Il Autorità olandese per la protezione dei dati (AP) ha multato di 10 milioni di euro la società statunitense di ride-hailing Uber per non aver divulgato completamente i dettagli sulla conservazione dei dati degli autisti europei e per non aver rivelato i paesi extraeuropei con cui i dati vengono condivisi.
La DPA ha inoltre rilevato l'ostruzione da parte di Uber del diritto alla privacy degli autisti.
Il presidente dell'AP Aleid Wolfsen afferma: “Gli automobilisti hanno il diritto di sapere come fare Uber tratta i loro dati personali. Tuttavia, Uber non lo ha spiegato con sufficiente chiarezza. Avrebbe dovuto informare meglio e più diligentemente i suoi autisti a questo riguardo”.
“La trasparenza è una parte fondamentale della protezione dei dati personali. Se non sai come vengono gestiti i tuoi dati personali, non puoi determinare se sei svantaggiato o trattato ingiustamente. E non puoi difendere i tuoi diritti”, aggiunge Wolfsen.
Le critiche di Uber dalla DPA
La DPA ha scoperto che Uber rendeva difficile l’accesso dei conducenti ai propri dati personali. Il modulo di richiesta di accesso era sepolto nell'app, distribuito nei menu e avrebbe potuto essere posizionato in modo più logico.
La gestione delle richieste da parte di Uber ha comportato un'organizzazione poco chiara dei dati personali, complicandone l'interpretazione.
Inoltre, non hanno specificato nei loro termini e condizioni sulla privacy per quanto tempo Uber conserva i dati personali dei suoi autisti o quali misure di sicurezza specifiche adotta quando invia queste informazioni a entità in paesi al di fuori del SEE. Aleid Wolfsen:
Inoltre, Uber non ha specificato nei suoi termini e condizioni sulla privacy la durata per la quale conserva i dati personali dei conducenti e le misure di sicurezza impiegate durante la trasmissione di tali informazioni a entità al di fuori dello Spazio economico europeo (SEE).
Wolfsen afferma: “Ciò dimostra che Uber ha messo in atto tutti i tipi di ostacoli che impediscono ai conducenti di esercitare il loro diritto alla privacy, e questo è proibito. In effetti, Uber dovrebbe facilitare i conducenti nei loro diritti. Questo è stabilito dalla legge”.
Denunce dalla Francia
La DPA ha imposto la multa a seguito delle denunce di oltre 170 conducenti francesi che si sono rivolti all'organizzazione francese per i diritti umani Ligue des droits de l'Homme et du citoyen (LDH).
LDH ha quindi presentato un reclamo all'autorità francese per la protezione dei dati che, poiché Uber ha la sua sede europea nei Paesi Bassi, ha reindirizzato il caso all'autorità olandese per la protezione dei dati (DPA).
La DPA ha calcolato la sanzione considerando le dimensioni dell'organizzazione e la gravità delle violazioni. Al momento delle violazioni lavoravano per Uber in Europa circa 120,000 autisti.
Nonostante Uber abbia presentato opposizione alla decisione della DPA, l'autorità ha riconosciuto che da allora Uber ha implementato misure di miglioramento per affrontare le violazioni.
Breve descrizione dell'autorità olandese per la protezione dei dati
Secondo la DPA, ogni individuo ha diritto alla protezione dei propri dati personali, un diritto fondamentale tutelato anche dall’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens).
In qualità di regolatore indipendente nei Paesi Bassi, la DPA garantisce che tutte le entità aderiscano alla legislazione sulla privacy, salvaguardando il diritto alla privacy degli individui.