Tratar datos en el extranjero puede salir caro. Sanción de 290 millones a Uber

Transferencia Internacional de Datos

La transferencia internacional de datos es más habitual de lo que pensamos, ya que muchas empresas utilizan servicios en la nube y los servidores de estos servicios están ubicados fuera de España.

Por tanto, este artículo puede ser de tu interés ya que te mostraremos que debes tener en cuenta para cumplir con normativa de protección de datos y evitar sanciones.

Las sanciones impuestas por las autoridades europeas de protección de datos no dejan de sorprender, tanto por su magnitud como por las implicaciones legales que conllevan.

Esta vez, el protagonista es Uber, quien nuevamente se encuentra en el centro de la polémica por el tratamiento indebido de datos personales, pues le han multado con 290 millones de euros.

¿Qué ocurrió exactamente?

La Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens) ha sancionado a Uber tras recibir denuncias de más de 170 taxistas franceses.

Estas denuncias, canalizadas inicialmente por la autoridad de control francesa (CNIL), señalaron una irregular transferencia de datos personales hacia servidores ubicados en Estados Unidos.

La investigación reveló que Uber recopiló y transfirió dicha información sin cumplir con los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD), ya que, la empresa dejó de utilizar las cláusulas contractuales tipo, lo que constituye una infracción clara de la normativa de protección de datos.

¿Por qué actuó la autoridad holandesa y no la francesa?

Aunque los afectados eran ciudadanos franceses, Uber cuenta con una sede en Ámsterdam, Holanda (UBER BV), que actúa como su establecimiento principal en Europa, según el artículo 56.1 del RGPD, la autoridad de control competente para investigar un tratamiento transfronterizo es aquella donde el responsable del tratamiento tiene su sede principal dentro de la UE. Por tanto, correspondía a la autoridad holandesa liderar la investigación, aunque contó con el apoyo estrecho de la CNIL francesa.

¿Qué tipo de datos fueron transferidos?

La gravedad del caso radica en el tipo de datos que fueron objeto de la transferencia. Entre ellos se encontraban:

  • Documentos de identificación
  • Información bancaria
  • Fotografías y datos de ubicación
  • Detalles sobre licencias
  • Información relacionada con salud y posibles antecedentes delictivos

Estos datos, considerados en muchos casos como de categoría especial por el (art. 9 RGPD), los cuales requieren de medidas adicionales de protección y justificación legal para su tratamiento y transferencia.

¿Por qué una multa tan alta?

El artículo 83 del RGPD establece que las multas administrativas pueden alcanzar hasta el 4 % del volumen de negocio global anual, o 20 millones de euros, eligiéndose la cantidad más alta.

En este caso, la facturación global de Uber en 2023 fue de aproximadamente 34.500 millones de euros, lo que justifica el alto importe de la sanción.

Lecciones para las empresas

Este caso es un recordatorio claro y contundente: la transferencia internacional de datos no es un trámite menor y las empresas deben asegurarse de contar con las bases legales adecuadas y la documentación que respalde cada acción que implique tratamiento de datos fuera del Espacio Económico Europeo.

¿Tu empresa realiza transferencias internacionales de datos?

En Business Adapter®, estamos para ayudarte.
Si ya eres cliente, contacta con tu consultor para recibir la documentación e instrucciones necesarias.

Si aún no lo eres y tu empresa realiza transferencias internacionales de datos, dentro o fuera de la Unión Europea, contáctanos:

info@businessadapter.es
96 131 88 04
O deja tu mensaje en nuestro formulario web

Consúltanos, estaremos encantados de ayudarte
error: Content is protected !!