anonym.legal

By · Last updated 2026-06-06

Volver al BlogGDPR y Cumplimiento

AP Holandés: La multa de €290M a Uber y por qué las...

La AP holandesa emitió la mayor multa individual de transferencia de datos de la UE: €290M contra Uber en 2024.

June 6, 20267 min de lectura
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

La AP Holandesa y la Multa a Uber

En agosto de 2024, la Autoriteit Persoonsgegevens (AP) holandesa multó a Uber con 290 millones de euros. Uber había transferido datos de conductores europeos a servidores estadounidenses sin base legal. Esos datos incluían licencias de taxi, antecedentes penales, registros médicos e historiales de viajes.

Uber trasladó los datos tras la sentencia Schrems II, que anuló el Escudo de Privacidad UE-EE. UU. en julio de 2020. Las transferencias continuaron durante dos años. Sin cláusulas contractuales tipo. Sin ningún instrumento del artículo 46.

Esta multa es la mayor de la UE por una infracción de transferencia de datos. Ocupa el tercer lugar entre todas las multas del RGPD. Los fallos en las transferencias tienen ahora un coste enorme. No solo las brechas de datos.

Consulte nuestra guía de conformidad con el RGPD para una visión general rápida.

Prioridades de Actuación de la AP

La AP recibió más de 21.400 reclamaciones del RGPD en 2023. Se centra en tres áreas.

Prioridad 1 — Vigilancia de empleados (43 % de los casos): Muchas empresas neerlandesas han recibido multas de la AP por vigilar a su personal. Las cámaras ocultas, los controles masivos de correos y el seguimiento GPS sin aviso activan medidas. El derecho laboral neerlandés añade normas adicionales al RGPD.

Prioridad 2 — Transferencias transfronterizas (31 % de los casos): Tras la multa a Uber y una investigación conjunta con la DPC irlandesa sobre Cloudflare (2023), la AP reforzó la supervisión de transferencias. El sector tecnológico de Ámsterdam tiene una alta exposición. Las empresas de nube, fintech y startups de alto crecimiento están todas en el punto de mira.

Prioridad 3 — Marketing y elaboración de perfiles (26 % de los casos): Esto cubre el consentimiento para cookies, la segmentación publicitaria y el marketing directo. La AP tiene una visión estricta del "interés legítimo". Exige pruebas escritas con evidencia clara.

Normas de Transferencia Tras Uber

Evaluaciones de Impacto de Transferencia (TIA): El CEPD exige una TIA para cada transferencia a un tercer país. La TIA debe demostrar que el país de destino ofrece una protección equivalente a la del derecho de la UE. La AP dice que una TIA debe responder a cuatro preguntas:

  • ¿Cuáles son las leyes de acceso de las autoridades en el país de destino?
  • ¿Hasta dónde llegan los servicios de inteligencia?
  • ¿Cuál es el historial de solicitudes gubernamentales al importador de datos?
  • ¿Qué recursos legales tienen los interesados?

Cláusulas contractuales tipo — no suficientes por sí solas: Las CCT por sí solas no satisfacen el artículo 46 si la TIA muestra riesgo de acceso gubernamental. Entonces se requieren garantías adicionales.

Medidas técnicas adicionales que acepta la AP:

  • Cifrado en el que el importador no tiene acceso a las claves de descifrado
  • Eliminación de identificadores directos antes de la transferencia para que el importador no pueda vincular los datos a una persona
  • Reducción de datos antes de la transferencia, eliminando campos que el importador no necesita

La aplicación Desktop sin conexión funciona en su propio dispositivo. No envía datos al exterior. Esto elimina el problema de transferencia para esa actividad. Vea nuestra visión general de seguridad y cumplimiento.

Datos de Empleados y Derecho Laboral Neerlandés

El 43 % del enfoque de la AP en la vigilancia de empleados muestra cómo se superponen el RGPD y el derecho laboral neerlandés.

Tres normas aplican a las organizaciones con sede en los Países Bajos:

Aprobación del comité de empresa: Una empresa con comité de empresa (Ondernemingsraad) debe obtener su aprobación antes de desplegar cualquier herramienta de vigilancia. Esto cubre herramientas de IA, controles de correo y sistemas de asistencia.

Proporcionalidad: La vigilancia debe ajustarse a su finalidad declarada. La vigilancia encubierta no está permitida. La vigilancia abierta debe ser la opción menos intrusiva.

Limitación de finalidad: Los datos de RR. HH. recopilados para un fin no pueden usarse para otro. Se necesita una nueva base legal.

Estas normas requieren tres documentos: la aprobación del comité, la verificación de finalidad y los controles. Nuestra lista de verificación de cumplimiento cubre los tres.

Detección de PII en los Países Bajos

Las herramientas de PII en los Países Bajos deben manejar formatos de ID locales. Las herramientas globales estándar suelen pasarlos por alto:

  • BSN (Burger Service Nummer): ID nacional neerlandés de 9 dígitos — requiere validación de suma de verificación
  • IBAN (prefijo NL): IBAN neerlandés con su propia lógica de validación
  • Código postal (postcode): Formato: 4 dígitos + espacio + 2 letras
  • DigiD: Código de identidad digital del Gobierno
  • Números de salud: Formatos BGZ y EP para registros de pacientes

Una herramienta genérica puede detectar el IBAN pero no la suma de verificación del BSN o el formato de código postal. Compruebe la detección del BSN antes de procesar datos de identidad nacional. No dé la cobertura por sentada.

Pasos para Organizaciones en los Países Bajos

1. Auditoría de transferencias: Listar todos los flujos de datos hacia terceros países. Revisar las CCT vigentes. Realizar TIAs para flujos clave. Documentar medidas técnicas adicionales donde una TIA señale riesgo.

2. Revisión de la vigilancia de empleados: Listar todas las herramientas de vigilancia, incluida la IA. Comprobar los registros de aprobación del comité de empresa. Confirmar que las verificaciones de finalidad existen por escrito.

3. Comprobación de cobertura de PII: Probar la detección de BSN, código postal e IBAN en sus herramientas de PII. Probar la precisión en documentos en neerlandés.

4. Exposición del sector tecnológico: Las startups deben documentar las decisiones que reduzcan el riesgo de transferencia — nube en zona UE y opciones de procesamiento local. Los proveedores con configuraciones UE-EE. UU. deben documentar sus herramientas de transferencia y el enfoque TIA.

anonym.legal usa centros de datos Hetzner con sede en la UE y diseño de conocimiento cero. El servidor nunca ve su contenido en texto claro. Una brecha completa del servidor solo produce texto cifrado AES-256-GCM. ¿Necesita procesamiento solo local? La aplicación Desktop funciona completamente en su dispositivo sin conexiones externas.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.