Imponen multa de 100 millones de euros a Yandex Internacional por incumplir el RGPD
Datos de pasajeros y conductores quedaron expuestos donde no debían.
El servicio de transporte de pasajeros Yango, que es la filial internacional de Yandex.Taxi, se vio en el centro de un gran caso sobre datos personales. La Autoridad de Protección de Datos de los Países Bajos determinó que los datos de pasajeros y conductores de Noruega y Finlandia se enviaban a Rusia sin garantías suficientes de seguridad.
Se impuso una multa de 100 millones de euros a la empresa MLU B.V., que gestiona la versión europea de Yango y está registrada en los Países Bajos. A través de la aplicación, los residentes de Noruega y Finlandia solicitan viajes a conductores afiliados al servicio. Según el regulador, MLU transmitía datos personales a empresas rusas sin garantizar el nivel de protección exigido por la normativa europea.
La investigación comenzó a finales de 2023. El regulador neerlandés intervino por la inscripción de MLU en los Países Bajos, y los organismos de supervisión de Noruega y Finlandia se sumaron porque se trataba de datos de residentes de esos países.
La investigación mostró que Yango recopilaba y almacenaba en servidores en Rusia un gran volumen de información sobre clientes y conductores de los países mencionados. Entre los datos había escaneos de permisos de conducir, direcciones particulares, contactos, números de cuentas bancarias, coordenadas exactas, historial de viajes, fotografías, mensajes de chat y números de seguridad social.
En la Unión Europea la transferencia de datos personales fuera de Europa está regulada por el RGPD. A las empresas se les permite enviar dichos datos a otros países solo si existe un nivel de protección comparable o si hay garantías adicionales. Según la Autoridad de Protección de Datos de los Países Bajos, en Rusia no se garantizaba ese nivel y el acceso de las autoridades estatales a los datos podría crear riesgos para las personas.
El director del regulador, Aleid Wolfsen, señaló que la información sensible de pasajeros y conductores requería una protección especialmente estricta, entre otras razones por la ausencia en Rusia de un organismo independiente de protección de la privacidad. La supervisión concluyó que MLU no cumplió esos requisitos.
MLU debe cesar de inmediato la transferencia de datos de residentes de Noruega y Finlandia a Rusia a través de la aplicación Yango. El importe de la multa se calculó teniendo en cuenta la facturación del grupo matriz Yandex. No obstante, la empresa puede impugnar esta decisión.