La Autoridad Holandesa de Protección de Datos (DPA) multó a Uber con una cifra récord de 290 millones de euros (324 millones de dólares) por aparentemente no cumplir con los estándares de protección de datos de la Unión Europea (UE) al enviar datos confidenciales de los conductores a los EE.UU.
"La DPA holandesa descubrió que Uber transfirió datos personales de taxistas europeos a Estados Unidos (EE.UU.) y no protegió adecuadamente los datos con respecto a estas transferencias", dijo la agencia.
El organismo de control de la protección de datos dijo que la medida constituye una violación "grave" del Reglamento General de Protección de Datos (GDPR). En respuesta, el servicio de transporte, mensajería y entrega de alimentos puso fin a la práctica.
Se cree que Uber recopiló información confidencial de los conductores y la retuvo en servidores con sede en Estados Unidos durante más de dos años. Esto incluía detalles de cuentas y licencias de taxi, datos de ubicación, fotografías, detalles de pago y documentos de identidad. En algunos casos, también contenía datos penales y médicos de los conductores.
La DPA acusó a Uber de realizar las transferencias de datos sin hacer uso de los mecanismos adecuados, especialmente considerando que la UE invalidó el Acuerdo de Privacidad 2020. Un reemplazo, conocido como "Escudo de Privacidad UE-EE.UU. Marco de privacidad de datos", se anunció en julio de 2023.
"Debido a que Uber ya no utilizó cláusulas contractuales estándar a partir de agosto de 2021, los datos de los conductores de la UE no estaban suficientemente protegidos, según la DPA holandesa", dijo la agencia. "Desde finales del año pasado, Uber utiliza el sucesor del Escudo de Privacidad".
En un comunicado compartido con Bloomberg, Uber dijo que la multa es "completamente injustificada" y que tiene la intención de impugnar la decisión. Dijo además que el proceso de transferencia de datos transfronterizos cumplía con el RGPD.
A principios de este año, la DPA multó a Uber con una multa de 10 millones de euros por no revelar todos los detalles de sus períodos de retención de datos sobre los conductores europeos y los países no europeos con los que comparte los datos. "Además, no especificaron en sus términos y condiciones de privacidad cuánto tiempo Uber conserva los datos personales de sus conductores o qué medidas de seguridad específicas toma al enviar esta información a entidades en países fuera del Espacio Económico Europeo".
Esta no es la primera vez que las empresas estadounidenses se encuentran en la mira de las autoridades de protección de datos de la UE por la falta de protecciones de privacidad equivalentes en los EE.UU. con respecto a las transferencias de datos de la UE, lo que genera preocupaciones de que los datos de los usuarios europeos puedan estar sujetos a programas de vigilancia de los EE.UU.
En 2022, los reguladores austriacos y franceses dictaminaron que el movimiento transatlántico de datos de Google Analytics constituía una infracción de las leyes GDPR. "Pensemos en los gobiernos que pueden acceder a datos a gran escala", dijo el presidente de la DPA, Aleid Wolfsen. "Por eso las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la Unión Europea".
Fuente: THN