Haia, Holanda — O órgão de proteção de dados holandês aplicou uma multa de 290 milhões de euros (US$ 324 milhões) na segunda-feira ao serviço de transporte Uber por supostamente transferir detalhes pessoais de motoristas europeus para os Estados Unidos sem proteção adequada. A Uber chamou a decisão de falha e injustificada e disse que apelaria.
A Autoridade Holandesa de Protecção de Dados afirmou que as transferências de dados que duraram mais de dois anos constituíram uma violação grave da Regulamento Geral de Proteção de Dados da União Europeiaque exige medidas técnicas e organizacionais destinadas a proteger os dados dos usuários.
“Na Europa, o GDPR protege os direitos fundamentais das pessoas, exigindo que empresas e governos manipulem dados pessoais com o devido cuidado”, disse o presidente da DPA holandesa, Aleid Wolfsen, em uma declaração. “Mas, infelizmente, isso não é evidente fora da Europa. Pense em governos que podem explorar dados em larga escala. É por isso que as empresas geralmente são obrigadas a tomar medidas adicionais se armazenarem dados pessoais de europeus fora da União Europeia. A Uber não atendeu aos requisitos do GDPR para garantir o nível de proteção dos dados com relação a transferências para os EUA. Isso é muito sério.”
O caso foi iniciado por reclamações de 170 motoristas franceses da Uber, mas a autoridade holandesa emitiu a multa porque a sede europeia da Uber fica na Holanda.
A Uber insistiu que não fez nada errado.
“Essa decisão falha e a multa extraordinária são completamente injustificadas. O processo de transferência de dados transfronteiriços da Uber estava em conformidade com o GDPR durante um período de 3 anos de imensa incerteza entre a UE e os EUA. Apelaremos e permaneceremos confiantes de que o bom senso prevalecerá”, disse a empresa em um comunicado.
A suposta violação ocorreu depois que o tribunal superior da UE decidiu em 2020 que um acordo conhecido como Privacy Shield, que permitia que milhares de empresas — de gigantes da tecnologia a pequenas empresas financeiras — transferissem dados para os Estados Unidos, era inválido porque o governo americano poderia espionar os dados das pessoas.
A agência holandesa de proteção de dados disse que, após a decisão do tribunal da UE, cláusulas padrão em contratos poderiam fornecer uma base para transferência de dados para fora da UE, “mas somente se um nível equivalente de proteção puder ser garantido na prática”.
“Como a Uber não usou mais as Cláusulas Contratuais Padrão a partir de agosto de 2021, os dados dos motoristas da UE foram insuficientemente protegidos”, disse o órgão regulador. Ele acrescentou que a Uber tem usado o sucessor do Privacy Shield desde o final do ano passado, encerrando a suposta violação.
A Computer & Communications Industry Association, uma organização de defesa de empresas de tecnologia, disse que a multa ignorou as realidades dos negócios online após a decisão do tribunal da UE de 2020.
REUTERS/Gonzalo Fuentes
“A rota de internet mais movimentada do mundo não poderia simplesmente ficar parada por três anos inteiros enquanto os governos trabalhavam para estabelecer uma nova estrutura legal para esses fluxos de dados”, disse o chefe de políticas europeias da associação, Alexandre Roure, em um comunicado.
“Quaisquer multas retroativas por parte das autoridades de proteção de dados são especialmente preocupantes, dado que esses mesmos órgãos de proteção da privacidade falharam em fornecer orientações úteis durante esse período de significativa incerteza jurídica, na ausência de qualquer estrutura legal clara”, acrescentou.
O anúncio de segunda-feira não é a primeira vez que o órgão de proteção de dados holandês multou a Uber. Em janeiro, a agência multou a Uber em 10 milhões de euros pelo que disse ser a falha da empresa em revelar por quanto tempo ela reteve dados de motoristas na Europa ou em nomear países fora da UE com os quais compartilhou os dados.
