A Autoridade Holandesa de Proteção de Dados (DPA) multou a Uber por transferir dados pessoais de taxistas europeus para os EUA sem a devida proteção mais de dois anosviolando o Regulamento Geral de Proteção de Dados da UE (GDPR), anunciou a autoridade na segunda-feira (26 de agosto).
Os dados incluíam informações confidenciais, como detalhes de conta, licenças de táxi, dados de localização, fotos, detalhes de pagamento, documentos de identidade e registros criminais e médicos.
Presidente holandês da DPA, Aleid Wolfsen disse que, embora o GDPR garanta forte proteção de dados pessoais na Europa, tais salvaguardas não são garantidas fora da UE, especialmente em países onde os governos têm amplo acesso aos dados.
No entanto, um porta-voz da Comissão disse à Euractiv que todas as empresas que operam na UE devem aderir integralmente aos regulamentos de proteção de dados da UE.
Isso ocorre porque o GDPR se aplica a qualquer empresa que processe dados pessoais de residentes da UE, mesmo que a empresa esteja sediada fora da UE, como a Uber, que tem sede nos EUA. Além disso, o regulamento exige que as empresas protejam dados pessoais e usem salvaguardas legais para transferências para fora da UE, com a não conformidade arriscando multas de até 4% da receita global.
A Uber foi multada em um valor histórico de € 290 milhões, perto de 4% de sua receita global de € 34,5 bilhões em 2023. Esta é a terceira multa da empresa pela DPA holandesa, após multas anteriores de € 600.000 em 2018 e 10 milhões de euros em 2023que a Uber contestou.
“É claramente a maior multa já imposta à Uber na UE e, de fato, a maior multa já imposta pela DPA holandesa”, disse Maartje de Graaf, advogada da ONG Noyb, o Centro Europeu de Direitos Digitais, à Euractiv.
A Autoridade de Supervisão Holandesa começou a investigar a Uber em 2021, depois de mais de 170 motoristas franceses terem reclamado ao grupo de direitos humanos Liga dos Direitos Humanosque então apresentou uma queixa à Autoridade Supervisora Francesa. A autoridade francesa passou essas queixas à sua contraparte holandesa, que supervisiona a Uber, já que seu principal escritório europeu fica na Holanda.
A autoridade holandesa colaborou com os órgãos franceses e outros europeus para decidir multar a Uber este ano. Esta decisão envolvido todas as autoridades de supervisão da UE, da Noruega e da Suíça, exceto as da Bulgária, Chipre, Islândia, Letônia, Liechtenstein, Luxemburgo e Eslovênia.
A decisão holandesa “está abrindo uma caixa de Pandora”, disse Brahim Ben Ali, um ex-motorista da Uber que liderou a reclamação dos 170 motoristas franceses da Uber, à Euractiv, argumentando que a conformidade com o GDPR e o gerenciamento de dados “são o calcanhar de Aquiles da Uber”.
“A multa pode ter repercussões em outras multinacionais de tecnologia que transferem dados entre os EUA e a UE”, acrescentou.
Mais três reclamações dos mesmos 170 motoristas, incluindo uma sobre desconexões automáticas de contas do Uber, estão atualmente sob análise em Amsterdã.
Quadro de proteção de dados UE-EUA
As notícias sobre a violação do GDPR pela Uber também levantam questões sobre a transferência de dados pessoais da UE para os EUA.
O Privacy Shield foi uma estrutura que permitiu que empresas transferissem dados pessoais da UE para os EUA, garantindo proteção em 2016. Ele foi criado para substituir o acordo anterior Safe Harbor.
No entanto, em 2020, o tribunal superior da UE invalidou o Privacy Shield em uma decisão conhecida como Schrems II porque concluiu que as leis dos EUA não forneciam o mesmo nível de proteção de dados exigido pelos padrões da UE. A decisão recebeu o nome do ativista e advogado Max Schrems e sua organização Noyb, que contestou a adequação da proteção de dados do Privacy Shield.
Após essa decisão, o Quadro de Privacidade de Dados UE-EUA substituiu o Escudo de Privacidade em 2023 para abordar essas preocupações e fornecer salvaguardas legais para empresas que transferem dados confidenciais.
Mas mesmo antes dessa nova estrutura, as empresas poderiam usar as Cláusulas Contratuais Padrão (SCCs) como um acordo legal para proteger dados pessoais enviados da UE para países fora da UE que seguem os padrões de proteção de dados da UE.
No entanto, a Uber parou de usar SCCs em agosto de 2021, o que levou à proteção de dados insuficiente, segundo apurou a DPA holandesa durante sua investigação que resultou na multa.
Após a multa, a Uber emitiu uma declaração descrevendo a decisão como “falha” e “completamente injustificada”, confirmando que apelaria da multa. Esta apelação suspenderia a multa até que uma nova decisão fosse tomada, o que poderia levar até quatro anos.
Um porta-voz da empresa sediada na Califórnia disse à Euractiv que as transferências de dados entre os EUA e a UE continuaram em conformidade com o GDPR mesmo após o Privacy Shield ter sido invalidado.
A adoção do Quadro de Privacidade de Dados de 2023 não levou a nenhuma mudança na maneira como os dados pessoais foram tratados, o que deve atestar a robusta estrutura de gerenciamento de dados da empresa, acrescentaram.
Leia mais com Euractiv
