anonym.legal

By · Last updated 2026-06-05

Torna al BlogGDPR e Conformità

Autoriteit Persoonsgegevens: Multa Uber da €290M

L'Autorità olandese per la protezione dei dati ha emesso la più grande sanzione individuale UE per un trasferimento illecito di dati — €290M contro Uber nel 2024. Ecco cosa richiede la conformità sui trasferimenti internazionali.

June 5, 20267 min di lettura
Dutch APNetherlands GDPRUber GDPR finecross-border data transferEU data transfer

L'Autorità olandese e la multa a Uber

Nell'agosto 2024, l'Autoriteit Persoonsgegevens (AP) olandese ha sanzionato Uber con €290 milioni. Uber aveva trasferito dati di autisti europei su server statunitensi senza alcuna base giuridica. I dati includevano licenze taxi, verifiche penali, cartelle cliniche e registri di viaggio.

Uber aveva continuato questi trasferimenti dopo che la sentenza Schrems II aveva invalidato il Privacy Shield UE-USA nel luglio 2020, per circa due anni. Senza Clausole Contrattuali Standard. Senza alcun meccanismo ai sensi dell'Articolo 46.

Questa è la più grande multa UE mai comminata per una violazione relativa ai trasferimenti di dati, la terza per importo nella storia del GDPR. I trasferimenti illeciti comportano ora costi enormi — non solo le violazioni dei dati in senso stretto.

Consulta la nostra guida alla conformità GDPR per una panoramica rapida.

Priorità di enforcement dell'AP

Nel 2023 l'AP ha ricevuto oltre 21.400 reclami. Si concentra su tre aree principali.

Priorità 1 — Monitoraggio dei lavoratori (43% dei casi): Molte aziende nei Paesi Bassi hanno ricevuto sanzioni dall'AP per il monitoraggio dei dipendenti. Telecamere nascoste, controllo massivo delle email e tracciamento GPS senza notifica attivano l'intervento dell'autorità. Il diritto del lavoro olandese aggiunge regole aggiuntive rispetto al GDPR.

Priorità 2 — Trasferimenti internazionali (31% dei casi): Dopo la multa a Uber e un'indagine congiunta con la DPC irlandese su Cloudflare (2023), l'AP ha intensificato la supervisione sui trasferimenti. Il settore tech di Amsterdam è particolarmente esposto: aziende cloud, fintech e startup in forte crescita rientrano tutte nell'ambito di applicazione.

Priorità 3 — Marketing e profilazione (26% dei casi): Questa area copre consenso ai cookie, targeting pubblicitario e direct marketing. L'AP adotta un'interpretazione rigorosa dell'"interesse legittimo", richiedendo test documentati con evidenze concrete.

Regole sui trasferimenti dopo Uber

Transfer Impact Assessment (TIA): L'EDPB richiede un TIA per ogni trasferimento verso un paese terzo. Il TIA deve dimostrare che il paese destinatario garantisce una protezione equivalente al diritto europeo. Secondo l'AP, un TIA deve rispondere a quattro domande:

  • Quali sono le leggi sull'accesso ai dati nel paese di destinazione?
  • Qual è l'estensione dei poteri delle agenzie di intelligence?
  • Qual è la storia delle richieste governative al soggetto importatore dei dati?
  • Quali strumenti di ricorso sono disponibili per gli interessati?

Le Clausole Contrattuali Standard da sole non bastano: Le SCC non soddisfano autonomamente i requisiti dell'Articolo 46. Se il TIA evidenzia rischi di accesso governativo, sono necessarie misure di protezione aggiuntive.

Misure tecniche aggiuntive accettate dall'AP:

  • Crittografia in cui il soggetto importatore non ha accesso alle chiavi di decrittazione
  • Rimozione degli identificatori diretti prima del trasferimento, in modo che il soggetto importatore non possa ricondurre i dati a una persona
  • Riduzione dei dati prima del trasferimento, eliminando i campi non necessari per il soggetto importatore

La Desktop App offline elabora tutto sul tuo dispositivo senza inviare dati all'esterno. Questo elimina la problematica dei trasferimenti per tali attività. Consulta la nostra panoramica sulla sicurezza e la conformità.

Dati dei dipendenti e diritto del lavoro olandese

Il 43% dei casi dell'AP che riguarda il monitoraggio dei lavoratori dimostra quanto GDPR e diritto del lavoro olandese si intersechino.

Tre regole si applicano alle organizzazioni con sede nei Paesi Bassi:

Approvazione del consiglio di fabbrica: Le aziende dotate di un ondernemingsraad devono ottenerne l'approvazione prima di introdurre qualsiasi strumento di monitoraggio, inclusi sistemi di IA, controllo delle email e sistemi di rilevamento presenze.

Proporzionalità: Il monitoraggio deve essere adeguato alla finalità dichiarata. Il monitoraggio occulto non è consentito. Quello palese deve essere l'opzione meno invasiva.

Limitazione delle finalità: I dati HR raccolti per una finalità non possono essere utilizzati per un'altra. È necessaria una nuova base giuridica.

Queste regole richiedono tre tipi di documenti: l'approvazione del consiglio, la verifica di proporzionalità e i controlli adottati. La nostra checklist di conformità copre tutti e tre.

Rilevamento dei PII nei Paesi Bassi

Gli strumenti PII nei Paesi Bassi devono riconoscere i formati di identificativo locali. Gli strumenti generici spesso non li rilevano:

  • BSN (Burger Service Nummer): Numero di identità nazionale olandese a 9 cifre — richiede validazione del checksum
  • IBAN (prefisso NL): IBAN olandese con logica di validazione propria
  • Codice postale (postcode): Formato 4 cifre + spazio + 2 lettere
  • DigiD: Codice di identità digitale governativo
  • Numeri sanitari: Formati BGZ e EP per i dati dei pazienti

Uno strumento generico può rilevare l'IBAN ma non riuscire a validare il checksum del BSN o il formato del codice postale. Prima di trattare dati di identità nazionale, esegui test specifici sul rilevamento del BSN. Non dare per scontata la copertura.

Passi pratici per le organizzazioni olandesi

1. Audit dei trasferimenti: Censire tutti i flussi di dati verso paesi terzi. Verificare le SCC in uso. Effettuare TIA per i flussi principali. Documentare le misure tecniche aggiuntive dove un TIA evidenzia rischi.

2. Revisione del monitoraggio dei dipendenti: Censire tutti gli strumenti di monitoraggio, inclusi quelli basati su IA. Verificare la presenza dei verbali di approvazione del consiglio di fabbrica. Confermare l'esistenza per iscritto delle verifiche di proporzionalità.

3. Verifica della copertura PII: Testare il rilevamento di BSN, codici postali e IBAN negli strumenti PII in uso. Testare l'accuratezza su documenti in lingua olandese.

4. Esposizione del settore tech: Le startup dovrebbero documentare le scelte che riducono il rischio di trasferimento — cloud in regione UE e opzioni di elaborazione locale. I fornitori cloud con configurazioni UE-USA dovrebbero documentare i propri strumenti per i trasferimenti e l'approccio ai TIA.

anonym.legal utilizza i data center europei di Hetzner con un'architettura zero-knowledge. Il server non vede mai il contenuto in chiaro. Un'eventuale violazione completa del server produce solo testo cifrato AES-256-GCM. Hai bisogno di elaborazione esclusivamente locale? La Desktop App funziona interamente sul tuo dispositivo senza connessioni esterne.

Fonti

Articoli Correlati

GDPR e Conformità

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR e Conformità

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR e Conformità

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto a proteggere i tuoi dati?

Inizia ad anonimizzare i PII con oltre 285 tipi di entità in 48 lingue.

Inizia Prova GratuitaVisualizza Funzionalità

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.