La Autoridad de Protección de Datos de los Países Bajos (DPA) ha multado a Uber con una cifra récord de 290 millones de euros (324 millones de dólares) por supuestamente no cumplir con los estándares de protección de datos de la Unión Europea (UE) al enviar datos confidenciales de conductores a Estados Unidos.
«La DPA holandesa descubrió que Uber transfirió datos personales de taxistas europeos a Estados Unidos (EE. UU.) y no protegió adecuadamente los datos con respecto a estas transferencias», dijo la agencia. dicho.
El organismo de control de la protección de datos ha afirmado que esta medida constituye una «grave» violación del Reglamento General de Protección de Datos (RGPD). En respuesta, el servicio de transporte, mensajería y entrega de comida a domicilio ha puesto fin a esta práctica.
Se cree que Uber recopiló información confidencial de los conductores y la conservó en servidores con sede en Estados Unidos durante más de dos años. Esto incluía detalles de cuentas y licencias de taxi, datos de ubicación, fotos, detalles de pago y documentos de identidad. En algunos casos, también contenía datos médicos y penales de los conductores.
La DPA acusó a Uber de realizar las transferencias de datos sin hacer uso de mecanismos apropiadosespecialmente teniendo en cuenta que la UE invalidó el Escudo de Privacidad UE-EE. UU. en 2020. En julio de 2023 se anunció un reemplazo, conocido como el Marco de Privacidad de Datos UE-EE. UU.
«Dado que Uber ya no utiliza las cláusulas contractuales estándar desde agosto de 2021, los datos de los conductores de la UE no están suficientemente protegidos, según la DPA holandesa», afirma la agencia. «Desde finales del año pasado, Uber utiliza el sucesor del Privacy Shield».
En una declaración compartida con Bloomberg, Uber dicho La multa es «totalmente injustificada» y tiene la intención de impugnar la decisión. Además, afirmó que el proceso de transferencia de datos transfronterizos cumple con el RGPD.
A principios de este año, la DPA multado Uber deberá pagar una multa de 10 millones de euros por no revelar todos los detalles de los periodos de retención de datos de sus conductores europeos y de los países no europeos con los que comparte dichos datos.
«Uber había complicado innecesariamente a los conductores la presentación de solicitudes para ver o recibir copias de sus datos personales», señaló la DPA en enero de 2024.
«Además, no especificaron en sus términos y condiciones de privacidad cuánto tiempo conserva Uber los datos personales de sus conductores ni qué medidas de seguridad específicas toma al enviar esta información a entidades en países fuera de EE.UU. [European Economic Area].»
Esta no es la primera vez que las empresas estadounidenses están en la mira de las autoridades de protección de datos de la UE por la falta de protecciones de privacidad equivalentes en Estados Unidos con respecto a las transferencias de datos de la UE, lo que genera preocupaciones de que los datos de los usuarios europeos podrían estar sujetos a programas de vigilancia estadounidenses.
En 2022, los reguladores austriacos y franceses dictaminaron que el movimiento transatlántico de datos de Google Analytics constituía una violación de las leyes GDPR.
«Pensemos en los gobiernos que pueden extraer datos a gran escala», afirma Aleid Wolfsen, presidente de la DPA. «Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea».