A Autoriteit Persoonsgegevens (AP) da Holanda emitiu uma multa de €290 milhões contra a Uber em agosto de 2024 por transferência não autorizada de dados pessoais de motoristas da UE para os EUA — a maior multa do GDPR por violação de transferência de dados na história da UE. Combinado com mais de 21.400 reclamações processadas em 2023, a AP Holandesa se estabeleceu como uma das autoridades de aplicação mais importantes da Europa.
A Multa da Uber: O que a AP Descobriu
A Uber coletou dados pessoais de motoristas holandeses e franceses — incluindo dados de localização, comunicações, documentos de identidade, registros de condução e informações fiscais. Esses dados foram transferidos para os servidores da Uber nos EUA sem mecanismos de transferência adequados.
As principais descobertas:
- Mecanismo de transferência inadequado: A Uber confiou em Regras Corporativas Vinculativas (BCRs) que a AP considerou inadequadas para o volume e a sensibilidade dos dados pessoais dos motoristas sendo transferidos
- Nenhuma Avaliação de Impacto de Transferência: A Uber não conseguiu realizar uma TIA demonstrando que a legislação dos EUA não comprometia as proteções de transferência
- Os dados dos motoristas são sensíveis: Dados de localização, dados de ganhos e avaliações de desempenho — combinados — permitem uma vigilância abrangente dos motoristas individuais. A AP classificou essa combinação como equivalente a dados pessoais sensíveis que requerem proteção reforçada
A multa de €290M é a maior multa por violação de transferência de dados transfronteiriça em um único caso na história da aplicação da UE. Ela estabelece que as transferências de dados pessoais de funcionários/contratados para os EUA requerem a mesma TIA rigorosa e medidas suplementares que as transferências de dados de consumidores.
Prioridades de Aplicação da AP Holandesa em 2025
A AP publicou suas áreas de foco de aplicação para 2025:
Monitoramento de funcionários (43% dos casos): A tecnologia de vigilância do trabalho remoto — rastreamento de produtividade, captura de tela, registro de teclas, monitoramento de localização de trabalhadores remotos — continua sendo o principal alvo de aplicação da AP Holandesa. A AP exige documentação de proporcionalidade para qualquer monitoramento de funcionários: alternativas menos intrusivas devem ser consideradas e documentadas antes da implementação da tecnologia de vigilância.
Transferências de dados transfronteiriças (31% dos casos): Após a Uber, a AP está auditando mecanismos de transferência para empresas holandesas com operações nos EUA, na Ásia e em países não adequados. Empresas que utilizam ferramentas SaaS dos EUA para RH, gerenciamento de projetos ou dados de clientes devem ter TIAs atualizadas.
Tomada de decisões automatizadas (26% dos casos): A pontuação de crédito automatizada, a triagem de contratação baseada em algoritmos e a avaliação de desempenho impulsionada por IA criam obrigações do Artigo 22. A aplicação da AP Holandesa se concentra em organizações que usam decisões algorítmicas que afetam funcionários ou consumidores holandeses sem mecanismos adequados de revisão humana.
O BSN: O Identificador Primário dos Países Baixos
O Burgerservicenummer (BSN) é o número de serviço ao cidadão de 9 dígitos dos Países Baixos, utilizando o algoritmo de validação Elfproef (onze-prova) — uma soma ponderada de verificação de módulo 11.
O Elfproef: multiplique cada dígito por um peso decrescente (9, 8, 7, 6, 5, 4, 3, 2, -1), some os produtos e o resultado deve ser divisível por 11.
O BSN está entre os identificadores mais legalmente protegidos nos Países Baixos — a Lei do BSN (Wet algemene bepalingen burgerservicenummer) restringe seu uso a contextos autorizados específicos (impostos, saúde, serviços governamentais, folha de pagamento do empregador). Organizações que processam BSN fora de contextos autorizados enfrentam aplicação específica da AP sob a Lei do BSN, além do GDPR.
O problema da detecção: 56% das ferramentas genéricas de PNL falham em validar corretamente os números do BSN (avaliação técnica da AP). Sem a implementação do Elfproef:
- Qualquer número de 9 dígitos é sinalizado como potencial BSN — gerando enormes falsos positivos em documentos financeiros e administrativos
- BSNs transpostos ou com erro (comuns na entrada manual de dados) são perdidos porque falham no Elfproef, mas correspondem ao formato de 9 dígitos
Requisitos de NER em Língua Holandesa
O holandês (Nederlands) possui características linguísticas específicas relevantes para a detecção de PII:
Palavras compostas: O holandês compõe extensivamente palavras — "persoonsgegevens" (dados pessoais), "Burgerservicenummer" (número de serviço ao cidadão). Tokenizadores de PNL treinados em inglês ou outras línguas analíticas frequentemente tokenizam incorretamente os compostos holandeses.
Diminutivos: O holandês frequentemente usa formas diminutivas (-je, -tje) para nomes — "Annetje," "Hansje." Modelos de reconhecimento de nomes devem lidar tanto com as formas base quanto com os diminutivos.
Formatos de endereço holandeses: "Straat," "Laan," "Weg," "Plein," "Gracht" para tipos de rua. Formato do código postal: 4 dígitos + 2 letras (por exemplo, 1234 AB). Os códigos postais holandeses são altamente específicos (ruas individuais) — mais identificáveis do que os códigos postais alemães ou britânicos.
Formato IBAN NL: Os IBANs holandeses começam com NL + 2 dígitos de verificação + código bancário de 4 letras + número da conta de 10 dígitos. Os Países Baixos têm uma das taxas mais altas de penetração de pagamentos sem contato da Europa, o que significa que documentos financeiros holandeses são densos em números de IBAN.
Para conformidade com a AP Holandesa: detecção de BSN com validação Elfproef, NER em língua holandesa (spaCy nl_core_news), detecção de IBAN holandês e gestão documentada de subprocessadores para transferências transfronteiriças são a base técnica. Após a Uber, as Avaliações de Impacto de Transferência para relacionamentos com fornecedores dos EUA não são mais opcionais — elas são alvos ativos de auditoria da AP.
Fontes: