L'Autoriteit Persoonsgegevens (AP) dei Paesi Bassi ha emesso una multa di €290 milioni contro Uber nell'agosto 2024 per il trasferimento non autorizzato di dati personali dei conducenti dall'UE agli Stati Uniti — la più grande multa GDPR per violazione del trasferimento di dati nella storia dell'UE. Combinata con oltre 21.400 reclami elaborati nel 2023, l'AP Olandese si è affermata come una delle autorità di enforcement più significative d'Europa.
La Multa a Uber: Cosa Ha Scoperto l'AP
Uber ha raccolto dati personali dei conducenti olandesi e francesi di Uber — inclusi dati sulla posizione, comunicazioni, documenti d'identità, registri di guida e informazioni fiscali. Questi dati sono stati trasferiti ai server statunitensi di Uber senza meccanismi di trasferimento adeguati.
Le principali scoperte:
- Meccanismo di trasferimento inadeguato: Uber si è affidata a Binding Corporate Rules (BCR) che l'AP ha trovato inadeguate per il volume e la sensibilità dei dati personali dei conducenti trasferiti
- Nessuna Valutazione d'Impatto sul Trasferimento: Uber non ha condotto una TIA dimostrando che la legge statunitense non minava le protezioni del trasferimento
- I dati dei conducenti sono sensibili: I dati sulla posizione, i dati sui guadagni e le valutazioni delle prestazioni — combinati — consentono una sorveglianza completa dei singoli conducenti. L'AP ha classificato questa combinazione come equivalente a dati personali sensibili che richiedono una protezione maggiore
La multa di €290M è la più grande multa per violazione del trasferimento transfrontaliero in un singolo caso nella storia dell'enforcement dell'UE. Stabilisce che i trasferimenti di dati personali di dipendenti/contrattisti verso gli Stati Uniti richiedono la stessa rigorosa TIA e misure supplementari dei trasferimenti di dati dei consumatori.
Priorità di Enforcement dell'AP Olandese nel 2025
L'AP ha pubblicato le aree di focus per l'enforcement del 2025:
Monitoraggio dei dipendenti (43% dei casi): La tecnologia di sorveglianza del lavoro remoto — tracciamento della produttività, cattura dello schermo, registrazione dei tasti, monitoraggio della posizione dei lavoratori remoti — rimane l'obiettivo principale dell'enforcement dell'AP Olandese. L'AP richiede documentazione di proporzionalità per qualsiasi monitoraggio dei dipendenti: devono essere considerate e documentate alternative meno invasive prima di implementare la tecnologia di sorveglianza.
Trasferimenti di dati transfrontalieri (31% dei casi): Dopo Uber, l'AP sta auditando i meccanismi di trasferimento per le aziende olandesi con operazioni negli Stati Uniti, in Asia e in paesi non adeguati. Le aziende che utilizzano strumenti SaaS statunitensi per HR, gestione progetti o dati dei clienti devono avere TIA aggiornate.
Decisioni automatizzate (26% dei casi): La valutazione automatizzata del credito, lo screening per assunzioni basato su algoritmi e la valutazione delle prestazioni guidata dall'IA creano obblighi ai sensi dell'Articolo 22. L'enforcement dell'AP Olandese si concentra sulle organizzazioni che utilizzano decisioni algoritmiche che influenzano i dipendenti olandesi o i consumatori senza meccanismi adeguati di revisione umana.
Il BSN: Il Principale Identificatore dei Paesi Bassi
Il Burgerservicenummer (BSN) è il numero di servizio ai cittadini olandesi di 9 cifre, che utilizza l'algoritmo di validazione Elfproef (undici-prova) — un controllo di somma ponderata modulo 11.
L'Elfproef: moltiplicare ogni cifra per un peso decrescente (9, 8, 7, 6, 5, 4, 3, 2, -1), sommare i prodotti e il risultato deve essere divisibile per 11.
Il BSN è tra gli identificatori più legalmente protetti nei Paesi Bassi — la Legge sul BSN (Wet algemene bepalingen burgerservicenummer) ne limita l'uso a contesti autorizzati specifici (fiscale, sanitario, servizi governativi, busta paga del datore di lavoro). Le organizzazioni che elaborano il BSN al di fuori dei contesti autorizzati affrontano specifici provvedimenti dell'AP ai sensi della Legge sul BSN oltre al GDPR.
Il problema della rilevazione: Il 56% degli strumenti NLP generici non riesce a convalidare correttamente i numeri BSN (valutazione tecnica dell'AP). Senza implementazione dell'Elfproef:
- Qualsiasi numero di 9 cifre viene segnalato come potenziale BSN — generando enormi falsi positivi in documenti finanziari e amministrativi
- BSN trasposti o errati (comuni nell'inserimento manuale dei dati) vengono trascurati perché non superano l'Elfproef ma corrispondono al formato di 9 cifre
Requisiti NER in Lingua Olandese
L'olandese (Nederlands) ha caratteristiche linguistiche specifiche rilevanti per la rilevazione dei PII:
Parole composte: L'olandese compone ampiamente le parole — "persoonsgegevens" (dati personali), "Burgerservicenummer" (numero di servizio ai cittadini). I tokenizer NLP addestrati su inglese o altre lingue analitiche spesso tokenizzano erroneamente le parole composte olandesi.
Diminutivi: L'olandese utilizza frequentemente forme diminutive (-je, -tje) per i nomi — "Annetje," "Hansje." I modelli di riconoscimento dei nomi devono gestire sia le forme base che i diminutivi.
Formati degli indirizzi olandesi: "Straat," "Laan," "Weg," "Plein," "Gracht" per i tipi di strada. Formato del codice postale: 4 cifre + 2 lettere (es. 1234 AB). I codici postali olandesi sono altamente specifici (strade individuali) — più identificativi rispetto ai codici postali tedeschi o britannici.
Formato IBAN NL: Gli IBAN olandesi iniziano con NL + 2 cifre di controllo + codice bancario di 4 lettere + numero di conto di 10 cifre. I Paesi Bassi hanno uno dei tassi di penetrazione dei pagamenti contactless più elevati d'Europa, il che significa che i documenti finanziari olandesi sono densi di numeri IBAN.
Per la conformità all'AP Olandese: rilevazione del BSN con validazione Elfproef, NER in lingua olandese (spaCy nl_core_news), rilevazione dell'IBAN olandese e gestione documentata dei subprocessori per trasferimenti transfrontalieri sono la base tecnica. Dopo Uber, le Valutazioni d'Impatto sul Trasferimento per le relazioni con i fornitori statunitensi non sono più opzionali — sono obiettivi attivi di audit dell'AP.
Fonti: