La celebre app californiana, con sede europea ad Amsterdam, è stata recentemente multata dall’agenzia olandese per la protezione dei dati personali, con una somma pari a 290 milioni di euro. Il motivo? Uber ha trasferito dati degli utenti europei su server situati negli Stati Uniti senza garantire adeguate misure di protezione.
L’Autoriteit Persoonsgegevens, l’agenzia olandese per la protezione dei dati (nota anche come Dutch Data Protection Authority o DPA), ha accusato Uber di aver raccolto informazioni sensibili riguardanti i conducenti europei, tra cui licenze di taxi, dati sulla posizione e persino informazioni mediche. Inoltre, l’agenzia ha ritenuto che l’app californiana non abbia implementato misure di sicurezza appropriate per proteggere questi dati durante i trasferimenti, configurando così una “grave violazione” del Regolamento generale sulla protezione dei dati (GDPR), il che ha giustificato questa pesante sanzione.
Il GDPR, in vigore nell’Unione Europea dal 2018, stabilisce che “aziende e governi devono trattare i dati personali con la massima attenzione”, ha dichiarato Aleid Wolsen, presidente della DPA, in una dichiarazione pubblicata sul sito ufficiale dell’agenzia. “Tuttavia, è evidente che questa accortezza non è percepita al di fuori dell’Europa, dove i governi possono accedere a tali dati su larga scala”, ha aggiunto Wolsen.
La risposta di Uber: una multa retroattiva “inaccettabile”
“Riteniamo questa decisione errata e la multa straordinaria un provvedimento del tutto inaccettabile”, ha dichiarato un portavoce di Uber a Euronews Next tramite e-mail. L’azienda sostiene di avere rispettato il GDPR in un contesto di “immensa incertezza” legato al trasferimento di dati tra Stati Uniti e Unione Europea.
Uber sottolinea che la problematica deriva dalla sentenza della Corte di Giustizia dell’UE del 2020, secondo cui il quadro attuale per il trasferimento di dati tra UE e USA non rispetta il GDPR. Questo ha lasciato le aziende europee e americane senza linee guida chiare riguardo ai flussi di dati transatlantici, come evidenziato da una dichiarazione della Computer & Communications Industry Association (CCIA Europe).
Nel luglio 2023, la Commissione Europea ha dichiarato che gli Stati Uniti offrono sufficiente protezione per i dati europei. Uber afferma di non aver dovuto apportare modifiche nella gestione delle informazioni trasferite negli Stati Uniti a seguito della sentenza della Corte di Giustizia.
“Qualsiasi sanzione retroattiva da parte delle autorità di protezione dei dati è fonte di preoccupazione, dato che questi stessi organi di controllo della privacy non hanno fornito indicazioni utili durante un periodo di incertezza giuridica, privo di un quadro normativo chiaro”, ha dichiarato Alexandre Roure, responsabile delle politiche della CCIA Europa, in un comunicato inviato via e-mail.
Secondo la CCIA, le sanzioni retroattive generano incertezze giuridiche riguardo a tutte le attività online avvenute tra il 2020 e il 2023, come videoconferenze ed elaborazione di pagamenti online.
Uber ha comunicato che intende fare ricorso contro la sanzione, rimanendo “fiduciosa che il buon senso prevarrà”. Finché non verrà emessa una decisione finale, la multa sarà sospesa.
La terza multa per Uber nei Paesi Bassi e un caso aperto in Francia
La DPA ha avviato le indagini all’inizio dell’anno in seguito a una denuncia presentata da 170 autisti francesi alla ONG Ligue des droits de l’Homme nel 2021. La sede centrale di Uber per l’Europa, il Medio Oriente e l’Africa si trova nei Paesi Bassi, il che ha portato la DPA a occuparsi del caso. In precedenza, Uber era già stata multata con 10 milioni di euro lo scorso dicembre e con 600 mila euro nel 2018.
Nell’indagine condotta nel dicembre 2023, la DPA ha riscontrato che Uber non ha fornito risposte tempestive alle richieste di dati da parte dei suoi autisti. Secondo l’autorità francese per la protezione dei dati, che ha collaborato con quella olandese, Uber ha anche inviato informazioni “incomplete” nella sua dichiarazione sulla privacy riferita ai trasferimenti di dati negli Stati Uniti.
“Questa decisione riafferma l’importanza di richiedere trasparenza e di garantire il rispetto dei diritti degli interessati“, ha affermato l’autorità francese per la protezione dei dati in un comunicato.
Jerome Giusti, legale della Lega francese per i diritti umani, ha dichiarato a febbraio che la denuncia di dicembre rappresenta “la prima azione su larga scala dei lavoratori in Europa fondata sul GDPR”.
“Gli autisti che rappresento stanno considerando di avviare un’azione di gruppo per ricevere un risarcimento a seguito di questa condanna presso i tribunali francesi”.
Euronews Next ha contattato l’ONG francese per aggiornamenti riguardo a un’eventuale azione legale, ma non ha ricevuto risposte immediatamente. In merito al caso del 2023, Uber sostiene che la DPA ha affermato che la piattaforma di ride-sharing ha rispettato i suoi obblighi nel fornire i dati in modo tempestivo ai suoi autisti, e che l’appello è ancora pendente.
Foto crediti & articolo ispirato da: Euronews