La Autoridad de Protección de Datos holandesa (APD) ha multado a Uber con 290 millones de euros. La APD ha descubierto que Uber ha transferido datos personales de taxistas europeos a EE. UU. y no ha protegido adecuadamente los datos en relación con estas transferencias. Según la APD, esto constituye una grave violación del Reglamento General de Protección de Datos (RGPD). Mientras tanto, Uber ha puesto fin a la infracción.
«En Europa, el RGPD protege los derechos fundamentales de las personas, al exigir a las empresas y a los gobiernos que traten los datos personales con el debido cuidado», afirma el presidente de la APD, Aleid Wolfsen. «Pero, lamentablemente, esto no es evidente fuera de Europa. Pensemos en los gobiernos que pueden acceder a los datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea. Uber no cumplió con los requisitos del RGPD para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a los EE. UU. Esto es muy grave».
Datos sensibles
La autoridad de protección de datos holandesa ha descubierto que Uber recopilaba, entre otras cosas, información sensible de conductores de Europa y la almacenaba en servidores en los EE. UU. Se trata de datos de cuentas y licencias de taxi, pero también datos de ubicación, fotos, datos de pago, documentos de identidad y, en algunos casos, incluso datos médicos y penales de los conductores.
Durante un período de más de dos años, Uber transfirió estos datos a la sede central de Uber en los EE. UU. sin utilizar herramientas de transferencia. Debido a esto, la protección de los datos personales no fue suficiente. El Tribunal de Justicia de la UE invalidó en 2020 el Escudo de Privacidad UE-EE.UU.
Según el Tribunal, las cláusulas contractuales tipo todavía podrían proporcionar una base válida para transferir datos a países fuera de la UE, pero solo si se puede garantizar en la práctica un nivel de protección equivalente.
Como Uber ya no utilizaba las cláusulas contractuales tipo a partir de agosto de 2021, los datos de los conductores de la UE no estaban suficientemente protegidos, según la autoridad de protección de datos holandesa. Desde finales del año pasado, Uber utiliza el sucesor del Escudo de Privacidad.
Quejas de los conductores
La autoridad de protección de datos holandesa inició la investigación sobre Uber después de que más de 170 conductores franceses presentaran una queja ante la asociación francesa de defensa de los derechos humanos, la Ligue des droits de l’Homme (LDH), que posteriormente presentó una queja ante la autoridad de protección de datos francesa.
De acuerdo con el RGPD, las empresas que procesan datos en varios Estados miembros de la UE tienen que tratar con una única autoridad de protección de datos: la autoridad del país en el que la empresa tiene su sede principal. La sede europea de Uber se encuentra en los Países Bajos. Durante la investigación, la autoridad de protección de datos holandesa colaboró estrechamente con la autoridad de protección de datos francesa y coordinó la decisión con otras autoridades de protección de datos europeas.
Multa a Uber
Todas las autoridades de protección de datos de Europa calculan el importe de las multas a las empresas de la misma manera. Estas multas ascienden a un máximo del 4 % de la facturación anual mundial de una empresa. Uber facturó a nivel mundial alrededor de 34.500 millones de euros en 2023. Uber ha manifestado su intención de oponerse a la multa.
Esta es la tercera multa que la autoridad de protección de datos holandesa impone a Uber. En 2018, la autoridad de protección de datos holandesa impuso a Uber una multa de 600.000 euros y en 2023 una multa de 10 millones de euros. Uber ha presentado objeciones a esta última multa.