La Autoridad de Protección de Datos de los Países Bajos (DPA) ha multado a Uber con una cifra récord de 290 millones de euros (324 millones de dólares) por supuestamente no cumplir con los estándares de protección de datos de la Unión Europea (UE) al enviar datos confidenciales de conductores a Estados Unidos.
«La agencia holandesa DPA descubrió que Uber transfirió datos personales de taxistas europeos a Estados Unidos (EE.UU.) y no protegió adecuadamente los datos con respecto a estas transferencias», dijo la agencia .
El organismo de control de la protección de datos ha afirmado que esta medida constituye una «grave» violación del Reglamento General de Protección de Datos (RGPD). En respuesta, el servicio de transporte, mensajería y entrega de comida a domicilio ha puesto fin a esta práctica.
Se cree que Uber recopiló información confidencial de los conductores y la conservó en servidores con sede en Estados Unidos durante más de dos años. Esto incluía detalles de cuentas y licencias de taxi, datos de ubicación, fotos, detalles de pago y documentos de identidad. En algunos casos, también contenía datos médicos y penales de los conductores.
La DPA acusó a Uber de llevar a cabo las transferencias de datos sin hacer uso de los mecanismos adecuados , especialmente considerando que la UE invalidó el Escudo de Privacidad UE-EE. UU. en 2020. Un reemplazo , conocido como el Marco de Privacidad de Datos UE-EE. UU., se anunció en julio de 2023.
«Dado que Uber ya no utiliza las cláusulas contractuales estándar desde agosto de 2021, los datos de los conductores de la UE no están suficientemente protegidos, según la DPA holandesa», afirma la agencia. «Desde finales del año pasado, Uber utiliza el sucesor del Privacy Shield».
En un comunicado compartido con Bloomberg, Uber dijo que la multa es «totalmente injustificada» y que tiene la intención de impugnar la decisión. Además, afirmó que el proceso de transferencia de datos transfronterizos cumple con el RGPD.
A principios de este año, la DPA multó a Uber con 10 millones de euros por no revelar los detalles completos de sus períodos de retención de datos sobre los conductores europeos y los países no europeos con los que comparte los datos.
«Uber había complicado innecesariamente a los conductores la presentación de solicitudes para ver o recibir copias de sus datos personales», señaló la DPA en enero de 2024.
“Además, no especificaron en sus términos y condiciones de privacidad cuánto tiempo conserva Uber los datos personales de sus conductores ni qué medidas de seguridad específicas toma cuando envía esta información a entidades en países fuera del [Espacio Económico Europeo]”.
Esta no es la primera vez que las empresas estadounidenses están en la mira de las autoridades de protección de datos de la UE por la falta de protecciones de privacidad equivalentes en Estados Unidos con respecto a las transferencias de datos de la UE, lo que genera preocupaciones de que los datos de los usuarios europeos podrían estar sujetos a programas de vigilancia estadounidenses.
En 2022, los reguladores austriacos y franceses dictaminaron que el movimiento transatlántico de datos de Google Analytics constituía una violación de las leyes GDPR.
«Pensemos en los gobiernos que pueden extraer datos a gran escala», afirma Aleid Wolfsen, presidente de la DPA. «Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea».
Fuente y redacción: thehackernews.com
