Uber se enfrenta a una multa masiva por el RGPD después de que el regulador holandés afirmara que violó la regulación al almacenar datos de los conductores en los EE. UU. sin las salvaguardas adecuadas.
La Autoridad de Protección de Datos holandesa (AP) anunció la multa de 290 millones de euros (324 millones de dólares), alegando que se deriva de las mismas preocupaciones que han dado lugar a disputas legales de años de duración entre la UE y los EE. UU.
En concreto, se trata de que los derechos humanos de los ciudadanos europeos pueden verse en peligro si sus datos se almacenan en los EE. UU. sin salvaguardas, ya que, de lo contrario, las agencias de inteligencia y de aplicación de la ley podrían acceder y consultar sus datos personales.
Estas mismas preocupaciones llevaron al Tribunal de Justicia de la Unión Europea a declarar inválido el Escudo de Privacidad UE-EE. UU. en 2020.
“En Europa, el RGPD protege los derechos fundamentales de las personas al exigir a las empresas y los gobiernos que gestionen los datos personales con cuidado. Pero fuera de Europa, lamentablemente eso no es evidente. Pensemos en los gobiernos que pueden acceder a los datos a gran escala”, explicó el presidente de AP, Aleid Wolfsen.
“Por eso, normalmente se exige a las empresas que tomen medidas adicionales cuando almacenan datos personales de europeos fuera de la Unión Europea. Uber no ha garantizado el nivel de protección que exige el RGPD para los conductores en la transferencia de datos a EE. UU. Eso es muy grave”.
AP afirmó que Uber no había utilizado cláusulas contractuales estándar (SCC) u otros medios para garantizar que los datos personales de los ciudadanos almacenados en servidores estadounidenses recibieran niveles de protección equivalentes a los de la UE.
En el documento se afirma que la información personal sensible incluye detalles de cuentas, licencias de taxi, datos de ubicación, fotos, detalles de pago, identificaciones y, en algunos casos, antecedentes penales y médicos de los conductores. Estos fueron transferidos a la sede de Uber en Estados Unidos durante más de dos años sin las debidas salvaguardas, añadió.
La Asociación de la Industria de la Computación y las Comunicaciones (CCIA Europe), una organización sin fines de lucro que tiene a Uber como miembro, argumentó en respuesta que el período en cuestión (2021-2022) fue de tremenda incertidumbre después de que el acuerdo del Escudo de Privacidad fuera declarado ilegal.
Argumentó que tanto las empresas europeas como las estadounidenses se quedaron sin directrices claras durante un período de casi tres años, y que la incertidumbre se agravó por los desacuerdos entre las autoridades de protección de datos de la UE y la Comisión Europea. Esta última, afirmó, descartó las cláusulas contractuales especiales para empresas no pertenecientes a la UE que ya están sujetas a las normas europeas de protección de datos.
Desde el año pasado, Uber ha estado siguiendo el sucesor del Escudo de Privacidad (un Marco de Privacidad de Datos negociado entre la UE y EE. UU.) y ahora cumple con el RGPD, dijo AP.
AP inició una investigación sobre Uber después de que más de 170 conductores franceses presentaron una queja ante el grupo francés de derechos humanos, Ligue des droits de l’Homme (LDH), que posteriormente presentó una queja ante el organismo de control de la privacidad francés.
Con información de Forbes.
Info – Ciberseguridad Latam