Maxi multa di 290 milioni di euro per Uber, per ora in sospensione, inflitta dall’Autorità olandese per la protezione dei dati dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”.
Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr, ovvero del regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali, e del Privacy Shield, l’accordo che protegge i diritti fondamentali delle persone nell’Ue i cui dati personali vengano trasferiti negli Stati Uniti.
Si tratta della multa più alta mai elevata dal garante, oltre che della più onerosa mai ricevuta dalla piattaforma multinazionale statunitense per il noleggio con conducente.
Secondo quanto rilevato dall’Autorità le “informazioni sensibili” trasportate su server americani riguardano diversi dati che vanno dall’account personale alle licenze di taxi, alla geolocalizzazione, alle fotografie, ai dettagli di pagamento, di documenti d’identità e, in alcuni casi, riguardano anche di dati sanitari e penali degli autisti.
A scoperchiare il vaso di Pandora la denuncia di 170 autisti francesi all’Autorità per la protezione dei dati francese (Cnil) che ha portato poi quella olandese a indagare.
«Questa legislazione impone alle aziende e ai governi di trattare i dati personali con la dovuta attenzione», ha dichiarato Aleid Wolsen, presidente della Dpa, Data protection Authority e ha aggiunto: «Purtroppo questo non è chiaro al di fuori dell’Europa. Negli Stati Uniti i servizi segreti possono accedere ai dati senza un’adeguata protezione giudiziaria. Non è così in Europa o nei Paesi Bassi, ed è questo che attiva la violazione».
Uber ha annunciato che farà ricorso contro questa sanzione, che considera “totalmente ingiustificata” e sostiene di aver seguito quanto stabilito dalla Corte di Giustizia Europea, che, con una sentenza del 2020 aveva invalidato il Privacy Shield, stabilendo che le clausole contrattuali standard possono costituire una base valida per il trasferimento di dati a Paesi al di fuori dell’Ue, ma solo se è possibile garantire un livello di protezione equivalente nella pratica.
Tesi che contesta l’accusa sostenendo che dall’agosto 2021 Uber invece non aveva più utilizzate queste clausole trasferendo quindi illecitamente i dati negli Stati Uniti, tornando poi solo due anni dopo ad avvalersi del “Data Privacy Framework”, la decisione di adeguatezza adottata dalla Commissione Ue nel luglio 2023 per supplire al buco normativo lasciato dalla sentenza del Corte nel 2020, rilasciando una dichiarazione in cui afferma che gli Stati Uniti offrono una protezione sufficiente per i dati europei.
I tre anni vaganti hanno, nella pratica, permesso ad Uber di muoversi nell’incertezza e l’azienda sostiene comunque di aver sempre rispettato il Gdpr. Tesi avallata anche da una dichiarazione anche della Computer and Communications Industry Association (Ccia Europe).
Per il colosso del noleggio si tratterebbe della terza multa, già nel 2018 l’Autorità olandese ha multato il gruppo per 600 mila euro e nel 2023 per 10 milioni di euro, ma l’azienda ha dichiarato che farà ricorso e che “rimane fiduciosa che il buon senso prevarrà”.
Il ricorso significa che la sanzione è sospesa fino alla decisione finale.