La autoridad neerlandesa de protección de datos multa a Uber con 290 millones de euros por transferir datos de conductores a EE. UU.
(autoriteitpersoonsgegevens.nl)- La Autoridad de Protección de Datos de los Países Bajos (DPA) consideró que Uber cometió una infracción grave del GDPR al transferir datos personales de taxistas europeos a Estados Unidos sin contar con las salvaguardas necesarias
- La información transferida incluía datos de cuenta y licencias de taxi, datos de ubicación, fotos, información de pago, documentos de identidad e incluso datos penales y médicos de algunos conductores
- Uber envió datos a su sede central en Estados Unidos durante más de dos años y, desde agosto de 2021, dejó de usar las Standard Contractual Clauses, por lo que se determinó que la protección de los datos de conductores de la UE no era suficiente
- La investigación comenzó a partir de quejas presentadas por más de 170 conductores franceses; como la sede europea de Uber está en los Países Bajos, la DPA neerlandesa coordinó con la DPA francesa y otras DPA europeas
- Uber puso fin a la infracción y desde fines del año pasado usa el marco sucesor de Privacy Shield, pero manifestó su intención de apelar la multa de 290 millones de euros
La infracción del GDPR atribuida a Uber
- La DPA neerlandesa consideró que Uber no garantizó el nivel de protección exigido por el GDPR al transferir datos personales de taxistas europeos a Estados Unidos
- Los datos en cuestión se almacenaban en servidores de Estados Unidos y su alcance no se limitaba a información general de cuentas
- Datos de cuenta y licencias de taxi
- Datos de ubicación, fotos, información de pago, documentos de identidad
- Datos penales y datos médicos de algunos conductores
- Aleid Wolfsen, presidente de la DPA neerlandesa, señaló que fuera de Europa la protección de los datos personales no es algo evidente, y que las empresas que almacenan datos personales de europeos fuera de la UE normalmente deben tomar medidas adicionales
- Uber ya puso fin a la infracción relacionada con las transferencias a Estados Unidos
Reglas de transferencia internacional de datos y origen de la investigación
- Uber transfirió datos de conductores a su sede central en Estados Unidos durante más de dos años sin usar transfer tools, y por ello se determinó que la protección de los datos personales no era suficiente
- El Tribunal de Justicia de la UE invalidó en 2020 el EU-US Privacy Shield
- Las Standard Contractual Clauses pueden servir como base para transferir datos a países fuera de la UE
- Sin embargo, deben poder garantizar en la práctica un nivel de protección equivalente
- Uber dejó de usar las Standard Contractual Clauses desde agosto de 2021 y desde fines del año pasado utiliza el marco sucesor de Privacy Shield
- La investigación comenzó después de que más de 170 conductores franceses presentaran quejas ante la organización francesa de derechos humanos Ligue des droits de l’Homme (LDH), y luego LDH presentara una denuncia ante la DPA francesa
- Según el principio de ventanilla única (one-stop-shop) del GDPR, las empresas que procesan datos en varios Estados miembros de la UE tratan con la DPA del país donde tienen su establecimiento principal
- La sede europea de Uber está en los Países Bajos
- La DPA neerlandesa trabajó estrechamente con la DPA francesa y coordinó su decisión con otras DPA europeas
Monto de la multa y sanciones previas a Uber
- Las multas empresariales de las DPA europeas se calculan de la misma manera, y el máximo es el 4% de la facturación anual global de la empresa
- Los ingresos globales de Uber en 2023 fueron de aproximadamente 34.500 millones de euros
- Uber manifestó su intención de apelar esta multa de 290 millones de euros
- Este es el tercer caso en que la DPA neerlandesa multa a Uber
- En 2018 impuso una multa de 600.000 euros relacionada con una filtración de datos
- En 2023 impuso una multa de 10 millones de euros por infringir normas de privacidad, y Uber también apeló esa multa
1 comentarios
Opiniones de Hacker News
Lo interesante es que, al menos en el sector bancario, los datos estadounidenses casi siempre los administran personas fuera de EE. UU.
Los servidores pueden estar en EE. UU., pero es muy probable que quienes acceden estén en Europa o India.
Durante el acceso, los datos existen temporalmente de ese lado, así que EE. UU. también necesita leyes más fuertes al respecto.
Me gustaba la época en que el Internet de antes se sentía como una red global de computadoras donde las fronteras importaban poco, así que me resulta un poco extraño aceptar como algo obvio la premisa de que, al final, las fronteras también importan en Internet.
La explicación de 0x62 ayudó: https://news.ycombinator.com/item?id=41357888
No había pensado en la estructura en la que los proveedores se entrelazan recursivamente.
Incluso si eres completamente inocente.
Hasta donde sé, el GDPR no cubre esos datos, así que no habría problema con que crucen fronteras.
El problema son los datos protegidos por el GDPR de ciudadanos de la UE, que no permite que crucen fronteras fuera de la UE salvo excepciones específicas, como la aplicación de la ley.
Si un empleado en India ve datos almacenados en EE. UU., aunque esté claro que los datos llegan a India en el momento en que aparecen en pantalla, formalmente podría no considerarse una transferencia de EE. UU. a India.
Lo importante es bajo qué jurisdicción legal están el controlador o el procesador, y si los datos se mueven a un procesador de otra jurisdicción, eso constituye una transferencia.
En otro artículo (https://nos.nl/l/2534629, en neerlandés), Uber afirma que venía conversando con la Autoriteit Persoonsgegevens sobre una “ley poco clara”.
Según la traducción de iOS, un vocero de Uber explicó que, debido a la ambigüedad de las normas de privacidad, contactaron directamente a la AP, y que en ese momento el organismo supervisor no dijo que Uber estuviera infringiendo las reglas.
Pero si una empresa rica con un equipo legal bien armado no está segura de si algo está permitido, eso no se convierte en un derecho a hacerlo.
Las multas tienen que ser así de grandes. No deben convertirse simplemente en un costo de hacer negocios, y respetar los límites debe ser algo que les importe a todos, desde los accionistas hacia abajo.
Al ver la parte que dice que “desde fines del año pasado Uber usa el sucesor de Privacy Shield”, considerando cómo estos esquemas han venido cayéndose una y otra vez, creo que más adelante volverán a declararlo culpable.
La Comisión Europea no está haciendo bien esta parte.
Y también empezó la “certificación” de cumplimiento con este marco: https://www.dataprivacyframework.gov/list
Así que cada autoridad de protección de datos podría atenerse, respecto de este nuevo marco, a la interpretación de la CE sobre la adecuación bajo el GDPR.
Sin embargo, Schrems ya dijo que impugnará este marco, así que hay mucha incertidumbre.
La única opción “segura” sin incertidumbre parece ser diseñar todos los sistemas para que los datos no pasen por EE. UU. ni queden almacenados en subsidiarias bajo una empresa matriz con sede en EE. UU.
Es un poco gracioso que Uber haya sido multada en Países Bajos. A nivel local casi no se ve Uber porque los taxis tradicionales están protegidos.
No tengo datos exactos, pero si son al menos unos 15 euros por habitante, es una multa enorme; por conductor, quizá rondaría los 25,000 euros.
Se siente como si el regulador neerlandés dijera “¿no se pueden ir y ya?”, y probablemente Uber lo sienta parecido.
Una denuncia recibida por la autoridad francesa de privacidad fue transferida a la parte neerlandesa.
La multa vino del regulador neerlandés, pero la investigación empezó en Francia: en junio de 2020, 21 conductores franceses de Uber acudieron a la organización de derechos humanos Ligue Des Droits De L'homme Et Du Citoyen.
Luego, otros 151 conductores de Uber se sumaron a la denuncia, y LDH la llevó al regulador francés de privacidad, la CNIL; la CNIL la remitió en enero de 2021 a la autoridad neerlandesa de protección de datos porque la sede europea de Uber está en Países Bajos.
Porque le gusta el régimen fiscal de allí.
Según la DPA, el proceso de apelación tomará unos 4 años, así que en la práctica será una apelación de 4 años.
Todas las autoridades de protección de datos en Europa calculan las multas a empresas de la misma manera y pueden imponer hasta el 4% de la facturación anual global de una compañía.
Lo que llevó a que la DPA neerlandesa iniciara una investigación sobre Uber fue que más de 170 conductores franceses presentaron quejas ante la organización francesa de derechos humanos LDH, y LDH las presentó ante la DPA francesa.
Me da curiosidad saber en qué se basaron originalmente los conductores para sospechar.
Personalmente, hace mucho tiempo tuve relación con una organización estadounidense y luego lo olvidé por completo.
Casi 15 años después, empecé a recibir spam por correo desde la dirección de su sede en Washington, y aunque pedí que lo detuvieran, no paró.
Cuando invoqué acciones legales bajo el GDPR y solicité la eliminación, respondieron que habían cumplido, pero un año después volvió a llegar spam desde la misma dirección.
Así supe que no habían eliminado mi información y que la tenían almacenada en EE. UU.
Me da curiosidad cómo se conecta este asunto con el EU–US Data Privacy Framework.
Entendía que este marco, como reemplazo del EU–US Privacy Shield, buscaba permitir estas transferencias, así que antes de 2020, cuando estaba vigente el Privacy Shield, no habría sido un problema.
¿Tal vez lo estoy entendiendo mal?
El Privacy Shield fue invalidado en 2020, y como mecanismo válido de transferencia solo quedaron las cláusulas contractuales tipo.
Uber dejó de usar las cláusulas contractuales tipo en agosto de 2021, antes de adoptar el nuevo marco de privacidad en 2023, y durante dos años transfirió información muy sensible sin un mecanismo válido.
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Básicamente, el Framework, igual que el antiguo Shield, es un intento de la Comisión de decir: “miren, ya lo arreglamos”.
Lamentablemente, en las dos ocasiones anteriores el TJUE consideró a posteriori que la falta de legislación de privacidad de datos en EE. UU. no podía arreglarse con ningún marco, y también determinó que el Shield, al igual que su antecesor, en realidad no permitía las facultades que afirmaba permitir.
Este Framework todavía no ha sido evaluado por el TJUE, pero como la ley estadounidense tampoco cambió de manera significativa, el resultado parece bastante previsible.
Tuvimos suerte de vivir un breve período en el que internet era una verdadera red mundial
Una persona en Países Bajos o Nigeria[1] podía usar los mejores servicios tecnológicos del mundo, y la gente podía interactuar con relativa libertad a través de las fronteras
Pero eso se está acabando. Como cada feudo quiere su parte y tener voz, cada vez es más difícil que internet siga siendo una red global
Fue divertido mientras duró
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Si una empresa actúa de forma honorable, no tiene nada que temer y puede hacer negocios fácilmente en todo el mundo
Los problemas surgen cuando hace cosas turbias que deberían haber sido ilegales desde el principio
El punto clave es que la ley estadounidense es la más laxa, permite en gran medida violaciones a la privacidad de sus ciudadanos, y por eso las empresas ahora sienten que se las está restringiendo innecesariamente
Si la ley estadounidense fuera más estricta, esto no sería un problema y nadie estaría hablando de esto
Centrarse solo en la libertad de una empresa para hacer lo que quiera es muy miope y estadounidense-céntrico. ¿Qué pasa con la libertad del usuario de vivir sin ser vigilado?
Los efectos de red son tan grandes que el argumento de libre mercado de “si no te gusta, vete a otra parte” no encaja bien, y también hay un gran problema de transparencia porque desde afuera es difícil saber cómo se procesan los datos
En especial, todas las empresas tratan los datos como si fueran de su propiedad y como una vaca lechera
¿A eso también lo llaman “que los feudos quieren su parte y tener voz”? ¿Están en contra del concepto mismo de ley?
Probablemente alguien ignorante de finales del Imperio británico también habría hablado así
¿O que las empresas que participaron en esa red encontraron intereses en encerrarla dentro de jardines amurallados?[2][3]
¿O que esa red global fue remodelada tan profundamente por unos pocos actores dominantes que se volvió necesaria la regulación externa?[4][5]
Claro que no. No es una reacción a abusos masivos de la industria; seguro es solo que los señores locales están tratando de rascar un poquito de poder
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
¿Qué es la libertad? ¿GPL, BSD, agitar el puño o no recibir un golpe en la nariz?
Si el proceso de apelación toma unos 4 años y la multa queda suspendida hasta que se agoten todos los recursos legales, parece que volveremos a oír de este caso dentro de 4 años
Uber lo tratará como “el costo de hacer negocios en Europa” y lo añadirá a los precios como recargo
En los últimos años, el total de multas que la UE impuso a empresas tecnológicas estadounidenses llegó a 14.800 millones de dólares: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Ese Substack es bastante bueno y muestra claramente que, aunque las empresas tecnológicas estadounidenses no se irán de Europa pronto, tienen mucho más poder en la relación
Los reguladores están jugando demasiado fuerte sus cartas
Incluso si las grandes tecnológicas estadounidenses se retiraran de Europa, salvo en el corto plazo, podría ser algo bueno para el mercado local
Es muy difícil competir con ellas, y lo mismo ocurre incluso en el mercado interno de EE. UU.
Si desaparecieran de un mercado tan grande como la UE, es muy probable que se active la competencia
Aun suponiendo que la UE no tenga ninguna capacidad, esa suposición es muy poco realista si se considera que el mejor modelo actual de generación de imágenes y varios LLM de código abierto bastante buenos salieron de la UE
Además, en varios países europeos, especialmente en Europa del Este, hay talento técnico excelente, y las empresas chinas también entrarían de inmediato
Por eso, desde el punto de vista europeo, sigue siendo un trato pésimo