Autoridade holandesa de proteção de dados multa a Uber em 290 milhões de euros por transferir dados de motoristas para os EUA
(autoriteitpersoonsgegevens.nl)- A Autoridade Holandesa de Proteção de Dados (DPA) considerou que a Uber cometeu uma grave violação do GDPR ao transferir dados pessoais de motoristas de táxi europeus para os Estados Unidos sem adotar as salvaguardas necessárias
- Entre as informações transferidas estavam dados da conta e licenças de táxi, dados de localização, fotos, informações de pagamento, documentos de identidade e até dados criminais e médicos de alguns motoristas
- A Uber enviou os dados para sua sede nos EUA por mais de dois anos e, desde agosto de 2021, deixou de usar as Standard Contractual Clauses, o que levou à conclusão de que a proteção dos dados dos motoristas da UE não era suficiente
- A investigação começou a partir de reclamações feitas por mais de 170 motoristas franceses, e como a sede europeia da Uber fica nos Países Baixos, a DPA holandesa coordenou a ação com a DPA francesa e outras DPAs europeias
- A Uber encerrou a violação e, desde o fim do ano passado, usa a estrutura sucessora do Privacy Shield, mas declarou que pretende recorrer da multa de 290 milhões de euros
Julgamento de violação do GDPR contra a Uber
- A DPA holandesa entendeu que a Uber não garantiu o nível de proteção exigido pelo GDPR ao transferir dados pessoais de motoristas de táxi europeus para os Estados Unidos
- Os dados em questão foram armazenados em servidores nos EUA, e o escopo não se limitava a informações básicas da conta
- Dados da conta e licenças de táxi
- Dados de localização, fotos, informações de pagamento e documentos de identidade
- Dados criminais e médicos de alguns motoristas
- Aleid Wolfsen, presidente da DPA holandesa, afirmou que fora da Europa a proteção de dados pessoais não é algo garantido, e que empresas que armazenam dados pessoais de europeus fora da UE normalmente precisam adotar medidas adicionais
- A Uber já encerrou atualmente a violação relacionada às transferências para os EUA
Regras de transferência internacional de dados e andamento da investigação
- A Uber transferiu dados de motoristas para sua sede nos EUA por mais de dois anos sem usar transfer tools, e por isso foi considerado que a proteção de dados pessoais não era suficiente
- O Tribunal de Justiça da União Europeia invalidou o EU-US Privacy Shield em 2020
- As Standard Contractual Clauses podem servir como base para transferências de dados para países fora da UE
- No entanto, elas precisam de fato garantir um nível de proteção equivalente
- A Uber deixou de usar as Standard Contractual Clauses a partir de agosto de 2021 e, desde o fim do ano passado, utiliza a estrutura sucessora do Privacy Shield
- A investigação começou depois que mais de 170 motoristas franceses apresentaram reclamações à organização francesa de direitos humanos Ligue des droits de l’Homme (LDH), que então levou o caso à DPA francesa
- Pelo princípio de one-stop-shop do GDPR, empresas que processam dados em vários Estados-membros da UE lidam com a DPA do país onde fica seu principal estabelecimento
- A sede europeia da Uber fica nos Países Baixos
- A DPA holandesa trabalhou em estreita cooperação com a DPA francesa e coordenou a decisão com outras DPAs europeias
Valor da multa e sanções anteriores à Uber
- As multas aplicadas por DPAs europeias a empresas são calculadas da mesma forma, e o teto pode chegar a 4% da receita anual global da companhia
- A receita global da Uber em 2023 foi de cerca de 34,5 bilhões de euros
- A Uber declarou que pretende contestar esta multa de 290 milhões de euros
- Este é o terceiro caso em que a DPA holandesa multa a Uber
- Em relação ao vazamento de dados de 2018, foi aplicada uma multa de 600 mil euros
- Em 2023, foi aplicada uma multa de 10 milhões de euros por violação de regras de privacidade, e a Uber também contestou essa multa
1 comentários
Opiniões no Hacker News
O curioso é que, pelo menos no setor bancário, dados dos EUA quase sempre são administrados por pessoas fora dos EUA
Os servidores podem estar nos EUA, mas quem acessa provavelmente está na Europa ou na Índia
Durante o acesso, os dados passam a existir temporariamente naquele lugar, então os EUA também precisam de leis mais fortes sobre isso
Como eu gostava da época em que a antiga internet parecia uma rede global de computadores em que fronteiras nacionais importavam pouco, acho um pouco estranho aceitar como óbvia a premissa de que, no fim, fronteiras também importam na internet
A explicação de 0x62 ajudou: https://news.ycombinator.com/item?id=41357888
Eu não tinha pensado na estrutura em que fornecedores ficam recursivamente entrelaçados
Isso vale mesmo que a pessoa seja completamente inocente
