anonym.legal

By · Last updated 2026-06-05

Tornar al BlogGDPR i Compliment

AP Neerlandesa: Multa de 290 milions d'euros a Uber i transferencies

L'AP neerlandesa va emetre la multa de transferencia de dades individual mes gran de la UE: 290 milions d'euros contra Uber el 2024. Aixo es el que requereix el compliment de les transferencies transfrontereres.

June 5, 20267 min llegit
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

L'AP neerlandesa i la multa a Uber

L'agost del 2024, l'AP neerlandesa va multar Uber amb 290 milions d'euros. Uber va enviar dades dels conductors de la UE a servidors dels EUA sense cap base juridica. Aquestes dades incloien llicencies de taxi, verificacions penals, registres medics i registres de viatge.

Uber va transferir les dades despres que Schrems II anulles l'Escut de Privacitat UE-EUA el juliol del 2020. Va mantenir aquestes transferencies durant dos anys. Sense clauses contractuals estandard. Sense cap eina de l'article 46.

Aquesta multa es la mes gran de la UE per una violacio de transferencia de dades. Ocupa el tercer lloc entre totes les multes del GDPR mai emeses. Les fallades de transferencia ara comporten costos enormes. No nomes les violacions.

Vegeu la nostra guia de conformitat del GDPR per a una visio general rapida.

Arees prioritaries d'aplicacio de l'AP

L'AP neerlandesa va rebre mes de 21.400 queixes el 2023. Se centra en tres arees.

Prioritat 1 - Seguiment de treballadors (43% dels casos): Moltes empreses dels Pasos Baixos s'han enfrontat a multes de l'AP per vigilar el seu personal. Les cameres ocultes, les comprovacions massives de correu electronic i el seguiment GPS sense aviso desencadenen accions. La llei laboral neerlandesa afegeix normes addicionals al GDPR.

Prioritat 2 - Transferencies transfrontereres (31% dels casos): Despres de la multa a Uber i una investigacio conjunta amb el DPC d'Irlanda sobre Cloudflare (2023), l'AP va intensificar la supervisio de les transferencies. El sector tecnologic d'Amsterdam enfronta un alt risc aqui. Les empreses del cloud, fintech i startups de creixement rapid estan totes en abast.

Prioritat 3 - Marketing i perfilat (26% dels casos): Aixo cobreix el consentiment de cookies, la publicitat dirigida i el marketing directe. L'AP adopta una visio estricta de l'"interes legitim". Requereix proves escrites amb evidencia clara.

Normes de transferencia despres d'Uber

Avaluacions d'impacte de la transferencia (TIA): L'EDPB requereix una TIA per a cada transferencia a un tercer pais. La TIA ha de demostrar que la destinacio ofereix una proteccio equivalent al dret de la UE. L'AP diu que una TIA ha de respondre quatre preguntes:

  • Quines son les lleis d'acces al pais de destinacio?
  • Fins on arriba el poder dels serveis d'intel.ligencia?
  • Quin es el rastre d'historial de sol.licituds governamentals a l'importador de dades?
  • Quins recursos juridics poden exercir els interessats?

Les clauses contractuals estandard no son suficients per si soles: Les CCE per si soles no satisfan l'article 46. Si la TIA mostra risc d'acces governamental, calen salvaguardes addicionals.

Mesures tecniques addicionals que acepta l'AP:

  • Xifratge on l'importador no te acces a les claus de desxiframent
  • Eliminacio dels identificadors directes abans de la transferencia perque l'importador no pugui vincular les dades a una persona
  • Reduccio de dades abans de la transferencia, eliminant els camps que l'importador no necessita

L'aplicacio d'escriptori sense connexio executa tot el treball al vostre dispositiu. No envia cap dada a l'exterior. Aixo elimina el problema de les transferencies per a aquesta activitat. Vegeu el nostre resum de seguretat i compliment.

Dades de treballadors i dret laboral neerlandes

L'enfocament del 43% de l'AP en el seguiment de treballadors mostra com el GDPR i el dret laboral neerlandes es superposen.

Tres normes s'apliquen a les organitzacions amb seu als Pasos Baixos:

Aprovacio del consell d'empresa: Una empresa amb un consell d'empresa ha d'obtenir la seva aprovacio abans de desplegar qualsevol eina de seguiment. Aixo cobreix eines d'IA, comprovacions de correu electronic i sistemes de presencia.

Adequat per a la finalitat: El seguiment ha de coincidir amb el seu objectiu declarat. El seguiment ocult no esta permes. El seguiment obert ha de ser l'opcio menys intrusiva.

Limitacio de finalitat: Les dades de RRHH recollides per a un objectiu no es poden utilitzar per a un altre. Cal una nova base juridica.

Aquestes normes requereixen tres registres: l'aprovacio del consell, la comprovacio de finalitat i els controls. La nostra llista de verificacio de compliment cobreix els tres.

Deteccio de DCP als Pasos Baixos

Les eines de DCP als Pasos Baixos han de gestionar els formats d'ID locals. Les eines globals estandard sovint els passen per alt:

  • BSN (Burger Service Nummer): ID nacional neerlandes de 9 digits, requereix validacio de suma de comprovacio
  • IBAN (prefix NL): IBAN neerlandes amb la seva propia logica de validacio
  • Codi postal (postcode): El format es 4 digits + espai + 2 lletres
  • DigiD: Codi d'identitat digital del govern
  • Numeros de sanitat: Formats BGZ i EP per als registres de pacients

Una eina generica pot detectar l'IBAN pero no la suma de comprovacio del BSN ni el format del codi postal. Proveu la deteccio del BSN abans de processar dades d'identitat nacional. No assumiu cobertura.

Passos per a les organitzacions neerlandeses

1. Auditoria de transferencies: Llisteu tots els fluxos de dades a tercers pasos. Reviseu les CCE vigents. Executeu TIA per als fluxos clau. Registreu mesures tecniques addicionals on una TIA indica risc.

2. Revisio del seguiment de treballadors: Llisteu totes les eines de seguiment, inclos les eines d'IA. Comproveu els registres d'aprovacio del consell d'empresa. Confirmeu que existeixen comprovacions de finalitat per escrit.

3. Comprovacio de cobertura de DCP: Proveu la deteccio de BSN, codi postal i IBAN a les vostres eines de DCP. Proveu la precisio en documents en neerlandes.

4. Exposicio del sector tecnologic: Les startups han de registrar les decisions que redueixen el risc de transferencia: opcions de cloud de la regio de la UE i de processament local. Els proveïdors de cloud amb configuracions UE-EUA han de documentar les seves eines de transferencia i el seu enfocament TIA.

anonym.legal utilitza centres de dades de Hetzner a la UE amb disseny de zero-coneixement. El servidor mai veu el vostre contingut en text clar. Una violacio completa del servidor nomes produeix text xifrat AES-256-GCM. Necessiteu processament nomes local? L'aplicacio d'escriptori s'executa completament al vostre dispositiu sense connexions externes.

Fonts

Articles Relacionats

GDPR i Compliment

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i Compliment

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i Compliment

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Preparat per protegir les vostres dades?

Comenceu a anonimitzar PII amb més de 285 tipus d'entitats en 48 idiomes.

Comença Prova GratuïtaVeure Funcions

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.