NEWS

Paesi Bassi: i dati dei clienti del servizio taxi finivano in Russia, multa da 100 milioni di euro per trasferimento illecito

Il trasferimento di dati personali verso Paesi considerati “non adeguati” dal punto di vista della protezione dei dati continua a rappresentare uno dei punti più critici del GDPR. Lo dimostra il caso che ha coinvolto l’app di taxi Yango, sanzionata con una multa da 100 milioni di euro per trasferimenti di dati verso la Russia ritenuti privi delle necessarie garanzie.

L’Autorità olandese per la protezione dei dati, (Autoriteit Persoonsgegevens), ha infatti inflitto la pesante sanzione a MLU, società con sede nei Paesi Bassi che gestisce in Europa l’app di ride-hailing Yango, accusata di aver trasferito dati personali di utenti e autisti finlandesi e norvegesi verso società collegate con sede in Russia senza predisporre adeguate misure di protezione.

L’indagine, avviata nel 2023 in collaborazione con le autorità privacy di Finlandia e Norvegia, si è concentrata sui flussi di dati tra la ex controllata Ridetech e le società russe Yandex LLC e Yandex Taxi. Al centro del caso vi era il timore che le informazioni degli utenti europei potessero diventare accessibili alle autorità russe, anche alla luce di nuove normative introdotte a Mosca che attribuirebbero ai servizi di sicurezza ampi poteri di accesso ai dati del settore taxi.

Secondo quanto emerso dall’istruttoria, dal maggio 2022 una quantità significativa di dati personali sarebbe stata archiviata su server russi. Tra le informazioni trasferite figuravano indirizzi di casa, coordinate di geolocalizzazione, numeri di conto, dati delle patenti di guida, codici identificativi personali e persino conversazioni in chat tra utenti e conducenti.

Il punto centrale della decisione riguarda l’applicazione dell’articolo 45 del GDPR, che consente il trasferimento di dati personali verso Paesi extra UE soltanto in presenza di una decisione di adeguatezza della Commissione europea oppure di garanzie equivalenti in grado di assicurare un livello di tutela sostanzialmente analogo a quello europeo.

Nel caso della Russia, però, una decisione di adeguatezza non esiste e, secondo l’autorità olandese, la società non avrebbe dimostrato di aver adottato misure supplementari sufficienti a neutralizzare il rischio di accesso ai dati da parte delle autorità pubbliche russe.

La vicenda richiama inevitabilmente i principi affermati dalla Corte di Giustizia dell’Unione Europea nella sentenza “Schrems II”, che ha imposto alle aziende europee di valutare concretamente il livello di protezione garantito nei Paesi destinatari dei trasferimenti, andando oltre la semplice firma delle Standard Contractual Clauses. Anche l’utilizzo delle SCC, infatti, non basta se il quadro normativo del Paese terzo consente alle autorità pubbliche un accesso sproporzionato ai dati personali.

Particolarmente dura la posizione espressa dal presidente dell’Autorità olandese, Aleid Wolfsen, secondo cui “in Russia i dati personali non sono protetti come in Europa”, con il rischio concreto che il governo russo possa accedere alle informazioni trasferite. Un rischio considerato ancora più grave alla luce dell’assenza di un’autorità indipendente di controllo paragonabile a quelle europee.

Oltre alla sanzione economica, la MLU è stata anche obbligata a interrompere immediatamente qualsiasi trasferimento di dati degli utenti di Finlandia e Norvegia verso la Russia. La società ha annunciato ricorso, sostenendo che i dati fossero conservati esclusivamente all’interno dell’Unione Europea in forma cifrata e pseudonimizzata e che tutte le misure richieste dal GDPR fossero state implementate correttamente.

Fonte: Autoriteit Persoonsgegevens

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Repubblica di San Marino: Patrizia Gigante nominata nuova Presidente del Garante per la protezione dei dati personali
Next Austria: noyb avvia una class action contro Crif per presunte valutazioni illegali dello score creditizio

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy