestra que el cumplimiento normativo ya no se limita a proteger los datos propios; ahora incluye la obligación de auxiliar a las víctimas de fraude, y la FTC está dispuesta a multar cualquier incumplimiento, por pequeño que sea.
Análisis: lo que la multa a Amazon significa para el regulador europeo y el mercado español
La multa de la FTC tiene una lectura directa para Europa. El Reglamento General de Protección de Datos (RGPD) incluye el derecho de acceso que permite a los ciudadanos solicitar información sobre el tratamiento de sus datos personales, y la AEPD ya ha demostrado que no duda en imponer sanciones millonarias a las grandes tecnológicas: en 2023 multó a Meta con 390 millones de euros por publicidad personalizada, y a Google con 10 millones por trasladar datos fuera del Espacio Económico Europeo. La FCRA estadounidense, aunque enfocada al crédito, comparte con el RGPD la misma filosofía de transparencia.
Amazon opera en España desde 2011 y acapara cerca del 50% del comercio electrónico nacional, según datos de la CNMC. Cualquier fallo en la gestión de los datos de sus clientes españoles podría traducirse en multas de hasta el 4% de la facturación global, una cifra que eclipsa los 2,25 millones pagados a la FTC. Los despachos de abogados ya están revisando los protocolos internos de atención a víctimas de suplantación para evitar que una situación similar se repita en territorio europeo.
La pregunta que queda en el aire es si Amazon ha corregido ya los procesos internos que llevaron a este incumplimiento o si, por el contrario, la sanción de la FTC será solo la primera de una serie de expedientes regulatorios a ambos lados del Atlántico. La compañía de Jeff Bezos, acostumbrada a litigar contra reguladores, ha preferido en esta ocasión un acuerdo rápido que minimiza el daño reputacional. Sin embargo, la sombra de la FCRA es alargada y podría alcanzar a otras unidades de negocio de Amazon, como Amazon Web Services, si se detectan patrones similares de opacidad.
