La Autoridad de Protección de Datos Holandesa (DPA) ha impuesto una multasignificativa de 290 millones de euros a la plataforma Uber por la transferencia de datos personales de conductores europeos a Estados Unidos y por no proteger adecuadamente esos datos en relación con dichas transferencias. Este es el último capítulo de una larga disputa entre la empresa y el regulador holandés.
Según la DPA, estas acciones de Uber constituyen «una grave infracción» del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Esta no es la primera vez que la autoridad sanciona a Uber, habiendo impuesto multas previas de 600.000 euros en 2018 y 10 millones de euros en 2023.
La Transferencia de Datos Personales Sensibles a Estados Unidos
La investigación de la DPA reveló que Uber recopilaba y almacenaba en servidores estadounidenses una gran cantidad de información sensible de los conductores europeos, incluyendo datos sobre cuentas y licencias de taxi, ubicación, fotos, pagos, documentos de identidad e incluso datos penales y médicos.
Durante más de dos años, la compañía transfirió estos datos a su sede central en Estados Unidos sin utilizar las herramientas de transferencia adecuadas, por lo que la protección de los datos personales no fue suficiente. La DPA recuerda que en 2020 el Tribunal de Justicia de la UE invalidó el llamado «Escudo de Privacidad UE-EE.UU.», que hasta entonces había sido el mecanismo utilizado para dichas transferencias.
La Posición de Uber y la Apelación de la Multa
Uber ha expresado su oposición a esta última multa, que considera «errónea» e «injustificada». Un portavoz de la plataforma ha confirmado que recurrirán la decisión, argumentando que el proceso de transferencia de datos transfronterizos de Uber cumplió con el RGPD durante un período de gran incertidumbre entre la UE y EE.UU.
«Esta decisión errónea y la multa extraordinaria son completamente injustificadas», ha indicado el portavoz, quien ha manifestado su confianza en que «prevalecerá el sentido común» una vez que se resuelva la apelación.
El Incumplimiento del RGPD y la Posición de la Autoridad Holandesa
Por su parte, el presidente de la DPA holandesa, Aleid Wolfsen, ha señalado que «Uber no cumplió con los requisitos del RGPD para garantizar el nivel de protección de los datos en lo que respecta a las transferencias a los EE. UU. Esto es muy grave».
La Autoridad de Protección de Datos Holandesa ha dejado claro que la transferencia de datos personales sensibles a Estados Unidos sin las debidas garantías es una infracción muy seria del Reglamento General de Protección de Datos de la Unión Europea. Esta multa record refleja la determinación del regulador de hacer cumplir la normativa y proteger los derechos de los ciudadanos.
La disputa entre Uber y la DPA holandesa demuestra los desafíos que enfrentan las empresas multinacionales a la hora de cumplir con las estrictas regulaciones de protección de datos en un entorno de incertidumbre legal entre la UE y EE.UU. La resolución de este caso tendrá importantes implicaciones para el futuro de las transferencias de datos transfronterizas.