A Autoridade de Proteção de Dados da Holanda (DPA) anunciou nesta segunda-feira uma multa de 290 milhões de euros contra a Uber. A penalidade se deve ao manuseio inadequado dos dados pessoais de motoristas de táxi europeus, que foram armazenados em servidores nos Estados Unidos, violando o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Transferências sem segurança adequada
Segundo a DPA, a Uber transferiu dados pessoais de motoristas da UE para os EUA por dois anos, sem as devidas medidas de proteção. A empresa falhou em implementar ferramentas como criptografia e pseudonimização, essenciais para proteger informações sensíveis durante transferências internacionais, conforme exigido pela GDPR.
Regras de transferência de dados
As regras europeias permitem a transferência de dados pessoais para fora do bloco através de Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia. No entanto, essas transferências precisam de garantias adicionais para assegurar a conformidade com os padrões de proteção de dados da UE.
Exigências para transferências aos EUA
Quando se trata dos Estados Unidos, há exigências ainda mais rigorosas. Empresas americanas que participam do Data Privacy Framework são obrigadas a oferecer níveis de proteção de dados equivalentes aos da UE. Mesmo assim, os cidadãos europeus têm o direito de apresentar queixas se considerarem que suas informações estão sendo mal utilizadas.
Queixa dos motoristas e investigação
O caso começou após uma queixa de 170 motoristas de táxi franceses, que alertaram sobre o uso indevido de seus dados pela Uber. A sede europeia da Uber, localizada na Holanda, fez com que a DPA holandesa assumisse a investigação. Dados como localização, documentos de identidade, detalhes de pagamento e até registros médicos foram transferidos sem a devida proteção, violando os direitos de privacidade dos motoristas.
Resposta da Uber e possíveis desdobramentos
Em resposta à decisão, a Uber já indicou que pretende apelar da multa. A empresa argumenta que tomou medidas para proteger os dados, mas a DPA discorda, considerando a infração grave.
