Sommario
L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens, AP) ha inflitto una multa di 290 milioni di euro (circa 325 milioni di dollari) a Uber Technologies Inc. e Uber B.V. per violazioni del Regolamento generale sulla protezione dei dati (GDPR). La multa è stata imposta per il trasferimento non autorizzato di dati personali dall’Area Economica Europea (EEA) a server situati negli Stati Uniti senza adeguate garanzie.
Violazioni del GDPR e precedenti sanzioni
Questa non è la prima volta che Uber riceve sanzioni dall’AP. In passato, l’autorità aveva già inflitto una multa di 600.000 euro nel novembre 2018 per scarsa gestione dell’accesso ai dati e un’altra multa di 10 milioni di euro nel gennaio 2024 per pratiche di gestione dei dati poco trasparenti.
L’indagine dell’AP sulle pratiche di gestione dei dati di Uber è stata avviata a seguito di denunce da parte di conducenti francesi e successivamente segnalate dall’autorità francese per la protezione dei dati (CNIL).
Problemi legali dopo la Sentenza Schrems II
Il problema è emerso dopo la sentenza Schrems II della Corte di Giustizia dell’Unione Europea, che ha invalidato lo Scudo per la privacy UE-USA a causa di standard di protezione dei dati insufficienti negli Stati Uniti. Nonostante questa sentenza, Uber avrebbe continuato a trasferire dati personali negli Stati Uniti senza implementare le Clausole Contrattuali Standard (SCCs) o altre misure di sicurezza adeguate, violando così l’Articolo 44 del GDPR. Questo articolo richiede che i trasferimenti di dati verso paesi terzi garantiscano un livello di protezione equivalente a quello all’interno dell’UE.
La risposta di Uber
Uber ha contestato l’applicazione del Capitolo V del GDPR, sostenendo che l’Articolo 3 del GDPR estende già la protezione della regolamentazione alle sue attività di trattamento dei dati negli Stati Uniti. Inoltre, Uber afferma che non si verifica un trasferimento di dati come definito dal GDPR, poiché i conducenti forniscono i loro dati direttamente ai server statunitensi di Uber tramite l’app.
L’AP ha respinto queste argomentazioni e ha proceduto con l’imposizione della multa. Uber ha dichiarato che ritiene la decisione infondata e ha intenzione di presentare ricorso, un processo che potrebbe richiedere fino a 4 anni durante i quali la multa sarà sospesa.
“Questa decisione errata e la multa straordinaria sono completamente ingiustificate. Il processo di trasferimento dei dati transfrontalieri di Uber era conforme al GDPR durante un periodo di grande incertezza tra l’UE e gli Stati Uniti. Faremo appello e rimaniamo fiduciosi che il buon senso prevarrà.” – Portavoce di Uber
Uber sostiene che le sue pratiche di gestione dei dati, come descritto nel suo avviso sulla privacy, sono conformi al GDPR.
