anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

AP Olandese: Multa da €290M e Applicazione del GDPR

L'AP olandese ha emesso la più grande multa UE per trasferimento dati — €290M contro Uber. Il BSN (codice fiscale olandese) richiede la validazione Elfproef, assente nel 56% degli strumenti.

June 5, 20269 min di lettura
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

L'Autoriteit Persoonsgegevens (AP) ha multato Uber con €290 milioni nell'agosto 2024. La sanzione riguardava l'invio di dati degli autisti su server statunitensi senza un accordo di trasferimento valido. Nessun altro caso GDPR ha prodotto una multa più elevata per un trasferimento transfrontaliero. Nel 2023, l'AP ha gestito oltre 21.400 reclami — uno dei volumi più alti tra le autorità europee per la protezione dei dati.

Cosa ha rilevato l'AP nel caso Uber

Uber raccoglieva dati degli autisti nei Paesi Bassi e in Francia. I dati comprendevano la cronologia degli spostamenti, documenti d'identità, buste paga, precedenti di guida e documentazione fiscale. Tutto veniva trasferito su server statunitensi. L'AP ha ritenuto il meccanismo di trasferimento non valido.

Tre elementi hanno determinato la decisione:

  • Meccanismo di trasferimento inadeguato: Uber utilizzava le Binding Corporate Rules (BCR). L'AP ha rilevato che non coprivano la portata né la sensibilità dei dati degli autisti coinvolti.
  • Nessuna Transfer Impact Assessment (TIA): Uber non ha dimostrato che la normativa statunitense lasciasse inalterate le protezioni di trasferimento concordate.
  • Dati sensibili per combinazione: Cronologia degli spostamenti, retribuzioni e valutazioni delle prestazioni, considerate insieme, forniscono un quadro dettagliato di ogni autista. L'AP ha trattato questa combinazione come equivalente a dati personali sensibili.

Il caso Uber stabilisce una regola chiara: i dati di dipendenti e collaboratori trasferiti negli USA richiedono la stessa TIA e le stesse misure aggiuntive previste per i dati dei consumatori.

Aree di enforcement dell'AP per il 2025

Aggiornato al 2026

L'AP ha individuato tre settori da monitorare con particolare attenzione nel 2025.

Monitoraggio del personale: Gli strumenti di tracciamento per il lavoro da remoto sono il principale obiettivo. Ciò include log di produttività, acquisizione dello schermo, registrazione dei tasti e strumenti di geolocalizzazione da remoto. Prima di implementare qualsiasi strumento di questo tipo, le aziende devono documentare le ragioni per cui hanno escluso opzioni meno invasive.

Trasferimenti di dati transfrontalieri: Dopo la sentenza Uber, l'AP sta verificando i meccanismi di trasferimento. Rientrano nell'ambito di applicazione le aziende che si affidano a servizi statunitensi, asiatici o di altri paesi privi di decisione di adeguatezza. Qualsiasi azienda che utilizzi strumenti software statunitensi per HR, gestione dei progetti o dati dei clienti deve disporre di una TIA aggiornata.

Decisioni automatizzate: I sistemi di credit scoring tramite IA, i filtri per le assunzioni e i sistemi di valutazione delle prestazioni attivano gli obblighi previsti dall'Articolo 22. L'AP prende di mira le organizzazioni che adottano decisioni automatizzate senza un effettivo passaggio di revisione umana. Devono essere tutelati sia i lavoratori che i consumatori.

Il BSN: un identificativo nazionale protetto

Il Burgerservicenummer (BSN) è un numero identificativo a 9 cifre utilizzato nei Paesi Bassi. Viene validato tramite l'Elfproef (controllo dell'undici). Per eseguire il controllo: si moltiplica ciascuna cifra per un peso da 9 a −1, si sommano i risultati e il totale deve essere divisibile per 11 senza resto.

La Legge sul BSN (Wet algemene bepalingen burgerservicenummer) limita l'uso del BSN a specifici contesti legali: fiscale, sanitario, governativo e paghe dei datori di lavoro. L'utilizzo del BSN al di fuori di tali contesti comporta l'applicazione della Legge sul BSN, cui si aggiunge la responsabilità ai sensi del GDPR.

Perché gli strumenti generici mancano i BSN: Molti strumenti NLP non includono il controllo Elfproef. Senza di esso, qualsiasi stringa di 9 cifre viene segnalata come possibile BSN, generando falsi positivi in documenti finanziari e amministrativi. Anche i BSN con errori di digitazione vengono ignorati: non superano il controllo ma presentano comunque uno schema apparentemente valido. Consulta la nostra guida al rilevamento PII e codici fiscali nazionali UE per un confronto completo tra i formati di identificativo europei.

NER per i testi in olandese

L'olandese (Nederlands) presenta caratteristiche che mettono in difficoltà i modelli addestrati sull'inglese.

Parole composte: In olandese le parole si uniscono. Persoonsgegevens (dati personali) e Burgerservicenummer (numero identificativo del cittadino) sono ciascuna una singola parola. I modelli progettati per l'inglese le segmentano spesso nel punto sbagliato, compromettendo il rilevamento delle entità.

Suffissi nei nomi: I suffissi -je e -tje compaiono nei nomi propri — Annetje, Hansje. I modelli per la rilevazione dei nomi devono gestire sia la forma base che quella abbreviata.

Formati degli indirizzi: I tipi di via includono Straat, Laan, Weg, Plein e Gracht. I codici postali sono composti da quattro cifre e due lettere (esempio: 1234 AB). Ogni codice corrisponde a una singola via, rendendo questi dati più identificativi rispetto alla maggior parte dei codici postali europei.

Formato IBAN: Gli IBAN olandesi sono composti da 18 caratteri: NL + 2 cifre di controllo + codice banca a 4 lettere + numero di conto a 10 cifre. Il paese ha un elevato utilizzo dei pagamenti tramite carta, pertanto i documenti finanziari contengono numerosi IBAN. Per i metodi di assegnazione di punteggi di confidenza tra i vari tipi di identificativo, consulta la guida al rilevamento binario dei PII e punteggi di confidenza.

Checklist tecnica per la conformità all'AP

Per soddisfare gli standard attuali dell'AP, i sistemi di gestione dei dati devono disporre di:

  1. Rilevamento del BSN con Elfproef — il solo pattern matching non è sufficiente
  2. NER in lingua olandese — un modello come spaCy nl_core_news gestisce parole composte e nomi abbreviati
  3. Rilevamento IBAN — formato-specifico, non generico
  4. Registro dei sub-responsabili per tutti i trasferimenti transfrontalieri
  5. TIA per fornitori statunitensi — priorità di audit dell'AP dopo la sentenza Uber

Dopo il caso Uber, una TIA per i fornitori statunitensi è un requisito minimo, non una buona pratica. Per un'analisi completa della sentenza e delle sue implicazioni sui trasferimenti, consulta AP multa Uber e enforcement sui trasferimenti transfrontalieri.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.