Un vacío legal en las leyes de protección de datos les está saliendo muy caro a las multinacionales digitales estadounidenses. A Uber le ha costado otros 290 millones de euros esta semana, que elevan la suma a más de 2.000 millones en total. Todo se debe al período entre 2020 y 2023 en el que no existió un marco jurídico definido para las transferencias de información personal de los europeos a EEUU, pese a lo cual muchas empresas no dejaron de realizarlos. Ahora lo están pagando en forma de multas.
La impuesta a Uber corre a cargo de la autoridad de protección de datos de Países Bajos (DPA), que esta semana ha resuelto que el envío de datos de los conductores de la aplicación hacia el otro lado del Atlántico durante esos tres años fueron ilegales. LA DPA señala que “Uber ha recopilado, entre otras cosas, información sensible” de los trabajadores, como “datos de cuentas y licencias de taxi, pero también datos de ubicación, fotografías, datos de pago, documentos de identidad y, en algunos casos, incluso datos médicos y penales de los conductores”.
Uber, como todas las empresas estadounidenses multadas por este motivo, ha protestado enérgicamente contra la resolución y no acepta la multa. “Esta decisión errónea y esta multa extraordinaria son completamente injustificadas. El proceso de transferencia transfronteriza de datos de Uber cumplía con el GDPR durante un período de 3 años de inmensa incertidumbre entre la UE y Estados Unidos. Apelaremos y seguimos confiando en que prevalecerá el sentido común”, ha explicado un portavoz en un comunicado enviado a elDiario.es.
Ese período de vacío legal de tres años comenzó en julio de 2020, cuando el Tribunal de Justicia de la UE invalidó el acuerdo Privacy Shield (Escudo de Privacidad) que Bruselas había firmado con Washington cuatro años antes. Era un pacto bilateral que permitía la transferencia de datos personales desde la UE a los EEUU, asegurando que estos datos estuvieran protegidos de acuerdo con las normas de privacidad europeas.
Sin embargo, el TJUE consideró que esto no era así. El motivo eran las leyes de EEUU, que permiten a sus autoridades de inteligencia, como la Agencia de Seguridad Nacional (NSA) acceder a cualquier base de datos sin orden judicial, algo incompatible con el derecho europeo. El autor de la denuncia había sido el joven abogado austríaco Max Schrems, que en 2015 ya había conseguido que el TJUE anulara el marco de transferencia de datos anterior, llamado Safe Harbor (Puerto Seguro), por el mismo motivo.
Las transferencias se movieron en un vacío legal hasta 2023, cuando la Comisión Europea ratificó un nuevo acuerdo con la Casa Blanca con el más modesto nombre de “Marco de protección de datos UE-EEUU”. “Según el Tribunal, las cláusulas contractuales tipo todavía podían proporcionar una base válida para transferir datos a países fuera de la UE, pero sólo si en la práctica se puede garantizar un nivel de protección equivalente”, explica la DPA. Sin embargo, “Uber no utilizó las cláusulas contractuales estándar a partir de agosto de 2021”.
“Las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de ciudadanos europeos fuera de la Unión Europea. Uber no cumplió con los requisitos”, ha señalado el director de la agencia neerlandesa, Aleid Wolfsen: “Esto es muy grave”.
Más de 2.000 millones en multas
Aunque Uber se ha opuesto enérgicamente a la multa y ha anunciado que la recurrirá (un proceso que suspende el pago hasta la resolución final, que podría demorarse más de cuatro años), la DPA no ha ejercido la máxima severidad contra la empresa. Las leyes europeas permiten a las autoridades de protección de datos multar con hasta un 4% de la facturación global a las compañías que incumplan la normativa. Uber facturó 34.500 millones de euros en 2023, lo que implica que la sanción máxima podía haber ascendido a 1.380 millones.
De hecho, la multa más alta por las prácticas de envío de datos a EEUU durante el período de 2020 a 2023 supera en casi mil millones la de Uber. Se la llevó Facebook en 2023 y ascendió a 1.200 millones. Es la más alta impuesta en la UE por protección de datos y una de las más cuantiosas teniendo en cuenta todos los ámbitos. La sanción fue revisada por el órgano que agrupa a las agencias de protección de datos de toda la UE después de que la agencia irlandesa impusiera una sanción que esa entidad supranacional consideró demasiado baja.
En aquel caso se consideró como agravante que, en la práctica, era la tercera vez que una autoridad europea dejaba claro a Facebook que los envíos de los datos personales de sus usuarios a EEUU eran ilegales. Las dos sentencias del TJUE que anularon Privacy Shield y Safe Harbor tuvieron como base de análisis los transferencias que estaba realizando la red social, denunciada por Schrems. Facebook también anunció que apelaría la multa al considerarla injusta.
Otras empresas multadas por este motivo han sido Amazon (746 millones de euros, en una resolución que castigó otras infracciones del gigante del comercio electrónico ajenas a este asunto) o Google, que ha recibido sanciones más reducidas de varias autoridades de la UE. El buscador, sin embargo, tiene pendiente una resolución que podría moverse en las mismas cifras de Facebook, a cuenta de su servicio Analytics de anuncios publicitarios.
La propia Google y Facebook fueron las dos compañías que más presionaron a los reguladores de ambos lados del Atlántico para lograr un nuevo pacto que diera seguridad jurídica a sus actividades. Meta llegó a plantear a sus inversores la posibilidad de sacar Facebook e Instagram de la UE si la situación no se resolvía.
No obstante, la tranquilidad podría no durar demasiado. Noyb, la asociación de defensa de la privacidad fundada por Schrems, ha vuelto a denunciar el nuevo marco. “El tercer intento de la Comisión Europea de conseguir un acuerdo estable sobre las transferencias de datos entre la UE y EEUU volverá probablemente al TJUE en cuestión de meses. El supuestamente 'nuevo' Marco Transatlántico de Privacidad de Datos es en gran medida una copia del fracasado Escudo de Privacidad. A pesar de los esfuerzos de relaciones públicas de la Comisión Europea, hay pocos cambios en la legislación estadounidense o en el enfoque adoptado por la UE”, ha avisado.