Índice
La compañía ha sido sancionada por transferir datos personales a servidores ubicados en Estados Unidos sin garantizar su nivel de protección
Sobre el Reglamento General de Protección de Datos (RGPD) han corrido ríos de tinta. De hecho, no resulta aventurado sostener que ninguna norma europea es más conocida que el RGPD. Ello se debe a que esta normativa instauró un marco legal pionero en el mundo a la hora de proteger los datos personales de los ciudadanos. Así, el RGPD impone a empresas y administraciones múltiples obligaciones para salvaguardar la información personal y garantizar su integridad y seguridad.
Como consecuencia de ello, para transferir datos personales, las empresas que los han recabado y son responsables de su tratamiento deben poner en marcha medidas protectoras. Sobre todo, si van a transferir datos personales a países ubicados fuera de la Unión Europea.
Precisamente, incumplir las obligaciones en lo relativo a transferir datos personales fuera de la UE le puede salir muy caro a Uber. La Agencia de Protección de Datos de Países Bajos (DPA) ha multado a la principal plataforma de VTC (vehículos transportados por personas) a nivel mundial por incumplir el Capítulo V del RGPD.
La agencia ha estimado que el incumplimiento ha sido extraordinariamente grave, por lo que ha impuesto a Uber una multa administrativa de 290 millones de euros.
¿Qué hizo Uber para incumplir el RGPD?
Como señalamos antes, Uber es la principal plataforma VTC del mundo. A través de su aplicación, los ciudadanos pueden pedir un VTC y desplazarse a dónde deseen. Teniendo en cuenta que Uber opera en toda Europa, no resulta sorprendente saber que la compañía tiene acceso a la información personal de miles de conductores.
¿De qué información estamos hablando? Datos tan sensibles como:
- Nombre completos.
- Documentos de identidad.
- Licencias de taxi.
- Información financiera.
- Ubicación.
- Fotografías.
Es más, en algunos casos, la empresa recopiló, incluso, datos médicos e información de índole penal sobre los conductores.
¿Qué hizo Uber con esta información? Procedió a transferir datos personales desde la Unión Europea hasta Estados Unidos. Ya que allí es donde se encuentran sus servidores centrales. Esta práctica se prolongó durante más de dos años.
¿Cómo debe ser el proceso de transferir datos personales?
Según la agencia de protección de datos neerlandesa, el problema no reside en que Uber hubiera decidido transferir datos personales a Estados Unidos, sino en que no se utilizaron herramientas para garantizar la seguridad de la información y que su protección se realizaba de acuerdo al RGPD.
Para ser más exactos, la DPA indició que Uber incumplió a lo largo de esos dos años el Capítulo V del RGPD. Dicho capítulo, regula la posibilidad de transferir datos personales a terceros países y condiciona dicha opción a que el responsable y el encargado del tratamiento puedan asegurar que se cumple el nivel de protección de las personas físicas garantizado por el reglamento (artículo 44).
¿Por qué Uber no garantizó el nivel de protección necesario al transferir datos personales a Estados Unidos? Porque este país tiene unos estándares de protección de datos insuficientes según el Tribunal de Justicia de la Unión Europea (TJUE).
De hecho, el TJUE en el caso Schrems II impuso a las empresas requisitos más estrictos para transferir datos personales. De tal forma que aquellas compañías que deseen transferirlos fuera de la UE deben emplear cláusulas contractuales tipo en las que se garantice a los ciudadanos que sus datos gozarán de un nivel de protección análogo al de la Unión Europea y que, si es necesario, se implementarán medidas extra para compensar las lagunas de protección del ordenamiento jurídico al que se procede a transferir datos personales.
Uber no implementó estas cláusulas contractuales tipo. Por lo que la agencia de protección de datos de Países Bajos, país donde tiene la compañía su sede en la UE, considera que ha incumplido el RGPD de manera grave y continuada al transferir datos personales de los conductores europeos a Estados Unidos.
¿Cuál ha sido la reacción de Uber?
En primer lugar, debemos tener en cuenta que esta sanción por transferir datos personales fuera de la UE sin garantizar el pertinente nivel de seguridad de la información no es la primera multa que recibe Uber en los últimos años.
En 2018, la compañía fue multada con 600.000 euros por aplicar controles deficientes de acceso a los datos que había recabado. Mientras que a comienzos de 2024 ya había recibido una multa de 10 millones de euros por la opacidad de sus políticas de tratamiento de datos.
La gran diferencia con respecto a las multas precedentes es que la cuantía de la sanción es mayúsculamente superior y puede dañar de manera rotunda las finanzas de la compañía.
Por eso, no debe sorprendernos que Uber haya dejado de transferir datos personales fuera de la Unión. A la vez que sostiene que:
- El capítulo V del RGPD no era aplicable en su caso.
- En realidad no procede a transferir datos personales a Estados Unidos, sino que son los propios conductores quiénes lo hacen. Ya que al inscribirse en la aplicación de Uber en Europa están facilitando directamente su información personal a los servidores de la compañía en Estados Unidos.
¿La historia termina aquí?
La sanción impuesta a Uber por incumplir las obligaciones del RGPD y la jurisprudencia del TJUE a la hora de transferir datos personales de manera transfronteriza no es la primera de este tipo que se produce en la Unión Europea. Antes que Uber ya fueron multadas otras multinacionales como Meta con 1.200 millones de euros, o cuatro empresas suecas por transferir datos personales mediante el uso de Google Analytics.
Estos casos dan buena muestra de que la transferencia de datos personales a ordenamiento jurídicos que protegen menos la información de los ciudadanos es uno de los grandes caballos de batalla en lo que respecta a la protección de datos.
Por ende, es previsible que se sigan imponiendo nuevas multas por parte de las autoridades de los países miembros.
Además, debemos tener en cuenta que Uber ya ha anunciado que recurrirá la sanción y que el proceso puede alargarse durante cuatro años.
A este respecto, es fundamental esperar a ver cómo se desarrolla el proceso de apelación de la multa administrativa y cómo la Justicia moldea las obligaciones empresariales a la hora de transferir datos personales fuera de la UE.
¿Qué lección pueden extraer todas las empresas sobre esta sanción?
La protección de datos se ha convertido en una cuestión capital para el conjunto de los negocios. Incumplir las normas relativas a la obtención, tratamiento y almacenamiento de datos puede conllevar:
- Multas millonarias que amenacen el modelo de negocio de una empresa.
- Procesos administrativos y judiciales costosos que se alarguen durante años.
- Daños reputacionales incuantificables por no cumplir los requisitos legales en una materia tan relevante como la protección de datos.
Por ende, es fundamental que las empresas cuenten con un asesoramiento integral en materia de protección de datos, que empleen soluciones como software de gestión y aplicaciones desarrolladas siguiendo los máximos estándares de protección de la información personal y dispongan de protocolos de actuación claros para evitar incumplir el RGPD.
Los ciberataques más importantes en España en 2024 evidencian que los datos de clientes y trabajadores son un objetivo prioritario de los delincuentes. Por ello, es crítico cumplir con la normativa en vigor de protección de datos y evitar que, en caso de que se produzca un incidente, se descubra que la compañía no estaba siguiendo los estándares de seguridad en el tratamiento de datos personales.