La plataforma de transporte Uber ha sido multada con 290 millones de euros (unos 324 millones de dólares al cambio actual) por el organismo de control de la privacidad de los Países Bajos por infringir el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
La sanción está relacionada con transferencias de datos personales de conductores fuera de la Unión Europea a Estados Unidos, donde se encuentra la principal actividad de Uber. El RGPD permite imponer multas de hasta el 4% de la facturación anual global en caso de incumplimiento.
Los ingresos anuales de Uber en 2023 fueron de unos 34.500 millones de euros, por lo que el nivel de la sanción está muy por debajo de ese máximo. Sin embargo, sigue siendo una cantidad notable, ya que se encuentra entre las mayores sanciones impuestas a una empresa tecnológica desde que comenzó a aplicarse el RGPD en 2018.
La multa es el resultado de una serie de denuncias presentadas por más de 170 conductores de Uber en Francia en 2021. El regulador neerlandés, Autoriteit Persoonsgegevens (o AP), dirige la supervisión de Uber conforme al RGPD, ya que la empresa tiene en el país su principal establecimiento en la UE. Investigó las quejas sobre cómo la empresa procesa los datos personales de los conductores. Las quejas se presentaron a través de una organización de derechos humanos, Ligue des droits de l’Homme (LDH), al organismo de control de la privacidad de Francia y luego se transmitieron a la AP.
En enero, Uber fue multada con 10 millones de euros por derechos de acceso a datos relacionados con las mismas denuncias. Pero la nueva multa anunciada hoy lunes empequeñece la anterior, lo que la sitúa en la lista de los diez gigantes tecnológicos más multados por el GDPR, justo por debajo de la mitad de la tabla.
La cuantía de la sanción refleja la gravedad de la infracción, según AP, que escribió en un comunicado de prensa que Uber no había «salvaguardado adecuadamente» los datos que transfirió fuera de la UE, lo que calificó de «infracción grave».
El problema de la protección de datos está relacionado con los programas de vigilancia de la agencia de inteligencia de seguridad nacional de Estados Unidos que, a raíz de las revelaciones de 2013 del informante de la NSA Edward Snowden, los tribunales europeos han considerado en repetidas ocasiones que suponen un riesgo para la protección de datos y los derechos de privacidad de los ciudadanos de la UE. Esto es un problema porque se supone que las protecciones del GDPR viajan con los datos de los europeos.
Los gigantes tecnológicos estadounidenses, responsables de gran parte de los flujos de datos entre la UE y EE.UU., llevan años atrapados en medio de este conflicto. Los modelos de negocio que se basan en la extracción de datos (y, por tanto, en el acceso a datos personales de forma transparente) también están especialmente expuestos al riesgo jurídico de la privacidad.
«En Europa, el GDPR protege los derechos fundamentales de las personas, exigiendo a empresas y gobiernos que manejen los datos personales con el debido cuidado. Pero, lamentablemente, esto no es evidente fuera de Europa», escribió el presidente de la DPA holandesa, Aleid Wolfsen, en un comunicado. «Pensemos en gobiernos que pueden intervenir datos a gran escala. Por eso las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la Unión Europea. Uber no cumplió los requisitos del GDPR para garantizar el nivel de protección a los datos en lo que respecta a las transferencias a Estados Unidos. Eso es muy grave».
Las denuncias contra Uber se presentaron durante un periodo en el que no existía un marco de transferencia de datos de alto nivel acordado entre la UE y Estados Unidos. En julio de 2020, el máximo tribunal del bloque anuló un mecanismo conocido como Privacy Shield en el que la empresa, y miles de otras, habían estado confiando para autorizar sus exportaciones de datos.
Hasta julio de 2023 no se acordó y adoptó un nuevo acuerdo de transferencia de datos entre la UE y Estados Unidos, lo que significa que hubo un periodo de tres años de gran inseguridad jurídica en torno a la exportación de datos.
Las empresas digitales se han visto especialmente expuestas durante este periodo, dada la naturaleza de sus negocios, basados en los datos. Y Uber no es el único gigante tecnológico que se ha visto afectado: Meta recibió en mayo de 2023 una multa récord de 1.200 millones de euros por el mismo problema. Varias APD también advirtieron contra el uso de Google Analytics.
En el caso de Uber, la DPA holandesa dijo que los datos que recopiló y exportó incluían información «sensible» de los conductores, como detalles de cuentas, licencias de taxi, datos de localización, fotos, detalles de pago, documentos de identidad y, en algunos casos, incluso datos penales y médicos de los conductores.
«Durante un período de más de dos años, Uber transfirió esos datos a la sede de Uber en Estados Unidos, sin utilizar herramientas de transferencia. Debido a ello, la protección de los datos personales no fue suficiente», escribió.
Uber no está contento con la sanción. Niega cualquier incumplimiento y ha prometido presentar un recurso contra la ejecución ante los tribunales.
El portavoz de Uber, Caspar Nixon, envió por correo electrónico una declaración en la que la empresa escribe: «Esta decisión errónea y la multa extraordinaria son completamente injustificadas. El proceso de transferencia transfronteriza de datos de Uber cumplía con el GDPR durante un período de 3 años de inmensa incertidumbre entre la UE y los Estados Unidos. Apelaremos y seguimos confiando en que prevalecerá el sentido común».
La empresa afirma que pidió orientación a la AP durante el periodo en el que no existía un acuerdo de transferencia de datos de alto nivel entre la UE y EE.UU., pero dice que el regulador no le aclaró que hubiera problemas con sus procesos.
La AP sugiere que Uber cumple la normativa desde finales del año pasado, cuando empezó a utilizar el sucesor del Escudo de Privacidad. Uber afirma que los procesos que ahora se consideran conformes con este nuevo marco de transferencia de datos son los mismos que utilizaba antes. Así que, básicamente, su argumento es que las porterías legales se han movido.
Sin embargo, durante el período en que no hubo un acuerdo de transferencia de alto nivel entre la UE y EE.UU., los reguladores de la privacidad del bloque advirtieron a las empresas que eran responsables de garantizar que cualquier exportación de datos cumpliera las normas.
Las orientaciones del Consejo Europeo de Protección de Datos de este periodo proporcionaron información sobre medidas adicionales que, según el supervisor de datos, las empresas podrían tener que aplicar para elevar el nivel de protección de las exportaciones de datos y garantizar que sus flujos de datos cumplen el RGPD, como pasar a la localización de datos o aplicar formas de cifrado de «acceso cero» que impidan el acceso a los datos exportados.
El portavoz de Uber no pudo confirmar inmediatamente si aplicó alguna de estas medidas adicionales durante el periodo.