L’autorità olandese per la protezione dei dati (DPA) impone una multa di 290 milioni di euro a Uber. L’autorità olandese per la protezione dei dati (DPA) ha scoperto che Uber ha trasferito dati personali di tassisti europei negli Stati Uniti (USA) e non è riuscita a salvaguardare adeguatamente i dati in relazione a tali trasferimenti. Secondo l’autorità olandese per la protezione dei dati, ciò costituisce una grave violazione del Regolamento generale sulla protezione dei dati (GDPR). Nel frattempo, Uber ha posto fine alla violazione.
“In Europa, il GDPR protegge i diritti fondamentali delle persone, richiedendo alle aziende e ai governi di gestire i dati personali con la dovuta attenzione”, afferma il presidente dell’autorità olandese per la protezione dei dati (DPA) Aleid Wolfsen. “Ma purtroppo, questo non è ovvio al di fuori dell’Europa. Pensate ai governi che possono intercettare dati su larga scala. Ecco perché le aziende sono solitamente obbligate ad adottare misure aggiuntive se archiviano dati personali di europei al di fuori dell’Unione Europea. Uber non ha soddisfatto i requisiti del GDPR per garantire il livello di protezione dei dati in relazione ai trasferimenti negli Stati Uniti. Ciò è molto grave”.
Dati sensibili
La DPA olandese ha scoperto che Uber ha raccolto, tra le altre cose, informazioni sensibili di autisti provenienti dall’Europa e le ha conservate su server negli Stati Uniti. Riguardano i dettagli dell’account e le licenze dei taxi, ma anche dati sulla posizione, foto, dettagli di pagamento, documenti di identità e, in alcuni casi, persino dati penali e medici degli autisti.
Per un periodo di oltre 2 anni, Uber ha trasferito tali dati alla sede centrale di Uber negli Stati Uniti, senza utilizzare strumenti di trasferimento. Per questo motivo, la protezione dei dati personali non era sufficiente. La Corte di giustizia dell’UE ha invalidato lo scudo per la privacy UE-USA nel 2020.
Secondo la Corte, le clausole contrattuali standard potrebbero ancora fornire una base valida per il trasferimento di dati a paesi al di fuori dell’UE, ma solo se un livello di protezione equivalente può essere garantito nella pratica.
Poiché Uber non ha più utilizzato le clausole contrattuali standard da agosto 2021, i dati degli autisti provenienti dall’UE non erano sufficientemente protetti, secondo la DPA olandese. Dalla fine dell’anno scorso, Uber utilizza il successore dello scudo per la privacy.
Reclami degli autisti
La DPA olandese ha avviato l’indagine su Uber dopo che oltre 170 autisti francesi hanno presentato un reclamo al gruppo di interesse per i diritti umani francese Ligue des droits de l’Homme (LDH), che ha successivamente presentato un reclamo alla DPA francese.
Ai sensi del GDPR, le aziende che elaborano dati in diversi Stati membri dell’UE devono trattare con una DPA: l’autorità nel paese in cui l’azienda ha la sua sede principale. La sede centrale europea di Uber si trova nei Paesi Bassi. Durante l’indagine, la DPA olandese ha collaborato strettamente con la DPA francese e ha coordinato la decisione con altre DPA europee.
Multa per Uber
Tutte le DPA in Europa calcolano l’importo delle sanzioni per le aziende allo stesso modo. Tali sanzioni ammontano a un massimo del 4% del fatturato annuo mondiale di un’azienda. Uber ha avuto un fatturato mondiale di circa 34,5 miliardi di euro nel 2023. Uber ha espresso la sua intenzione di opporsi alla sanzione.
Questa è la terza sanzione che la DPA olandese impone a Uber. L’autorità olandese per la protezione dei dati ha imposto a Uber una multa di 600.000 euro nel 2018 e una di 10 milioni di euro nel 2023. Uber si è opposta a quest’ultima multa.