El organismo de control de protección de datos holandés dijo el lunes que impuso a la aplicación de transporte compartido Uber una multa de 290 millones de euros (324 millones de dólares) por la transferencia de datos personales de conductores europeos a servidores estadounidenses.
El regulador dijo que las transferencias eran una “violación grave” del Reglamento General de Protección de Datos de la Unión Europea (GDPR), ya que no protegían adecuadamente la información de los conductores.
“Uber no ha cumplido los requisitos del RGPD para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a EE.UU. Esto es muy grave”, afirmó en un comunicado el presidente de la Autoridad de Protección de Datos de los Países Bajos (APD), Aleid Wolfsen.
La DPA afirmó que Uber recopiló información sensible de conductores europeos, incluyendo licencias de taxi, datos de localización, fotografías, detalles de pago, documentos de identidad, “y en algunos casos incluso datos criminales y médicos de los conductores”.
Durante un período de dos años, indicó la DPA, la información fue transferida a la sede central de Uber en Estados Unidos sin utilizar herramientas de transferencia.
“Por este motivo, la protección de los datos personales no fue suficiente”, afirmó la agencia de noticias DPA, que añadió que Uber “puso fin a la infracción”.
Uber dijo que apelaría la multa, un proceso que suspende la sanción pero que puede tardar hasta cuatro años.
“Esta decisión errónea y la multa extraordinaria son completamente injustificadas”, dijo un portavoz de Uber en un comunicado.
“El proceso de transferencia de datos transfronterizos de Uber cumplió con el RGPD durante un período de tres años de inmensa incertidumbre entre la UE y EE. UU. Apelaremos y seguimos confiando en que prevalecerá el sentido común”, afirma el comunicado.
Los conductores franceses se quejaron
La UE ha establecido una serie de normas sobre lo que las grandes empresas tecnológicas pueden y no pueden hacer, y ha impuesto enormes multas por infracciones en los últimos años.
La DPA dijo que inició la investigación después de que más de 170 conductores franceses se quejaron ante un grupo francés de derechos humanos, que luego presentó una queja ante el organismo de control de protección de datos de Francia.
Según el RGPD, una empresa que procesa datos en varios países de la UE debe tratar con la autoridad de protección de datos del lugar donde se encuentra su sede principal. La sede europea de Uber se encuentra en los Países Bajos.
“En Europa, el RGPD protege los derechos fundamentales de las personas, al exigir a las empresas y a los gobiernos que manejen los datos personales con el debido cuidado”, afirmó Wolfsen.
“Pero lamentablemente, esto no es evidente fuera de Europa”, dijo.
“Pensemos en los gobiernos que pueden extraer datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea”.
Se trata de la tercera multa de la DPA contra Uber, tras las multas de 600.000 euros en 2018 y 10 millones de euros el año pasado.
Periodo de ‘incertidumbre’
Uber dijo el lunes que el caso más reciente se relaciona con una queja que se remonta a 2021, durante un período de tres años “cuando hubo una incertidumbre significativa con respecto a las transferencias de datos entre Estados Unidos y la UE”.
Dijo que la incertidumbre comenzó después de que el Tribunal de Justicia de la Unión Europea invalidara un marco de transferencia de datos conocido como Escudo de Privacidad UE-EE. UU. en 2020.
El año pasado la Comisión Europea adoptó un sucesor, el Marco de Privacidad de Datos UE-EE.UU.
“De manera similar a lo que tuvieron que hacer muchas otras empresas que operan en la UE y transfieren datos a EE. UU., durante el período en que se impugnó el Escudo de Privacidad, Uber continuó protegiendo los datos de acuerdo con el RGPD”, afirmó la compañía.
