Insufficiente protezione dei dati: multa da 290 milioni di euro contro Uber

Uber è stata multata pesantemente per l'inadeguatezza delle misure di protezione dei dati.
Categorie:

L'autorità olandese per la protezione dei dati Autoriteit Persoonsgegevens (AP) ha imposto una multa di 290 milioni di euro al servizio di ride-hailing Uber. Il motivo della multa: l'inadeguata protezione dei dati personali dei tassisti europei trasferiti alla sede centrale di Uber negli Stati Uniti.

Gli autisti francesi di Uber presentano una denuncia

L'indagine dell'autorità per la protezione dei dati ha fatto seguito alle denunce di oltre 170 autisti francesi di Uber. Essi avevano presentato un reclamo all'organizzazione francese per i diritti umani Ligue des droits de l'Homme (LDH) in merito alle pratiche di protezione dei dati di Uber. La LDH ha quindi presentato una denuncia all'autorità francese per la protezione dei dati. Poiché la sede europea di Uber si trova nei Paesi Bassi, l'autorità olandese per la protezione dei dati è stata incaricata dell'indagine.

Uber ha raccolto informazioni sensibili come i dati dell'account e della patente di guida, i dati sulla posizione, le foto, le informazioni di pagamento, i documenti d'identità e, in alcuni casi, i dati penali e medici degli autisti in Europa e li ha archiviati su server negli Stati Uniti.

Il trasferimento di questi dati sensibili è avvenuto per un periodo di oltre due anni. Non sono state attuate le necessarie misure di protezione prescritte dal GDPR.

L'autorità per la protezione dei dati personali classifica la violazione di Uber come grave.

Suggerimento di lettura: Le cinque multe più alte nel luglio 2024

Uber non utilizza clausole contrattuali standard

Questi trasferimenti sono stati effettuati senza l'utilizzo di clausole contrattuali standard (SCC) o di altri strumenti adeguati richiesti dal GDPR.

Lo scudo per la privacy UE-USA, che in precedenza fungeva da base giuridica per i trasferimenti di dati verso gli Stati Uniti, è stato dichiarato nullo dalla Corte di giustizia europea (CGE) nella sentenza Schrems II del 2020. La Corte di giustizia europea ha chiarito che le aziende devono garantire un livello di protezione equivalente quando trasferiscono dati personali in Paesi al di fuori dell'UE.

Tuttavia, Uber si è astenuta dall'utilizzare queste clausole contrattuali standard dall'agosto 2021. Secondo l'AP, ciò significa che i dati dei conducenti dell'UE non sono sufficientemente protetti. Uber ha iniziato a utilizzare le clausole contrattuali standard solo alla fine dello scorso anno.

Terza multa contro Uber per violazione del GDPR

Questa è la terza multa che l'AP ha imposto a Uber. In precedenza la società era stata multata per 600.000 euro nel 2018 e per 10 milioni di euro nel 2023. 

L'attuale multa di 290 milioni di euro contro Uber si basa sul fatturato globale annuo dell'azienda. Con un fatturato globale di 34,5 miliardi di euro nel 2023, la multa per Uber potrebbe ammontare fino al 4% di questo importo. 

"In Europa, il GDPR protegge i diritti fondamentali delle persone obbligando le aziende e i governi a trattare con cura i dati personali. Ma al di fuori dell'Europa, questo purtroppo non è scontato", afferma il presidente di AP Aleid Wolfsen.

"Pertanto, le aziende sono solitamente obbligate ad adottare misure aggiuntive quando conservano i dati personali degli europei al di fuori dell'Unione Europea. Uber non ha garantito il livello di protezione degli autisti richiesto dal GDPR quando trasferisce i dati negli Stati Uniti. Questo è molto preoccupante", ha dichiarato il massimo funzionario olandese per la protezione dei dati, riassumendo la decisione dell'autorità di vigilanza.

Uber stessa ha annunciato che farà ricorso contro l'attuale multa.

Fonte: Multe inflitte dall'Autoriteit Persoonsgegevens a Uber

Tag:
Condividi questo post :
it_ITItalian