Até onde sei, o GDPR não trata desses dados, então tudo bem eles cruzarem fronteiras
O problema são os dados protegidos pelo GDPR de cidadãos da UE, que não podem cruzar fronteiras para fora da UE salvo exceções específicas, como aplicação da lei
Se um funcionário na Índia vê dados armazenados nos EUA, embora esteja claro que os dados chegaram à Índia no momento em que aparecem na tela, formalmente isso pode não ser considerado uma transferência dos EUA para a Índia
O que importa é sob qual jurisdição legal o controlador ou processador está, e há transferência quando os dados são movidos para um processador em outra jurisdição
Em outra reportagem (https://nos.nl/l/2534629, em neerlandês), a Uber afirma que vinha discutindo com a Autoriteit Persoonsgegevens sobre “leis pouco claras”
Segundo a tradução do iOS, um porta-voz da Uber explicou que a empresa procurou diretamente a AP por causa da ambiguidade das regras de privacidade e que, na época, o órgão fiscalizador não disse que a Uber estava violando as regras
Mas, se uma empresa rica, com um departamento jurídico bem estruturado, não tem certeza se algo é permitido, isso não se transforma em um direito de fazer aquilo
A multa também precisa ser desse tamanho. Multas não podem virar simplesmente custo de fazer negócios, e respeitar os limites precisa ser do interesse de todos, dos acionistas para baixo
Pelo trecho “desde o fim do ano passado, a Uber usa o regime sucessor do Privacy Shield”, considerando como esses regimes vêm desmoronando repetidamente, acho que no futuro haverá outra decisão de culpa
A Comissão Europeia não está fazendo isso direito
E também começou a “certificação” de conformidade com esse framework: https://www.dataprivacyframework.gov/list
Por isso, cada autoridade de proteção de dados pode seguir a interpretação da CE sobre a adequação, sob o GDPR, em relação a esse novo framework
Mas Schrems já declarou que vai contestar esse framework, então há muita incerteza
A única opção “segura” sem incerteza parece ser projetar todos os sistemas de modo que os dados não passem pelos EUA nem acabem armazenados em subsidiárias sob uma controladora sediada nos EUA
É meio engraçado que a Uber tenha sido multada na Holanda. Localmente, os táxis comuns são protegidos, então quase não se vê Uber por lá
Não tenho dados exatos, mas, se for pelo menos uns 15 euros por morador, é uma multa muito grande; por motorista, talvez dê algo como 25.000 euros
Dá a impressão de que o regulador holandês está dizendo “será que vocês não podiam simplesmente ir embora?”, e a Uber provavelmente sente algo parecido
A reclamação recebida pela autoridade francesa de privacidade foi encaminhada para a Holanda
A multa veio do regulador holandês, mas a investigação começou na França: em junho de 2020, 21 motoristas franceses da Uber procuraram a organização de direitos humanos Ligue Des Droits De L'homme Et Du Citoyen
Depois, mais 151 motoristas da Uber aderiram à reclamação, e a LDH a levou ao regulador francês de privacidade, a CNIL; a CNIL, por sua vez, encaminhou o caso em janeiro de 2021 à autoridade holandesa de proteção de dados, porque a sede europeia da Uber fica na Holanda
Porque ela gosta do regime tributário de lá
Segundo a DPA, o processo de recurso deve levar cerca de 4 anos; na prática, portanto, será um recurso de 4 anos
Todas as autoridades europeias de proteção de dados calculam multas corporativas da mesma forma e podem aplicar até 4% da receita anual global da empresa
O que levou a DPA dos Países Baixos a iniciar a investigação sobre a Uber foi o fato de mais de 170 motoristas franceses terem apresentado reclamações à organização francesa de direitos humanos LDH, e a LDH as ter encaminhado à DPA francesa.
Fico curioso sobre com base em que os motoristas suspeitaram disso em primeiro lugar.
Pessoalmente, há muito tempo tive ligação com uma organização dos EUA e, depois, esqueci completamente disso.
Quase 15 anos depois, comecei a receber spam por e-mail vindo do endereço da sede em Washington e pedi que parassem, mas não pararam.
Quando ameacei tomar medidas legais com base no GDPR e solicitei a exclusão, responderam que haviam cumprido, mas, um ano depois, o spam voltou a vir do mesmo endereço.
Foi assim que percebi que eles não tinham excluído minhas informações e as estavam armazenando nos EUA.
Fico curioso sobre como este caso se relaciona com o EU–US Data Privacy Framework.
Eu entendia que esse framework era um substituto do EU–US Privacy Shield, destinado a permitir esse tipo de transferência, então parece que isso não teria sido um problema antes de 2020, na época do Privacy Shield.
Será que entendi errado?
O Privacy Shield foi invalidado em 2020, e a única ferramenta de transferência válida que restou foram as cláusulas contratuais padrão.
