El organismo holandés de protección de datos impuso el lunes una multa de 290 millones de euros (324 millones de dólares) al servicio de transporte Uber por presuntamente transferir datos personales de conductores europeos a Estados Unidos sin la protección adecuada. Uber calificó la decisión de errónea e injustificada y dijo que apelará.
La Autoridad de Protección de Datos de los Países Bajos afirmó que las transferencias de datos que duraron más de dos años constituyeron una grave violación del Reglamento General de Protección de Datos de la Unión Europea, que exige medidas técnicas y organizativas destinadas a proteger los datos de los usuarios.
“En Europa, el RGPD protege los derechos fundamentales de las personas, al exigir a las empresas y a los gobiernos que manejen los datos personales con el debido cuidado”, dijo el presidente de la DPA holandesa, Aleid Wolfsen, en un comunicado.
“Pero, lamentablemente, esto no es evidente fuera de Europa. Pensemos en los gobiernos que pueden acceder a datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea. Uber no cumplió los requisitos del RGPD para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a los EE. UU. Eso es muy grave”.
El caso se inició por quejas de 170 conductores franceses de Uber, pero la autoridad holandesa emitió la multa porque la sede europea de Uber está en los Países Bajos.
Uber insistió en que no hizo nada malo.
“Esta decisión errónea y la multa extraordinaria son completamente injustificadas. El proceso de transferencia de datos transfronterizos de Uber cumplió con el RGPD durante un período de tres años de inmensa incertidumbre entre la UE y EE. UU. Apelaremos y seguimos confiando en que prevalecerá el sentido común”, afirmó la empresa en un comunicado.
La supuesta violación se produjo después de que el máximo tribunal de la UE dictaminara en 2020 que un acuerdo conocido como Escudo de Privacidad que permitía a miles de empresas (desde gigantes tecnológicos hasta pequeñas firmas financieras) transferir datos a Estados Unidos era inválido porque el gobierno estadounidense podía espiar los datos de las personas.
La agencia holandesa de protección de datos dijo que, tras el fallo del tribunal de la UE, las cláusulas estándar en los contratos podrían proporcionar una base para transferir datos fuera de la UE, «pero solo si se puede garantizar un nivel equivalente de protección en la práctica».
“Dado que Uber ya no utiliza las cláusulas contractuales estándar a partir de agosto de 2021, los datos de los conductores de la UE no estaban suficientemente protegidos”, afirmó el organismo de control. Añadió que Uber ha estado utilizando el sucesor del Escudo de Privacidad desde finales del año pasado, poniendo fin a la supuesta infracción.
La Asociación de la Industria de Computación y Comunicaciones, una organización de defensa de las empresas tecnológicas, dijo que la multa ignoró las realidades de los negocios en línea tras el fallo del tribunal de la UE de 2020.
“La ruta de Internet más transitada del mundo no podía simplemente quedar suspendida durante tres años enteros mientras los gobiernos trabajaban para establecer un nuevo marco legal para estos flujos de datos”, dijo el responsable europeo de políticas de la asociación, Alexandre Roure, en un comunicado.
“Cualquier multa retroactiva por parte de las autoridades de protección de datos es especialmente preocupante dado que estos mismos organismos de control de la privacidad no proporcionaron orientación útil durante este período de importante incertidumbre jurídica, en ausencia de un marco legal claro”, añadió.
El anuncio del lunes no es la primera vez que el organismo de control de protección de datos holandés multa a Uber. En enero, la agencia le impuso una multa de 10 millones de euros por lo que dijo que la empresa no reveló durante cuánto tiempo retuvo los datos de los conductores en Europa ni mencionó los países no pertenecientes a la UE con los que compartió los datos.
 al servicio de transporte Uber){kind=link}