€290 millones por un clic: la UE sanciona a Uber por datos

La Autoridad de Protección de Datos de los Países Bajos (AP) multó a las empresas Uber Technologies Inc. y Uber B.V. con €290 millones por violar el GDPR.

El centro de las acusaciones es la transferencia de datos personales desde el Espacio Económico Europeo (EEE) a servidores en los EE. UU. sin las garantías adecuadas. Los datos enviados incluyen información de ubicación, fotos, datos de pago y documentos de identidad de los conductores. En algunos casos, la empresa también recopiló datos criminales y médicos.

La razón de la investigación contra la empresa fueron las quejas de más de 170 conductores franceses, quienes solicitaron ayuda a la organización de derechos humanos Ligue des droits de l’Homme (LDH). Según las quejas, los datos de los conductores fueron transferidos al regulador neerlandés a través de la Comisión Nacional de Informática y Libertades de Francia (CNIL).

Durante más de 2 años, Uber almacenó los datos recopilados en su sede en los EE. UU. El regulador señaló que al transferir los datos, Uber no utilizó "herramientas de transferencia", lo que llevó a una protección insuficiente de la información confidencial. Dado que la sede de Uber fuera de los EE. UU. está en los Países Bajos, el regulador neerlandés fue quien impuso la multa de acuerdo con las normas del GDPR.

El problema surgió después de que el Tribunal de la UE en el caso Schrems II (caso de Max Schrems) anulara el Acuerdo sobre Normas de Transferencia de Información Confidencial entre la UE y los EE. UU. debido a los estándares de protección de datos insuficientes en los EE. UU.

A pesar del fallo, Uber continuó transfiriendo datos a los EE. UU. sin implementar las Cláusulas Contractuales Estándar (SCC) u otras medidas de protección obligatorias, lo que infringe el GDPR. Esta infracción anteriormente condujo a una multa de $1.3 mil millones para Meta y más de $1.1 millones para cuatro empresas por utilizar Google Analytics.

Uber, en su defensa, afirma que las normas del GDPR no se aplican a la empresa, ya que el reglamento ya extiende su jurisdicción a las operaciones de la empresa en los EE. UU. También se argumenta que la transferencia de datos, tal como se describe en el GDPR, no ocurre, ya que los usuarios envían sus datos a los servidores en los EE. UU. a través de la aplicación.

AP rechazó los argumentos de Uber y confirmó la multa. Uber expresó su desacuerdo con la decisión y planea apelar. Un portavoz de la compañía destacó que la multa es injusta, ya que durante los 3 años en que existió la incertidumbre entre la UE y los EE. UU., Uber cumplió con los requisitos del GDPR. La empresa confía en que, durante la apelación, "prevalecerá el sentido común".

El proceso de apelación podría prolongarse hasta 4 años, durante los cuales la multa quedará suspendida. Uber también insiste en que las prácticas de procesamiento de datos, descritas en la política de privacidad de la empresa, cumplen con las normas del GDPR, y que el intercambio de datos entre los usuarios y la empresa es una parte integral del servicio.