La Autoridad de Protección de Datos de Países Bajos (DPA) le impuso una multa de 290 millones de euros a Uber debido a la transferencia de datos personales de conductores europeos a servidores en Estados Unidos, cuestión que constituye una violación grave del Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
La sanción es la más grande que ha recibido Uber hasta la fecha. Todo esto porque la DPA holandesa determinó que la compañía transfirió durante más de dos años información sensible de los conductores, como detalles de cuentas, licencias de taxi, datos de ubicación, fotografías, datos de pago, documentos de identidad y, en algunos casos, incluso antecedentes penales y datos médicos.
Estas transferencias se realizaron sin las salvaguardias adecuadas, ya que Uber no utilizó las herramientas de transferencia requeridas, lo que resultó en una protección insuficiente de los datos personales.
Indagación y antecedentes contra Uber
La investigación sobre la plataforma de transportes comenzó tras la recepción de más de 170 quejas de conductores franceses, que fueron presentadas por la organización de derechos humanos Ligue des droits de l’Homme (LDH) ante la autoridad de protección de datos de Francia. Dado que la sede europea de Uber está en los Países Bajos, la DPA holandesa asumió la investigación en coordinación con otras autoridades europeas.
El GDPR establece que las empresas que procesan datos en varios países de la UE deben tratar con la autoridad de protección de datos del país en el que tienen su sede principal. En este caso, la DPA holandesa fue la responsable de imponer la multa, que representa el 4% de la facturación mundial anual de Uber, la cual ascendió a aproximadamente 34,5 mil millones de euros en 2023.
Este no es el primer enfrentamiento de Uber con las autoridades de protección de datos europeas. En 2018, la DPA holandesa impuso una multa de €600.000 euros a la compañía por no informar sobre una violación de datos en el plazo de 72 horas estipulado por el GDPR. Posteriormente, en 2023, Uber fue multada con 10 millones de euros por no detallar adecuadamente los periodos de retención de datos de los conductores europeos ni los países no europeos con los que compartía esta información. En ambos casos, la empresa también objetó las sanciones.
Uber ha expresado su desacuerdo con la multa de 290 millones de euros, calificándola de «injustificada» y ha anunciado su intención de apelar la decisión. La compañía sostiene que su proceso de transferencia de datos transfronterizo cumplió con el GDPR.
