Uber Multada con €290 Millones por Violaciones a la Privacidad de Datos

Uber ha acaparado los titulares de hoy tras recibir una multa de 290 millones de euros ($324 millones) por parte de la Autoridad de Protección de Datos de Holanda (DPA) por transferir ilegalmente los datos personales de conductores europeos a Estados Unidos, violando así las regulaciones de la Unión Europea (UE).

Esta penalización se produce como una aplicación del Reglamento General de Protección de Datos (GDPR), que tiene como objetivo proteger la privacidad de las personas dentro de la UE.

En su comunicado de prensa, la DPA declaró que las acciones de Uber constituían una “violación grave” del GDPR, ya que la empresa no logró salvaguardar adecuadamente la información sensible de sus conductores europeos.

Según los vigilantes, tal como informó Reuters, los datos transferidos incluían documentos de identidad, licencias de taxi, datos de ubicación, detalles de pago y, en algunos casos, incluso registros criminales y médicos.

En su comunicado de prensa, la DPA señaló que Uber transfirió estos datos a su sede en Estados Unidos durante un período de más de dos años sin implementar las salvaguardas necesarias. Esta falta de protección se produjo a pesar de que el Tribunal de Justicia de la UE invalidó el Escudo de Privacidad EU-EE.UU. en 2020.

El comunicado de prensa también mencionó que, si bien se sugirieron las Cláusulas Contractuales Estándar como una alternativa válida para la transferencia de datos fuera de la UE, estas cláusulas requieren que se garantice un nivel equivalente de protección de datos en la práctica, lo cual, la DPA afirma, Uber no logró alcanzar.

Uber, sin embargo, discrepa fuertemente con el fallo. “Esta decisión defectuosa y multa extraordinaria son completamente injustificadas”, le dijo el portavoz de Uber, Caspar Nixon, a Reuters por correo electrónico.

Nixon argumentó que los procesos de transferencia de datos de Uber cumplían con el GDPR durante un desafiante período de tres años de incertidumbre legal entre la UE y los EE.UU. También indicó que la compañía planea apelar la decisión, expresando confianza en que “prevalecerá el sentido común.”

Según informó la AP, la Asociación de la Industria de Computadoras y Comunicaciones (CCIA, por sus siglas en inglés), un grupo de defensa para las empresas de tecnología, criticó la multa y el negocio en línea después del fallo del tribunal de la UE en 2020.

“La ruta de internet más transitada del mundo no podía simplemente ser interrumpida durante tres años enteros mientras los gobiernos trabajaban para establecer un nuevo marco legal para estos flujos de datos”, dijo Alexandre Roure, el jefe de política europea de la asociación, en un comunicado de prensa de la CCIA.

Roure también expresó su preocupación por la multa, señalando que “las multas retroactivas por parte de las autoridades de protección de datos son especialmente preocupantes dado que estos mismos vigilantes de la privacidad no lograron proporcionar una orientación útil durante este periodo de significativa incertidumbre legal, en ausencia de cualquier marco legal claro”

Según informó Reuters, la investigación que llevó a esta multa comenzó después de que una organización francesa de derechos humanos presentó una queja en nombre de más de 170 taxistas. Dado que la sede europea de Uber se encuentra en los Países Bajos, el caso fue transferido a la Autoridad de Protección de Datos holandesa.

La BBC también informa que esta no es la primera vez que Uber se enfrenta a sanciones por parte de la DPA, que previamente impuso multas de €600,000 en 2018 y €10 millones en 2023 por otras violaciones al GDPR.

El caso de Uber ha desatado un debate más amplio sobre el equilibrio entre la protección de datos y la necesidad de flujos de datos internacionales. Si bien la decisión de la DPA subraya la importancia del cumplimiento del GDPR, también plantea preguntas sobre las posibles implicaciones para las empresas que operan en una economía digital globalizada.