Uber se enfrenta a una multa masiva en virtud del RGPD después de que el regulador holandés afirmara que violó la regulación al almacenar datos de conductores en Estados Unidos sin las salvaguardas adecuadas. La Autoridad de Protección de Datos holandesa (AP) anunció ayer la multa de 290 millones de euros (324 millones de dólares), alegando que se deriva de las mismas preocupaciones que han dado lugar a disputas legales de años entre la UE y Estados Unidos. En concreto, se trata de que los derechos humanos de los ciudadanos europeos pueden verse en peligro si sus datos se almacenan en Estados Unidos sin salvaguardas, ya que de lo contrario las fuerzas del orden y las agencias de inteligencia de ese país podrían acceder y consultar sus datos personales. Estas mismas preocupaciones llevaron al Tribunal de Justicia de la Unión Europea a declarar inválido el Escudo de Privacidad UE-EE. UU. en 2020. “En Europa, el RGPD protege los derechos fundamentales de las personas al exigir a las empresas y los gobiernos que gestionen los datos personales con cuidado. Pero fuera de Europa, lamentablemente eso no es evidente. Pensemos en los gobiernos que pueden extraer datos a gran escala”, explicó el presidente de AP, Aleid Wolfsen. “Por eso, normalmente se exige a las empresas que tomen medidas adicionales cuando almacenan datos personales de europeos fuera de la Unión Europea. Uber no ha garantizado el nivel de protección que exige el RGPD a los conductores para la transferencia de datos a Estados Unidos. Eso es muy grave”. Lea más sobre las multas del RGPD: Vinted multada con 2,3 millones de euros por fallo en la protección de datos AP afirmó que Uber no había utilizado cláusulas contractuales estándar (SCC) u otros medios para garantizar que los datos personales de los ciudadanos almacenados en servidores estadounidenses recibieran niveles de protección equivalentes a los de la UE. Dijo que la información personal sensible incluía detalles de cuentas, licencias de taxi, datos de ubicación, fotos, detalles de pago, identificaciones y, en algunos casos, los registros médicos y penales de los conductores. Estos fueron transferidos a la sede de Uber en Estados Unidos durante más de dos años sin las salvaguardas adecuadas, añadió. El caso contra el fallo de AP La Asociación de la Industria de la Computación y las Comunicaciones (CCIA Europe), una organización sin ánimo de lucro que tiene a Uber como miembro, argumentó en respuesta que el período en cuestión (2021-2022) fue de tremenda incertidumbre después de que el acuerdo del Escudo de Privacidad fuera declarado ilegal. En su informe, la CCIA argumentó que las empresas europeas y estadounidenses se quedaron sin directrices claras durante un período de casi tres años, con la incertidumbre agravada por los desacuerdos entre las autoridades de protección de datos de la UE y la Comisión Europea. Esta última, afirmó, descartó las cláusulas contractuales estándar para las empresas no pertenecientes a la UE que ya están sujetas a las normas europeas de protección de datos. Alexandre Roure, director de políticas de la CCIA Europa, argumentó que la decisión de AP ignora la realidad. «La ruta de Internet más transitada del mundo no podía simplemente quedar en suspenso durante tres años enteros mientras los gobiernos trabajaban para establecer un nuevo marco legal para estos flujos de datos», dijo en un comunicado. «Cualquier multa retroactiva por parte de las autoridades de protección de datos es especialmente preocupante dado que estos mismos organismos de control de la privacidad no proporcionaron una orientación útil durante este período de importante incertidumbre legal, en ausencia de un marco legal claro». Desde el año pasado, Uber ha estado siguiendo el sucesor del Escudo de Privacidad, un Marco de Privacidad de Datos negociado entre la UE y EE. UU., y ahora cumple con el RGPD, dijo AP. La AP inició una investigación sobre Uber después de que más de 170 conductores franceses presentaran una denuncia ante el grupo francés de derechos humanos Ligue des droits de l’Homme (LDH), que posteriormente presentó una denuncia ante el organismo de control de la privacidad francés. Crédito de la imagen: rafapress / Shutterstock.com