Uber Multata di €290 Milioni per Violazioni della Privacy dei Dati

Uber è finita nelle prime pagine oggi dopo essere stata multata per 290 milioni di euro ($324 milioni) dall’Autorità Olandese per la Protezione dei Dati (DPA) per aver trasferito illegalmente i dati personali dei conducenti europei negli Stati Uniti, violando così le normative dell’Unione Europea (UE).

Questa penalità arriva come applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR), che mira a proteggere la privacy degli individui all’interno dell’UE.

Nel loro comunicato stampa, l’Autorità per la Protezione dei Dati (DPA) ha affermato che le azioni di Uber costituivano una “grave violazione” del GDPR, in quanto l’azienda non è riuscita a tutelare adeguatamente le informazioni sensibili dei suoi autisti europei.

Secondo le autorità di controllo, come riportato da Reuters, i dati trasferiti includevano documenti di identità, licenze taxi, dati sulla posizione, dettagli di pagamento e, in alcuni casi, persino registrazioni penali e mediche.

Nel suo comunicato stampa, la DPA ha notato che Uber ha trasferito questi dati alla sua sede centrale negli Stati Uniti per un periodo di oltre due anni senza implementare le garanzie necessarie. Questa mancanza di protezione è avvenuta nonostante la Corte di Giustizia dell’UE abbia invalidato lo Scudo per la Privacy EU-USA nel 2020.

Il comunicato stampa ha anche menzionato che, sebbene le Clausole Contrattuali Standard fossero suggerite come un’alternativa valida per il trasferimento di dati fuori dall’UE, queste clausole richiedono che un livello equivalente di protezione dei dati sia garantito in pratica, cosa che la DPA afferma che Uber non è riuscita a raggiungere.

Uber, tuttavia, è fortemente in disaccordo con la sentenza. “Questa decisione errata e questa multa straordinaria sono completamente ingiustificate”, ha comunicato il portavoce di Uber, Caspar Nixon, a Reuters via email.

Nixon ha sostenuto che i processi di trasferimento dei dati di Uber erano conformi al GDPR durante un difficile periodo di tre anni di incertezza legale tra l’UE e gli Stati Uniti. Ha anche indicato che l’azienda ha intenzione di fare appello alla decisione, esprimendo fiducia nel fatto che “prevarrà il buon senso”.

Come riportato dall’AP, l’Associazione dell’Industria Informatica e delle Comunicazioni (CCIA), un gruppo di difesa per le aziende tecnologiche, ha criticato la multa, il business online dopo la sentenza del tribunale dell’UE del 2020.

“La rotta internet più trafficata al mondo non poteva semplicemente essere messa in pausa per tre interi anni mentre i governi lavoravano per stabilire un nuovo quadro giuridico per questi flussi di dati,” ha detto Alexandre Roure, capo della politica europea dell’associazione, in un comunicato stampa della CCIA.

Roure ha espresso anche preoccupazione riguardo alla multa, sottolineando che “le multe retroattive da parte delle autorità di protezione dei dati sono particolarmente preoccupanti, dato che questi stessi organi di controllo della privacy non sono riusciti a fornire una guida utile durante questo periodo di notevole incertezza legale, in assenza di qualsiasi quadro legale chiaro”

Come riportato da Reuters, l’indagine che ha portato a questa multa è iniziata dopo che un’organizzazione francese per i diritti umani ha presentato un reclamo per conto di oltre 170 tassisti. Poiché la sede europea di Uber è situata nei Paesi Bassi, il caso è stato trasferito al DPA olandese.

La BBC riporta anche che non è la prima volta che Uber si trova a dover affrontare sanzioni da parte della DPA, che in precedenza aveva imposto multe di €600.000 nel 2018 e di €10 milioni nel 2023 per altre violazioni del GDPR.

Il caso Uber ha innescato un dibattito più ampio sul bilanciamento tra la protezione dei dati e la necessità di flussi di dati internazionali. Se da un lato la decisione della DPA sottolinea l’importanza del rispetto del GDPR, dall’altro solleva quesiti sulle possibili implicazioni per le imprese che operano in un’economia digitale globalizzata.