26 de agosto de 2024Ravie LakshmananGDPR / Protección de datos La Autoridad de Protección de Datos holandesa (DPA) ha multado a Uber con una cifra récord de 290 millones de euros (324 millones de dólares) por no cumplir supuestamente con las normas de protección de datos de la Unión Europea (UE) al enviar datos confidenciales de los conductores a Estados Unidos. «La DPA holandesa descubrió que Uber transfirió datos personales de taxistas europeos a Estados Unidos (EE. UU.) y no protegió adecuadamente los datos con respecto a estas transferencias», dijo la agencia. El organismo de control de protección de datos dijo que la medida constituye una violación «grave» del Reglamento General de Protección de Datos (GDPR). En respuesta, el servicio de transporte, mensajería y entrega de alimentos ha puesto fin a la práctica. Se cree que Uber recopiló información confidencial de los conductores y la conservó en servidores con sede en Estados Unidos durante más de dos años. Esto incluía detalles de cuentas y licencias de taxi, datos de ubicación, fotos, detalles de pago y documentos de identidad. En algunos casos, también contenía datos médicos y penales de los conductores. La DPA acusó a Uber de llevar a cabo las transferencias de datos sin hacer uso de los mecanismos adecuados, especialmente teniendo en cuenta que la UE invalidó el Escudo de Privacidad UE-EE. UU. en 2020. En julio de 2023 se anunció un reemplazo, conocido como el Marco de Privacidad de Datos UE-EE. UU. «Debido a que Uber ya no utilizó las Cláusulas Contractuales Tipo a partir de agosto de 2021, los datos de los conductores de la UE no estaban suficientemente protegidos, según la DPA holandesa», dijo la agencia. «Desde finales del año pasado, Uber utiliza el sucesor del Escudo de Privacidad». En una declaración compartida con Bloomberg, Uber dijo que la multa es «completamente injustificada» y que tiene la intención de impugnar la decisión. Además, dijo que el proceso de transferencia de datos transfronterizos cumplía con el RGPD. A principios de este año, la DPA multó a Uber con 10 millones de euros por no revelar los detalles completos de sus períodos de retención de datos sobre los conductores europeos y los países no europeos con los que comparte los datos. «Uber había complicado innecesariamente a los conductores la presentación de solicitudes para ver o recibir copias de sus datos personales», señaló la DPA en enero de 2024. «Además, no especificaron en sus términos y condiciones de privacidad durante cuánto tiempo conserva Uber los datos personales de sus conductores o qué medidas de seguridad específicas toma cuando envía esta información a entidades en países fuera de la UE». [European Economic Area]. «Esta no es la primera vez que las empresas estadounidenses se encuentran en el punto de mira de las autoridades de protección de datos de la UE por la falta de protecciones de privacidad equivalentes en EE. UU. con respecto a las transferencias de datos de la UE, lo que genera preocupaciones de que los datos de los usuarios europeos podrían estar sujetos a programas de vigilancia estadounidenses. En 2022, los reguladores austriacos y franceses dictaminaron que el movimiento transatlántico de datos de Google Analytics constituía una infracción de las leyes del RGPD. «Piense en los gobiernos que pueden explotar los datos a gran escala», dijo el presidente de la DPA, Aleid Wolfsen. «Es por eso que las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la Unión Europea». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.