Il Garante privacy olandese ha scoperto che Uber ha raccolto informazioni sensibili dei suoi conducenti dall’Europa e le ha conservate sui server negli Stati Uniti. Sono dati del profilo e le licenze di taxi, ma anche i dati sulla posizione, le foto, i dettagli di pagamento, i documenti di identità e in alcuni casi anche i dati giudiziari e sanitari dei conducenti.
Il motivo della multa? “Il trasferimento dei dati negli Usa avvenuto non sulla base delle clausole contrattuali standard”
Per un periodo di oltre 2 anni, Uber ha trasferito questi dati alla sede centrale negli Stati Uniti, ma non sulla base delle clausole contrattuali standard (SCC). Per questo motivo, l’Autorità olandese ha sanzionato Uber con 290 milioni di euro. La società farà appello.
Il Garante Privacy olandese: “Uber non ha soddisfatto i requisiti del GDPR per garantire il livello di protezione dei dati nei trasferimenti negli Stati Uniti“
“In Europa, il GDPR protegge i diritti fondamentali delle persone, richiedendo alle aziende e ai governi di gestire i dati personali con la dovuta cura”, ha affermato il presidente dell’Autorità per la protezione dei dati olandese Aleid Wolfsen. “Ma purtroppo, questo non è scontato al di fuori dell’Europa. Si pensi ai governi che possono sfruttare i dati su larga scala. Ecco perché le imprese sono di solito obbligate a prendere misure aggiuntive se memorizzano dati personali di europei al di fuori dell’Ue. Uber non ha soddisfatto i requisiti del GDPR per garantire il livello di protezione dei dati per quanto riguarda i trasferimenti negli Stati Uniti. È molto grave”.
Secondo la Corte di Giustizia dell’Ue, sostiene il Garante olandese, le clausole contrattuali standard potrebbero ancora fornire una base valida per il trasferimento di dati a Paesi al di fuori dell’UE, ma solo se un livello equivalente di protezione può essere garantito nella sostanza.
Poiché Uber non ha più utilizzato clausole contrattuali standard da agosto 2021, i dati dei conducenti provenienti dall’UE non erano sufficientemente protetti, secondo l’Autorità olandese. Solo dalla fine dell’anno scorso, Uber si è adeguato al post Privacy Shield.
I reclami da parte dei conducenti francesi
Il Garante olandese ha avviato l’indagine su Uber dopo le denunce di più di 170 conducenti francesi, trasformate in reclamo presso il Garante francese. Ma poi “la palla” è passata al Garante olandese, perché di sua competenza ai sensi del GDPR in quanto la sede europea di Uber è nei Paesi Bassi.
Questa è la terza multa comminata dal Garante olandese a Uber. La prima, di 600mila, è scattata nel 2018, l’altra di 10 milioni di euro nel 2023. Due anni fa è stato il nostro Garante privacy a sanzionare Uber per 4,2 milioni di euro per poca trasparenza nel trattamento dei dati di oltre 1 milione e mezzo di utenti italiani, informativa inidonea, dati trattati senza consenso, ecc..
Nel 2023 multa record di 1,2 miliardi a Meta “per trasferimenti illegali dati utenti Facebook in Usa”. La società: “Non blocchiamo il social. Ma facciamo ricorso”.
Il commento dell’esperto: “Uber non ha usato le clausole contrattuali standard, perché è conforme al GDPR”
“Uber è stata sanzionata per la mancata adozione di SCC che non esistono”, così ha commentato l’avvocato Giulio Coraggio la decisione del Garante olandese.
“Uber, ha spiegato l’avvocato, “ha sostenuto di non averle adottate perché la sua società statunitense è già direttamente soggetta al GDPR ai sensi dell’articolo 3, paragrafo 2. Pertanto, secondo Uber, la società non ha bisogno di SCC per trasferire dati dalla sua società dell’UE. Ciò è coerente con le FAQ della Commissione Europea, che affermano esplicitamente che le attuali SCC non si applicano ai trasferimenti a società già soggette al GDPR. In queste FAQ la Commissione aveva indicato che avrebbe rilasciato nuove SCC, ma queste non esistono ancora….. Pertanto, Uber ha deciso di rimuovere le SCC dall’accordo di condivisione dei dati”.
“Cosa avrebbe dovuto fare UBER? Questo è un problema che affrontiamo spesso con i clienti, in particolare con i clienti americani. Se la Commissione Ue”, ha concluso Giulio Coraggio, “avesse riscontrato che le SCC attuali non si applicavano a questo scenario, il trasferimento non avrebbe potuto avvenire o UBER avrebbe dovuto utilizzare le SCC sbagliate”?