Multa con 290 millones de euros a UBER por transferir datos personales de sus conductores a EE.UU.
Locations
Para cumplir con el RGPD, las empresas deben tomar medidas adicionales al transferir datos personales fuera de la UE. En este caso, la empresa de transportes Uber no cumplió con las medidas de protección necesarias al transferir datos de sus conductores a EE.UU.
La empresa sancionada recopiló datos sensibles de sus conductores europeos: datos de ubicación, cuentas y licencias de taxi, fotografías, datos de pago, documentos de identidad y, en algunos casos, también datos médicos y penales de los conductores. Estos datos personales los almacenó en servidores situados en EE.UU. durante más dos años sin implementar una protección adecuada para realizar esta transferencia de datos.
Esta sanción se originó a partir de que la DPA Holandesa inició una investigación sobre Uber después de que más de 170 conductores franceses presentaran quejas a través de la Ligue des droits de l’Homme (LDH), una organización francesa de derechos humanos, que luego llevó el caso ante la Autoridad de Protección de Datos en Francia.
El RGPD establece el “mecanismo de ventanilla única” en el cual las empresas que tratan datos en varios países de la UE deben disponer de una Autoridad de Control Principal para la resolución de sanciones del país donde está ubicada la empresa. En el caso de Uber, su sede europea está en los Países Bajos. Así, durante la investigación, la DPA holandesa colaboró estrechamente con la DPA de Francia y coordinó la decisión de la multa con otras autoridades de protección de datos en Europa.
Cabe recordar que, en 2020, el Tribunal de Justicia de la UE invalidó el acuerdo "Privacy Shield”, entre la UE y EE.UU, un acuerdo en el que, según la Comisión Europea, se declaraba que los EE.UU disponía de nivel de protección adecuado y el cual permitía que los datos de los europeos se pudieran comunicar sin restricciones a los EE.UU. En dicha invalidación del “Privacy Shield”, el TJUE señaló que el uso de las Cláusulas Contractuales Tipo podrían seguir siendo una base válida para transferir datos, siempre que se garantice un nivel de protección equivalente. Sin embargo, desde agosto de 2021, Uber dejó de utilizar estas Cláusulas Contractuales Tipo por lo que los datos de los conductores de la UE no estaban adecuadamente protegidos, según la DPA Holandesa. Finalmente, la empresa tomó las medidas requeridas a finales del año pasado para dejar de infringir la normativa de protección de datos.
En este contexto, los hechos sancionados a Uber se remontan a 2021-2022, antes de la aplicación del nuevo marco de Privacidad de Datos entre la Unión Europea (UE) y Estados Unidos, el Data Privacy Framework, que no entró en vigor hasta el año 2023. Durante este periodo de tiempo, lo cierto es que las empresas europeas que comunicaban datos a los EE.UU, no disponían de garantías suficientes para comunicar datos personales a EE.UU. Como consecuencia, las empresas europeas y estadounidenses se quedaron sin "indicaciones claras" de los reguladores para regularizar estas comunicaciones de datos transatlánticas durante un período de casi tres años, lo que generó mucha incertidumbre y riesgo de sanción como la descrita en este artículo.
Veremos si Uber recurre también a esta sanción en base al mencionado periodo de incertidumbre jurídica en el que sucedieron dichas comunicaciones de datos personales a los EE.UU.