Il garante della privacy olandese (Autoriteit Persoonsgegevens) ha inflitto una sanzione di 290 milioni di euro a Uber per aver violato il GDPR trasferendo i dati degli autisti europei negli Stati Uniti. Per l’azienda di San Francisco si tratta della terza sanzione dopo quelle del 27 novembre 2018 (600.000 euro) e del 31 gennaio 2024 (10 milioni di euro).
Uber entra nella top 10 delle multe
L’autorità olandese ha avviato un’indagine in seguito ai reclami presentati da oltre 170 autisti francesi all’associazione per i diritti umani Ligue des droits de l’Homme (LDH), che ha successivamente inoltrato una denuncia all’autorità francese per la protezione dei dati. Dato che la sede europea di Uber si trova ad Amsterdam, il procedimento è stato girato alla Data Protection Authority dell’Olanda.
L’autorità scrive nel comunicato ufficiale che Uber ha raccolto numerosi dati sensibili degli autisti, tra cui dettagli dell’account, licenze, posizione geografica, foto, informazioni di pagamento, documenti di identità e, in alcuni casi, anche dati medici e fedina penale (il certificato del casellario giudiziale).
Queste informazioni sono state trasferite per oltre due anni sui server di Uber negli Stati Uniti, senza rispettare la corretta procedura. L’azienda californiana non ha quindi adeguatamente protetto i dati. Uber non ha utilizzato le clausole contrattuali standard per il trasferimento, opzione consentita dalla Corte di Giustizia dell’Unione europea dopo aver annullato il Privacy Shield.
Dalla fine del 2023, l’azienda usa il nuovo Data Privacy Framework. L’autorità olandese ha pertanto inflitto una sanzione di 290 milioni di euro. Uber occupa ora il sesto posto della top 10 delle multe per violazione del GDPR (Regolamento generale sulla protezione dei dati). In prima posizione c’è Meta con 1,2 miliardi di euro (inflitta per lo stesso motivo).
Il portavoce Caspar Nixon ha dichiarato:
Questa decisione errata e questa multa straordinaria sono completamente ingiustificate. Il processo di trasferimento dati transfrontaliero di Uber era conforme al GDPR durante un periodo di immensa incertezza di 3 anni tra UE e USA. Faremo ricorso e siamo fiduciosi che il buon senso prevarrà.