La Autoridad de Protección de Datos de los Países Bajos (DPA) ha impuesto una multa de 290 millones de euros a Uber por transferir datos personales de sus conductores europeos a Estados Unidos sin las garantías adecuadas, lo que constituye una infracción grave del RGPD. Entre los datos transferidos no solo había datos identificativos sino también datos categorías especiales de datos, en concreto, se incluían detalles de cuentas, licencias, ubicación, fotos, documentos de identidad e incluso información médica y criminal.
La investigación de la DPA comenzó tras las quejas presentadas por más de 170 conductores franceses al grupo francés de derechos humanos Ligue des droits de l'Homme (LDH), que posteriormente presentó una denuncia ante la autoridad de protección de datos francesa. Por aplicación del criterio de ventanilla única, finalmente es la autoridad de Países Bajos -donde tiene su sede UBER en Europa - quien, en estrecha colaboración con la francesa, instruye el procedimiento.
La cuestión principal es que los datos de los conductores se almacenaron en los servidores de UBER en Estados Unidos sin que existiera en aquel momento ninguna garantía de adecuación, por haber anulado el TJUE el Privacy Shield en 2020. A pesar de que podría haber sido válido la firma de cláusulas contractuales tipo, estas dejaron de utilizarse por UBER a partir de agosto de 2021, lo cual dejó sin amparo al tratamiento que se realizaba desde Estados Unidos hasta que entró en vigor el actual Privacy Framework que es la herramienta en la que actualmente basan las transferencias entre la UE y los EE.UU.
Esta es la tercera multa que la DPA impone a Uber, habiendo recibido anteriormente sanciones en 2018 (600.000 euros) y 2023 (10 millones de euros).