La Autoridad de Protección de Datos Holandesa (DPA) multó a la plataforma Uber con 290 millones de euros por la transferencia a Estados Unidos de datos personales de conductores europeos y no proteger adecuadamente los datos en relación con estas transferencias.
Según la DPA, esto constituye “una grave infracción” del Reglamento General de Protección de Datos (RGPD).
Se trata de la tercera multa de la DPA neerlandesa contra Uber, tras la sanción de 600.000 de euros impuesta en 2018 y otra de 10 millones de euros en 2023.
En concreto, la DPA descubrió que Uber recopilaba, entre otras cosas, información sensible de conductores de Europa y la almacenaba en servidores de EE. UU., incluyendo datos sobre cuentas y licencias de taxi, pero también datos de ubicación, fotos, datos de pago, documentos de identidad y, en algunos casos, incluso datos penales y médicos de los conductores.
Durante más de dos años, Uber transfirió esos datos a su sede central en EE. UU. sin utilizar herramientas adecuadas, por lo que la protección de los datos personales no fue suficiente, señala la autoridad holandesa, recordando que el Tribunal de Justicia de la UE invalidó en 2020 el llamado Escudo de Privacidad UE - EE. UU.
“Uber no cumplió con los requisitos del RGPD para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a los EE. UU. Esto es muy grave”, indicó el presidente de la DPA holandesa, Aleid Wolfsen.
Uber, que puso fin a la infracción sancionada, expresó su oposición a esta última multa, según indicó el regulador holandés.
De su lado, un portavoz de la plataforma confirmó a Europa Press que Uber apelará la decisión, que considera “errónea”, ya que el proceso de transferencia de datos transfronterizos de Uber cumplió con el RGPD durante un período de 3 años de inmensa incertidumbre entre la UE y EE. UU.
“Esta decisión errónea y la multa extraordinaria son completamente injustificadas”, dijo el portavoz. “Apelaremos y confiamos en que prevalecerá el sentido común”, agregó.
Quejas de conductores franceses
En los últimos años, el bloque de 27 países europeos impuso una serie de reglas para las grandes empresas tecnológicas. También infringió enormes multas por infracciones. La agencia neerlandesa empezó a investigar el caso después de que más de 170 conductores franceses se quejaran a un grupo de derechos humanos que interpuso una queja a la agencia de protección de datos de Francia.
Según el RGPD, una empresa que procesa datos en varios países de la UE, debe tratar con la autoridad de protección de datos del lugar donde se encuentre su sede principal. La sede europea de Uber está en Países Bajos. “En Europa, el RGPD protege los derechos fundamentales de las personas, exigiendo a las empresas y a los gobiernos que manejen los datos personales con el debido cuidado”, dijo Wolfsen.
“Pero, lamentablemente, esto no es una evidencia fuera de Europa”, añadió.
“Pensemos en los gobiernos que pueden intervenir datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la UE”, prosiguió.
*Con información de Europa Press.