Uber se enfrenta a una multa de 290 millones de euros (unos 320 millones de dólares) por violar las leyes de protección de datos de la UE.
Esa es la historia básica, pero para entender los detalles que hay detrás, primero hay que saber qué es el RGPD. Se trata del Reglamento General de Protección de Datos, una política implementada en la UE en mayo de 2018. Si bien estamos acostumbrados a jugar rápido y suelto con la privacidad del consumidor en los EE. UU., la UE tiene un enfoque diferente, y uno que, hasta ahora, ha funcionado bien.
El RGPD describe las disposiciones específicas que las empresas deben seguir con respecto a los datos de los usuarios, así como los derechos que tienen las personas individuales sobre sus datos en Internet.
La Autoridad Holandesa de Protección de Datos (DPA, por sus siglas en inglés) alega que Uber recopiló información confidencial, incluidos datos de ubicación, fotos, detalles de pago e incluso datos penales y médicos, de sus conductores y la almacenó en servidores estadounidenses.
El GDPR exige una serie de reglas que las empresas deben seguir cuando transfieren datos fuera del Espacio Económico Europeo, y la DPA dice que Uber no siguió estos estándares durante dos años. Debido a este descuido, la DPA afirma que la protección de los datos personales era insuficiente.
Los problemas comenzaron cuando más de 170 conductores franceses de Uber se quejaron ante un grupo de derechos humanos llamado Ligue des droits de l’Homme, que luego llevó las quejas a la DPA francesa. Dado que la sede europea de Uber se encuentra en los Países Bajos, la DPA holandesa se hizo cargo del caso.
También vale la pena señalar que esta es la tercera vez que la DPA holandesa impone multas a Uber. La primera vez fue una multa de 600.000 euros en 2018, seguida de otra multa de 10 millones de euros en 2023.
Las transferencias de datos deben cumplirse con un nivel adecuado de protección de datos. La Comisión Europea puede tomar una decisión de adecuación basada en todo un país, en las salvaguardias adecuadas y/o en excepciones específicas. En el caso de Uber, la DPA holandesa dice que no se cumplieron estas salvaguardas y que la información personal de los conductores era demasiado vulnerable a los malos actores.
La multa no es un número arbitrario. Todas las agencias de protección de datos en Europa calculan el importe de una multa de la misma manera, pidiendo hasta un máximo del 4% de la facturación anual global de una empresa.
Desde entonces, Uber ha dejado de transferir datos de esta manera y ha cambiado sus métodos para cumplir con las reglas del GDPR. La compañía ha declarado que tiene la intención de apelar la multa, calificándola de «completamente injustificada» en una declaración que un portavoz de Uber dio a The Verge.
Entonces, ¿qué significa esto para Uber? La compañía tendrá que argumentar su caso, pero independientemente del resultado, Uber no va a ninguna parte. Sigue siendo el principal servicio de viajes compartidos del mundo con el 25% del mercado, pero tal vez este caso conduzca a mejores prácticas de protección de datos en los EE. UU y el resto del orbe.
