La Autoridad de Protección de Datos (AP, por sus siglas en neerlandés) de Países Bajos impuso una multa de aproximadamente $325 millones de dólares a Uber Technologies y Uber B.V., la empresa constituida en dicho país, por infringir el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea (UE).
El regulador acusó a la compañía estadounidense de transferir datos personales desde el Espacio Económico Europeo (EEA) a servidores en Estados Unidos (EU) sin las garantías adecuadas, tal y como se define en el Capítulo V del GDPR.
Esta es la tercera vez que la AP de Países Bajos impone una multa administrativa a Uber. La primera fue una multa de alrededor de $512,000 dólares por controles deficientes de acceso a los datos en noviembre de 2018.
La segunda fue una sanción por $11.17 millones de dólares aproximadamente impuesta en enero de 2024 por las oscuras prácticas de gestión de datos de la empresa de movilidad sobre el manejo de datos de sujetos de la UE.
El presidente de la AP, Aleid Wolfsen, dijo en un comunicado “Uber no ha garantizado el nivel de protección para los conductores exigido por el RGPD para las transferencias de datos a EU. Eso es muy serio”.
Uber apelará la decisión de Países Bajos
La investigación de la AP sobre las prácticas de datos de Uber se originó por quejas de conductores franceses y fue escalada a la AP por la Comisión Nacional de Tecnologías de la Información y Libertades (CNIL, por sus siglas en francés) de Francia.
Uber argumentó que el Capítulo V del GDPR no se aplicaba porque el artículo 3 del mismo reglamento ya extendía la protección a sus actividades de procesamiento en Estados Unidos.
La compañía sostiene que sus prácticas de manejo de datos, tal y como se establecen en su aviso de privacidad, se adhieren la regulación europea. Además, considera que los flujos de datos entre los usuarios, así como entre los usuarios y ella, son un componente fundamental e inherente de sus servicios.
Incluso, la empresa tecnológica argumentó que no se produce ninguna transferencia de datos, ya que los conductores proporcionan su información directamente a los servidores de Uber con sede en Estados Unidos a través de la aplicación. La AP rechazó esos argumentos y procedió a imponer la multa masiva.
Un vocero de Uber dijo a BleepingComputer que “esta decisión errónea y la multa extraordinaria son completamente injustificadas” y agregó que la compañía cumplió con el GDPR durante un período de tres años de inmensa incertidumbre entre la UE y Estados Unidos.
“Apelaremos y confiamos en que prevalecerá el sentido común”, adelantó. El proceso de apelación puede tardar hasta años, durante los cuales la multa quedará suspendida.
Se complica la transferencia de datos UE-EU
El problema surgió después de que el Tribunal de Justicia de la Unión Europea invalidó en 2020 el Escudo de Privacidad UE-EU debido a que los estándares de protección de datos en Estados Unidos eran insuficientes.
Dicho marco fue diseñado por el Departamento de Comercio de Estados Unidos y la Comisión Europea para proporcionar a las empresas de ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos de la UE al transferir datos personales a Estados Unidos.
A pesar de dicha sentencia, Uber supuestamente siguió transfiriendo datos personales a Estados Unidos sin implementar las cláusulas contractuales estándar (SCC, por sus siglas en inglés) u otras salvaguardas, incumpliendo así el artículo 44 del GDPR, que establece que las transferencias de datos a terceros países deben garantizar un nivel de protección equivalente al de la UE.
Esta es la misma falta por la que la Comisión de Protección de Datos (DPC) de Irlanda impuso una multa masiva de $1,300 millones de dólares a Meta (Facebook).
Además, la Autoridad Sueca de Protección de la Privacidad (IMY, por sus siglas en sueco) multó a cuatro empresas con $1.1 millones de dólares por violaciones similares causadas por el uso de Google Analytics.
