Uber è stata multata nei Paesi Bassi perché avrebbe violato “le norme dell’Unione europea sui dati dei tassisti”. L’autorità di controllo olandese per la protezione dei dati personali (DPA) ha affermato che la piattaforma di ride-hailing avrebbe inviato i dati dei tassisti europei negli Stati Uniti. Parliamo di dati quali licenze taxi o la propria posizione, ma in alcuni casi anche informazioni di natura medica e penale.
Il trasferimento dei dati al quartier generale negli Usa sarebbe avvenuto “senza avvalersi di strumenti in grado di tutelare adeguatamente la privacy, rendendoli così insufficientemente protetti”.
“Questa decisione errata e questa multa straordinaria sono del tutto ingiustificate”, ha dichiarato in una email a Reuters il portavoce di Uber, Caspar Nixon.
Multa a Uber
La multa che arriva alla società americana è la più alta mai ricevuta da Uber e la più alta mai emessa dal DPA. E la replica è stata immediata: “Il processo di trasferimento transfrontaliero dei dati di Uber è stato conforme al GDPR durante un periodo di immensa incertezza durato tre anni tra UE e USA”, ha aggiunto Nixon, affermando che la società presenterà ricorso e che è fiducioso che “prevarrà il buon senso”.
La DPA, dal canto suo, ha affermato che Uber ha trasferito dati personali negli Stati Uniti e non li ha protetti adeguatamente e “ciò costituisce una grave violazione del Regolamento generale sulla protezione dei dati (GDPR)”.
Cosa accadrà?
Uber può presentare ricorso contro la decisione e, in caso di insuccesso, può presentare il caso nei tribunali olandesi. Il processo di ricorso dovrebbe durare circa quattro anni e le multe sono sospese fino all’esaurimento di tutti i ricorsi legali, secondo le procedure della DPA.
L’indagine è nata da una denuncia da parte di un’organizzazione francese per i diritti umani che ha presentato un reclamo per conto di oltre 170 tassisti in Francia all’autorità per la protezione dei dati del Paese. Tuttavia, poiché Uber ha la sua sede centrale europea nei Paesi Bassi, è stato inoltrato al DPA.
In una dichiarazione separata, l’autorità francese per la protezione dei dati personali (CNIL) ha dichiarato di aver collaborato con l’autorità d’oltralpe per ristabilire la protezione dei dati. In un caso correlato, a gennaio la DPA ha multato Uber per 10 milioni di euro per violazione delle norme sulla privacy riguardanti i dati personali dei suoi autisti.
Che cos’è il Regolamento Generale sulla Protezione dei Dati
L’Unione europea si è dotata nel 2018 di un Regolamento Generale sulla Protezione dei Dati, noto anche con l’acronimo GDPR (General Data Protection Regulation).
Il Regolamento stabilisce le regole per la raccolta, l’elaborazione e la protezione dei dati personali all’interno dell’Unione Europea e si applica a tutte le organizzazioni che trattano dati personali di cittadini dell’UE, indipendentemente da dove si trovino.
Le principali finalità del GDPR sono:
- Protezione dei dati personali: Garantire che i dati personali siano trattati in modo lecito, corretto e trasparente, e che siano protetti da accessi non autorizzati o da trattamenti illeciti.
- Diritti degli individui: Fornire ai cittadini dell’UE un maggiore controllo sui propri dati personali, inclusi diritti come l’accesso, la rettifica, la cancellazione, la limitazione del trattamento e la portabilità dei dati.
- Responsabilità e trasparenza: Imporre alle organizzazioni obblighi più stringenti riguardo alla gestione dei dati e alla loro sicurezza, nonché la necessità di informare le persone sui trattamenti effettuati.
- Consenso informato: Richiedere un consenso chiaro e specifico per il trattamento dei dati personali, che deve essere facilmente revocabile.
- Misure di sicurezza: Stabilire l’obbligo per le organizzazioni che trattano dati di adottare misure tecniche e organizzative adeguate per proteggere i dati personali e notificare le violazioni della sicurezza dei dati alle autorità competenti e agli individui interessati.
Il GDPR prevede anche sanzioni severe per le violazioni, che possono arrivare fino al 4% del fatturato annuale globale di un’azienda o a 20 milioni di euro, a seconda di quale sia maggiore.
