La autoridad holandesa de protección de datos impuso una multa de 290 millones de euros ($324 millones) el lunes a la empresa de servicios de transporte Uber por presuntamente transferir detalles personales de conductores europeos a Estados Unidos sin la protección adecuada. Uber calificó la decisión de errónea e injustificada y dijo que apelará.
La Autoridad Holandesa de Protección de Datos dijo que las transferencias de datos que abarcaron más de dos años constituyeron una grave violación del Reglamento General de Protección de Datos de la Unión Europea, que exige medidas técnicas y organizativas destinadas a proteger los datos de los usuarios.
«En Europa, el GDPR protege los derechos fundamentales de las personas, al exigir que las empresas y los gobiernos manejen los datos personales con el debido cuidado», dijo el presidente de la DPA holandesa, Aleid Wolfsen, en un comunicado.
«Pero lamentablemente, esto no es evidente fuera de Europa. Piensen en gobiernos que pueden acceder a datos a gran escala. Es por eso que las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la Unión Europea. Uber no cumplió con los requisitos del GDPR para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a Estados Unidos. Eso es muy grave».
El caso se inició a raíz de quejas de 170 conductores de Uber en Francia, pero la autoridad holandesa emitió la multa porque la sede europea de Uber se encuentra en los Países Bajos.
Uber insistió en que no hizo nada mal.
«Esta decisión errónea y la multa extraordinaria son completamente injustificadas. El proceso de transferencia de datos transfronterizo de Uber era conforme con el GDPR durante un período de 3 años de enorme incertidumbre entre la UE y Estados Unidos. Apelaremos y estamos seguros de que el sentido común prevalecerá,» dijo la empresa en un comunicado.
La presunta violación ocurrió después de que el Tribunal de Justicia de la UE dictaminara en 2020 que un acuerdo conocido como Privacy Shield que permitía a miles de empresas, desde gigantes tecnológicos hasta pequeñas firmas financieras, transferir datos a Estados Unidos era inválido porque el gobierno estadounidense podía espiar los datos de las personas.
La agencia holandesa de protección de datos dijo que, tras la decisión del tribunal de la UE, las cláusulas estándar en los contratos podían proporcionar una base para la transferencia de datos fuera de la UE, «pero sólo si se puede garantizar un nivel equivalente de protección en la práctica».
«Como Uber dejó de utilizar las Cláusulas Contractuales Estándar a partir de agosto de 2021, los datos de los conductores de la UE no estaban suficientemente protegidos», dijo la autoridad. Añadió que Uber ha estado utilizando el sucesor de Privacy Shield desde finales del año pasado, poniendo fin a la presunta violación.
La Asociación de Industria de la Computación y las Comunicaciones, una organización de defensa de las empresas tecnológicas, dijo que la multa ignoraba las realidades del negocio en línea tras la decisión del tribunal de la UE en 2020.
«La ruta de internet más transitada del mundo no podía simplemente detenerse durante tres años mientras los gobiernos trabajaban para establecer un nuevo marco legal para estos flujos de datos,» dijo el jefe de política europea de la asociación, Alexandre Roure, en un comunicado.
«Cualquier multa retroactiva por parte de las autoridades de protección de datos es especialmente preocupante dado que esos mismos vigilantes de la privacidad no ofrecieron orientación útil durante este período de significativa incertidumbre legal, en ausencia de cualquier marco legal claro,» agregó.
El anuncio del lunes no es la primera vez que la autoridad holandesa de protección de datos impone una multa a Uber. En enero, la agencia le impuso una multa de 10 millones de euros por lo que dijo era la incapacidad de la empresa de revelar cuánto tiempo retenía los datos de los conductores en Europa o de nombrar a los países no pertenecientes a la UE con los que compartía los datos.