La Autoridad Holandesa de Protección de Datos (DPA) ha impuesto a Uber una multa récord de €290 millones ($324 millones) por presuntamente no cumplir con los estándares de protección de datos de la Unión Europea (E.U.) al enviar datos sensibles de conductores a los Estados Unidos (EE. UU.).
La DPA holandesa descubrió que Uber transfirió datos personales de taxistas europeos a los Estados Unidos y no protegió adecuadamente los datos con respecto a estas transferencias’, dijo la agencia.
El organismo de vigilancia de protección de datos dijo que el movimiento constituye una violación «grave» del Reglamento General de Protección de Datos (GDPR). En respuesta, el servicio de transporte, mensajería y entrega de alimentos ha puesto fin a la práctica.
Se cree que Uber recopiló información sensible de los conductores y la retuvo en servidores en EE. UU. por más de dos años. Esto incluía detalles de la cuenta y licencias de taxi, datos de ubicación, fotos, detalles de pago y documentos de identidad. En algunos casos, también contenía datos penales y médicos de los conductores.
La DPA acusó a Uber de llevar a cabo las transferencias de datos sin emplear mecanismos adecuados, especialmente considerando que la UE invalidó el Escudo de privacidad UE-EE. UU. en 2020. Un reemplazo, conocido como el Marco de privacidad de datos UE-EE. UU., fue anunciado en julio de 2023.
«Debido a que Uber dejó de utilizar Cláusulas Contractuales Estándar a partir de agosto de 2021, los datos de los conductores de la UE estaban insuficientemente protegidos, según la DPA holandesa», dijo la agencia. «Desde finales del año pasado, Uber utiliza el sucesor del Escudo de privacidad».
Uber dijo que la multa es «completamente injustificada» y que tiene la intención de impugnar la decisión, alegando que el proceso de transferencia transfronteriza de datos cumplía con el GDPR.
A principios de este año, la DPA impuso a Uber una multa de €10 millones por no revelar todos los detalles de sus períodos de retención de datos sobre los conductores europeos y los países no europeos con los que comparte los datos.
«Uber había complicado innecesariamente que los conductores presentaran solicitudes para ver o recibir copias de sus datos personales», señaló la DPA en enero de 2024.
Las empresas estadounidenses han sido sujetas a las autoridades de protección de datos de la UE por la falta de protecciones de privacidad equivalentes en EE. UU. en cuanto a las transferencias de datos de la UE. En 2022, los reguladores austriacos y franceses determinaron que el movimiento transatlántico de datos de Google Analytics era una violación de las leyes del GDPR.
«Piense en gobiernos que pueden acceder a datos a gran escala», dijo el presidente de la DPA, Aleid Wolfsen. «Por eso, por lo general, las empresas están obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la Unión Europea«.
‘
Vía The Hacker News
