Uber tiene que pagar 290 millones de euros a la Autoridad Neerlandesa de Protección de Datos por transferir datos de conductores europeos a servidores de EE.UU.
Uber ha sido multada en Países Bajos con 290 millones de euros por transferir datos personales de conductores europeos a EE.UU. La Autoridad Neerlandesa de Protección de Datos (DPA, por sus siglas en inglés) descubrió que Uber recopilaba "información sensible" sobre sus conductores europeos, como licencias de taxi, datos de localización e incluso datos médicos, y la conservaba en servidores estadounidenses.
Uber realizó las transferencias a sus bases de datos estadounidenses sin "salvaguardar adecuadamente los datos en relación con esas transferencias", apuntó la autoridad. La DPA considera esta transferencia una "violación grave" del Reglamento General de Protección de Datos (RGPD) europeo.
Estas leyes exigen que "las empresas y los gobiernos manejen los datos personales con el debido cuidado", señaló Aleid Wolsen, presidente de la DPA, en un comunicado en su página web. "Lamentablemente, esto no es evidente fuera de Europa. Pensemos en gobiernos que pueden intervenir datos a gran escala".
Multa "totalmente injustificada"
"Esta decisión equivocada y esta multa extraordinaria son completamente injustificadas", dijo un portavoz de Uber a 'Euronews Next' en un correo electrónico. Uber mantiene que cumplió con el RGPD durante tres años de "inmensa incertidumbre" entre EE.UU. y la UE sobre cómo se aplicaría la normativa.
El problema, según Uber, se remonta a 2020, cuando el Tribunal de Justicia de la UE determinó que el actual marco de transferencia de datos entre la UE y EE.UU. ya no cumplía con el reglamento. Las empresas se quedaron "sin directrices claras para los flujos de datos transatlánticos" durante casi tres años, según una declaración de apoyo a Uber de la Asociación de la Industria Informática y de Comunicaciones (CCIA Europe).
La Comisión Europea resolvió la situación en julio de 2023, emitiendo una declaración en la que afirmaba que EE.UU. ofrece suficiente protección para los datos europeos. Cuando se dictó la sentencia, Uber dijo que no tenía que hacer ningún cambio en la forma en que almacena la información en EE.UU.
"Cualquier multa retroactiva por parte de las autoridades de protección de datos es especialmente preocupante, dado que estos mismos organismos de control de la privacidad no han proporcionado una orientación útil durante este periodo de gran incertidumbre jurídica, en ausencia de un marco jurídico claro", dijo por correo electrónico Alexandre Roure, jefe de Política de CCIA Europe.
Para esta asociación europea, las multas retroactivas significan que habrá inseguridad jurídica para todo lo que ocurra en línea entre 2020 y 2023, desde videoconferencias, hasta el procesamiento de pagos en línea. Uber dijo que recurrirá la multa y "sigue confiando en que prevalezca el sentido común". Su recurso significa que la sanción queda en suspenso hasta que se tome una decisión definitiva.
Tercera multa a Uber en cinco años
La DPA inició su investigación a principios de este año, después de que 170 conductores franceses se quejaran ante la ONG francesa 'Ligue des droits de l'Homme' (Liga de Derechos Humanos) en 2021.
La sede de Uber para Europa, Oriente Medio y África está en Ámsterdam, por lo que la DPA se hizo cargo del caso. Las autoridades neerlandesas también multaron a Uber con 10 millones de euros en diciembre y con 600.000 euros en 2018.
La DPA descubrió en su investigación de diciembre de 2023 que Uber no respondió con suficiente rapidez a las solicitudes de datos de sus conductores. Uber también proporcionó información "incompleta" en su declaración de privacidad sobre cómo la empresa transfería datos a EE.UU., según la autoridad de datos de Francia, que trabajó con los neerlandeses en el caso.
"Esta decisión reafirma la importancia de exigir una información transparente y la necesidad de garantizar que se respetan los derechos de los interesados", declaró entonces la autoridad de datos francesa en un comunicado.
Jerome Giusti, abogado de la Liga Francesa de Derechos Humanos, dijo en un comunicado en febrero que cree que la denuncia de diciembre fue "la primera acción a gran escala de los trabajadores en Europa basada en el RGPD". Y añadió que los conductores a los que representa "están considerando iniciar una acción en grupo para obtener una indemnización, tras esta primera decisión condenatoria ante los tribunales franceses".
Uber mantiene que la DPA dijo que la plataforma de viajes compartidos cumplió con sus obligaciones de entregar los datos en tiempo y forma a sus conductores. La empresa añadió que su recurso sobre el caso de diciembre de 2023 sigue activo.