A Uber deixou de usar as cláusulas contratuais padrão em agosto de 2021, antes da adoção do novo privacy framework em 2023, e por dois anos transferiu informações extremamente sensíveis sem um mecanismo válido.
[1]: https://www.autoriteitpersoonsgegevens.nl/en/current/dutch-d...
Basicamente, o Framework também é uma tentativa da Comissão, como o antigo Shield, de mostrar: “vejam, consertamos”.
Infelizmente, nas duas ocasiões anteriores, o ECJ entendeu posteriormente que a falta de legislação de proteção de dados pessoais nos EUA não poderia ser corrigida por nenhum framework, e também julgou que o Shield, assim como seu antecessor, na prática não permitia os poderes que alegava permitir.
Este Framework ainda não foi testado pelo ECJ, mas, como a lei dos EUA também não mudou significativamente, o resultado parece óbvio.
Tivemos sorte de viver um breve período em que a internet era de fato uma rede mundial
Uma pessoa na Holanda ou na Nigéria[1] podia usar os melhores serviços de tecnologia do mundo, e as pessoas podiam interagir entre fronteiras com relativa liberdade
Mas isso está chegando ao fim. Com cada feudo querendo sua parte e sua voz, está ficando difícil manter a internet como uma rede global
Foi divertido enquanto durou
[1]: https://www.reuters.com/technology/nigerias-consumer-watchdo...
Se uma empresa agir de forma honrada, não terá nada a temer e poderá fazer negócios facilmente no mundo todo
O problema surge quando ela faz coisas suspeitas que deveriam ter sido ilegais desde o início
O ponto central é que a legislação dos EUA é a mais frouxa, permitindo amplamente violações da privacidade dos cidadãos, e por isso as empresas agora sentem que estão sendo restringidas desnecessariamente
Se as leis dos EUA fossem mais rigorosas, isso não seria um problema e ninguém estaria falando disso
Focar apenas na liberdade da empresa de fazer o que quiser é muito míope e centrado nos EUA. E a liberdade dos usuários de viver sem serem vigiados?
Os efeitos de rede são tão grandes que a lógica de livre mercado do “se não gosta, vá para outro lugar” não se aplica muito bem, e também há um grande problema de transparência, já que é difícil saber de fora como os dados são tratados
Especialmente quando todas as empresas tratam dados como propriedade própria e vaca leiteira
Isso também seria chamado de “feudos querendo sua parte e sua voz”? A pessoa é contra o próprio conceito de lei?
Provavelmente algum ignorante no fim do Império Britânico também teria falado algo assim
Ou será que as empresas que participaram dessa rede não passaram a ter interesse em cercá-la dentro de muros?[2][3]
Ou será que essa rede global não foi remodelada de forma tão ampla por alguns atores dominantes que passou a exigir regulação externa?[4][5]
Claro que não. Não é uma reação a abusos em larga escala da indústria; são apenas senhores locais tentando juntar um pouquinho de poder
[1]: https://en.wikipedia.org/wiki/PRISM
[2]: https://www.eff.org/fr/deeplinks/2013/05/google-abandons-ope...
[3]: https://blockthrough.com/blog/the-walled-gardens-of-the-ad-t...
[4]: https://www.theverge.com/c/23998379/google-search-seo-algori...
[5]: https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Ana...
O que é liberdade? GPL, BSD, balançar o punho, ou não levar um soco no nariz?
Como o processo de apelação leva cerca de 4 anos e a multa fica suspensa até que todos os recursos legais se esgotem, acho que vamos ouvir falar deste caso de novo daqui a 4 anos
A Uber vai tratar isso como “custo de fazer negócios na Europa” e repassar aos preços como markup
O total de multas que a UE aplicou a empresas de tecnologia dos EUA nos últimos anos chegou a US$ 14,8 bilhões: https://loeber.substack.com/p/20-no-more-eu-fines-for-big-te...
Esse Substack é bem bom e mostra claramente que as empresas de tecnologia dos EUA não vão sair da Europa tão cedo, mas que têm muito mais poder nessa relação
Os reguladores estão jogando pesado demais
Mesmo que as big techs dos EUA se retirassem da Europa, exceto no curto prazo, isso poderia ser algo bom para o mercado local
É muito difícil competir com elas, e o mesmo vale até no mercado doméstico dos EUA
Se elas desaparecessem de um mercado grande como a UE, é bem provável que isso estimulasse a concorrência
Mesmo assumindo que a UE não tenha nenhuma capacidade, essa suposição é muito irrealista quando se considera que o melhor modelo atual de geração de imagens e alguns LLMs open source bastante bons vieram da UE
Além disso, vários países europeus, especialmente no Leste Europeu, têm talentos técnicos excelentes, e empresas chinesas também entrariam imediatamente
Então, do ponto de vista da Europa, continua sendo um péssimo acordo