Uber, multa salata da 290 milioni di euro in Europa
Non ha protetto adeguatamente i dati degli autisti nel trasferimento dall'UE agli USA.
Uber ha trasferito i dati degli autisti europei sui server degli Stati Uniti violando il GDPR: lo ha stabilito l'autorità olandese per la protezione dei dati DPA imponendo una multa di 290 milioni di euro. L'azienda ha già annunciato che farà ricorso.
Il caso è nato dalla protesta di oltre 170 autisti francesi che hanno presentato reclamo presso l'associazione nazionale per i diritti umani Ligue des droits de l'Homme. La documentazione è stata successivamente inoltrata all'autorità per la protezione dei dati francese. Secondo quanto stabilito dal GDPR, nel caso in cui un'azienda gestisca i dati di individui provenienti da più Paesi dell'UE, l'autorità preposta è quella del Paese in cui l'azienda stessa ha stabilito la sua sede principale, in questo caso l'Olanda.
UNA VIOLAZIONE DURATA 2 ANNI
Tra i dati raccolti vi sarebbero anche informazioni strettamente personali, tra cui documenti di identità e, in alcuni casi, dati penali e medici degli autisti. La Data Protection Authority ritiene che la società di San Francisco non abbia salvaguardato adeguatamente le informazioni dei driver, trasferendole ed archiviandole al di là dell'Oceano Atlantico per oltre due anni senza utilizzare gli strumenti di trasferimento richiesti.
"In Europa il GDPR protegge i diritti fondamentali delle persone, richiedendo alle aziende e ai governi di gestire i dati personali con la dovuta attenzione. Purtroppo questo non è ovvio al di fuori dell'Europa", ha spiegato il presidente del DPA Aleid Wolfsen. "Uber non ha soddisfatto i requisiti del GDPR per garantire il livello di protezione dei dati riguardo il loro trasferimento negli Stati Uniti. Questo è molto grave".
PROTEZIONE INSUFFICIENTE
In sostanza, Uber avrebbe trasferito i dati dei driver europei ai server americani limitandosi a quanto previsto dal Privacy Shield, accordo che però la Corte di giustizia europea ha definito inadeguato nel 2020. A seguito della sentenza Schrems II sono state introdotte le Clausole Contrattuali Standard che, secondo quanto stabilito dal GDPR, "possono costituire garanzie adeguate […] senza necessitare di autorizzazioni specifiche da parte di un'autorità di controllo". Uber non ha utilizzato tali clausole per il trasferimento dei dati dei driver negli Stati Uniti, dunque le loro informazioni "non erano sufficientemente protette".
Uber era già stato multato dalla DPA olandese altre due volte: la prima nel 2018 (600.000 euro), la seconda nel 2023 (10 milioni di euro).
