L’Autorità olandese per la protezione dei dati (DPA) ha inflitto a Uber una multa di 290 milioni di euro.
L’Autorità olandese per la protezione dei dati ha rilevato che Uber ha trasferito i dati personali dei tassisti europei negli Stati Uniti (USA) e non ha salvaguardato adeguatamente i dati in relazione a questi trasferimenti. Secondo la DPA olandese, ciò costituisce una grave violazione del Regolamento generale sulla protezione dei dati (GDPR). Nel frattempo, Uber ha posto fine alla violazione.
“In Europa, il GDPR protegge i diritti fondamentali delle persone, imponendo alle imprese e ai governi di trattare i dati personali con la dovuta attenzione”, afferma il presidente della DPA olandese Aleid Wolfsen. “Ma purtroppo questo non è evidente al di fuori dell’Europa. Pensate ai governi che possono attingere ai dati su larga scala. Per questo motivo le aziende sono solitamente obbligate ad adottare misure aggiuntive se conservano dati personali di cittadini europei al di fuori dell’Unione Europea. Uber non ha soddisfatto i requisiti del GDPR per garantire il livello di protezione dei dati per quanto riguarda il trasferimento negli Stati Uniti. Questo è molto grave”.
Uber, dati sensibili non protetti adeguatamente
La DPA olandese ha scoperto che Uber ha raccolto, tra le altre cose, informazioni sensibili di autisti europei e le ha conservate su server negli Stati Uniti. Si tratta di dati relativi all’account e alle licenze di taxi, ma anche di dati relativi all’ubicazione, foto, dettagli di pagamento, documenti d’identità e, in alcuni casi, persino dati medici e penali degli autisti.
Per un periodo di oltre 2 anni, Uber ha trasferito questi dati alla sede centrale di Uber negli Stati Uniti, senza utilizzare strumenti di trasferimento. Per questo motivo, la protezione dei dati personali non era sufficiente. La Corte di giustizia dell’UE ha invalidato il Privacy Shield UE-USA nel 2020.
Secondo la Corte, le clausole contrattuali standard possono ancora costituire una base valida per il trasferimento di dati a Paesi al di fuori dell’UE, ma solo se è possibile garantire un livello di protezione equivalente nella pratica.
Poiché Uber non ha più utilizzato le clausole contrattuali standard a partire dall’agosto 2021, i dati degli autisti dell’UE non erano sufficientemente protetti, secondo la DPA olandese. Dalla fine dello scorso anno, Uber utilizza il successore del Privacy Shield.
Reclami degli autisti
La DPA olandese ha avviato l’indagine su Uber dopo che più di 170 autisti francesi si sono lamentati con il gruppo francese per i diritti umani Ligue des droits de l’Homme (LDH), che ha successivamente presentato una denuncia alla DPA francese.
Ai sensi del GDPR, le aziende che trattano dati in diversi Stati membri dell’UE devono rivolgersi a un’unica DPA: l’autorità del Paese in cui l’azienda ha la sede principale. La sede europea di Uber si trova nei Paesi Bassi. Durante l’indagine, la DPA olandese ha collaborato strettamente con la DPA francese e ha coordinato la decisione con le altre DPA europee.
La multa per Uber
Tutte le DPA in Europa calcolano l’importo delle multe per le aziende nello stesso modo. Le multe ammontano a un massimo del 4% del fatturato annuo mondiale di un’azienda. Uber aveva un fatturato mondiale di circa 34,5 miliardi di euro nel 2023. Uber ha manifestato l’intenzione di opporsi alla multa.
Questa è la terza multa che la DPA olandese impone a Uber. La DPA olandese ha imposto a Uber una multa di 600.000 euro nel 2018 e una multa di 10 milioni di euro nel 2023. Uber si è opposta a quest’ultima multa.
