Maxi multa da 290 milioni di euro a Uber per violazione della privacy degli autisti
L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una maxi sanzione di 290 milioni di euro, dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”. Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr.
L’autorità olandese ha scoperto che Uber aveva raccolto informazioni sensibili di autisti europei conservandole su server americani. Nel dettaglio, una nota dell’autorità spiega che si tratta di dati relativi all’account e alle licenze di taxi, ma anche relativi alla geolocalizzazione, alle fotografie, ai dettagli di pagamento, di documenti d’identità e, in alcuni casi, anche di dati sanitari e penali degli autisti.
Per oltre due anni, Uber avrebbe trasferito i dati alla sua sede centrale negli Stati Uniti, senza proteggere sufficientemente i dati. Secondo la Corte di Giustizia Europea, dopo la sentenza che aveva invalidato il Privacy Shield nel 2020, le clausole contrattuali standard possono ancora costituire una base valida per il trasferimento di dati a Paesi al di fuori dell’Ue, ma solo se è possibile garantire un livello di protezione equivalente nella pratica, ma dall’agosto 2021 Uber non le aveva più utilizzate trasferendo quindi illecitamente i dati negli Stati Uniti, tornando poi solo due anni dopo ad avvalersi del “Data Privacy Framework” decisione di adeguatezza adottata dalla Commissione UE nel luglio 2023.
L’indagine è partita dopo che oltre 170 autisti francesi si erano lamentati con Uber per il rispetto dei diritti umani “Ligue des droits de l’Homme” , e successivamente avevano presentato una denuncia all’autorità per la protezione dei dati francese (CNIL).
Ai sensi del Gdpr, le aziende che trattano dati in diversi Stati membri dell’UE devono rivolgersi a un’unica autorità per la protezione dei dati, ovvero a quella del Paese in cui la società ha la sede principale, e la sede europea di Uber si trova nei Paesi Bassi. Durante l’indagine, il garante olandese ha collaborato strettamente con quello francese e ha poi coordinato la decisione con le altre autorità europee.
Per Uber si tratta della terza multa imposta dal garante della privacy olandese: nel 2018 l’autorità aveva infatti multato il gruppo per 600 mila euro, e nel 2023 per 10 milioni di euro, a cui però la società americana si era opposta.
