anonym.legal

By · Last updated 2026-06-05

Voltar ao BlogGDPR & Conformidade

AP Holandesa e a Multa de €290M da Uber...

A AP Holandesa emitiu a maior multa de transferência de dados da UE — €290M contra a Uber.

June 5, 20269 min de leitura
Dutch APBSN detectionUber GDPR fineNetherlands compliancedata transfer GDPR

A Autoriteit Persoonsgegevens (AP) multou a Uber em 290 milhões de euros em agosto de 2024. A sanção foi pelo envio de dados de motoristas para servidores americanos sem um acordo de transferência válido. Nenhum caso do RGPD produziu uma multa maior por uma transferência transfronteiriça. A AP também processou mais de 21.400 reclamações em 2023. Isso a torna uma das autoridades de proteção de dados mais ativas da Europa.

O que a AP constatou no caso Uber

A Uber coletou dados de motoristas nos Países Baixos e na França. Os dados incluíam histórico de localização, documentos de identidade, registros de pagamento, registros de condução e arquivos fiscais. Tudo foi transferido para servidores americanos. A AP determinou que o método de transferência era inválido.

Três constatações embasaram a decisão:

  • Mecanismo de transferência inadequado: A Uber usou Regras Corporativas Vinculativas (BCRs). A AP concluiu que elas não cobriam o volume nem a sensibilidade dos dados dos motoristas transferidos.
  • Sem Avaliação de Impacto da Transferência (TIA): A Uber não demonstrou que a legislação americana deixava intactas as proteções de transferência acordadas.
  • Dados sensíveis por combinação: Dados de localização, remuneração e pontuações de desempenho juntos formam um retrato detalhado de cada motorista. A AP tratou essa combinação como equivalente a dados pessoais sensíveis.

O caso Uber estabelece uma regra clara. Dados de funcionários e contratados enviados aos EUA precisam da mesma TIA e das mesmas medidas adicionais que os dados dos consumidores.

Áreas prioritárias de aplicação da AP para 2025

Atualizado para 2026

A AP identificou três áreas que está monitorando de perto em 2025.

Monitoramento de funcionários: Ferramentas de rastreamento de trabalho remoto são o principal alvo. Isso inclui registros de produtividade, captura de tela, rastreamento de pressionamentos de teclas e ferramentas de localização remota. Antes de implementar qualquer ferramenta desse tipo, as empresas devem documentar por que descartaram opções menos intrusivas.

Transferências transfronteiriças de dados: Após o julgamento Uber, a AP está verificando os mecanismos de transferência. Empresas que dependem de serviços americanos, asiáticos ou de outros países sem decisão de adequação estão no foco. Qualquer empresa que use ferramentas de software americanas para RH, gestão de projetos ou dados de clientes deve ter uma TIA atualizada.

Decisões automatizadas: Pontuação de crédito algorítmica, filtros de contratação por IA e sistemas de avaliação de desempenho criam obrigações ao abrigo do artigo 22. A AP visa organizações que tomam decisões automatizadas sem uma etapa real de revisão humana. Trabalhadores e consumidores devem ser cobertos.

O BSN: um identificador nacional protegido

O Burgerservicenummer (BSN) é um número de serviço cidadão de 9 dígitos. É validado pelo algoritmo Elfproef (prova de onze). Para realizar a verificação: multiplique cada dígito por um peso decrescente de 9 a −1, some os resultados. O total deve ser divisível por 11.

A Lei BSN (Wet algemene bepalingen burgerservicenummer) limita o uso do BSN a contextos jurídicos específicos. São eles: tributos, saúde, serviços governamentais e folha de pagamento de empregadores. O uso de um BSN fora desses contextos aciona a aplicação da Lei BSN. A responsabilidade ao abrigo do RGPD se soma a isso.

Por que ferramentas genéricas erram os BSNs: Muitas ferramentas de PLN não incluem a verificação Elfproef. Sem ela, qualquer sequência de 9 dígitos é sinalizada como possível BSN. Isso gera falsos alarmes em documentos financeiros e administrativos. BSNs digitados incorretamente também passam despercebidos. Eles falham na verificação, mas ainda correspondem ao padrão. Veja nosso guia sobre detecção de identificadores fiscais europeus e dados pessoais para uma comparação completa de formatos europeus.

NER para textos em neerlandês

O neerlandês (Nederlands) tem características que confundem modelos treinados em inglês.

Palavras compostas: O neerlandês une palavras. Persoonsgegevens (dados pessoais) e Burgerservicenummer (número de identificação cidadã) são cada uma uma palavra única. Modelos desenvolvidos para o inglês muitas vezes as dividem no ponto errado. Isso quebra o reconhecimento de entidades.

Sufixos de nomes: Os sufixos -je e -tje aparecem em nomes próprios — Annetje, Hansje. Os modelos de reconhecimento de nomes precisam lidar com a forma base e a forma curta.

Formatos de endereço: Os tipos de rua incluem Straat, Laan, Weg, Plein e Gracht. Os códigos postais usam quatro dígitos mais duas letras (exemplo: 1234 AB). Cada código corresponde a uma única rua, tornando-o mais identificador do que a maioria dos códigos postais europeus.

Formato IBAN: Os IBANs neerlandeses têm 18 caracteres: NL + 2 dígitos de verificação + código bancário de 4 letras + número de conta de 10 dígitos. O país tem alta adoção de pagamento por aproximação. Documentos financeiros contêm muitos IBANs como resultado. Para métodos de pontuação de confiança em diferentes tipos de identificadores, veja detecção binária de dados pessoais e pontuação de confiança.

Lista de verificação técnica para conformidade com a AP

Para atender aos padrões atuais da AP, os sistemas de dados precisam de:

  1. Detecção de BSN com Elfproef — a correspondência de padrões sozinha não é suficiente
  2. NER em neerlandês — um modelo como spaCy nl_core_news lida com compostos e formas curtas
  3. Detecção de IBAN — sensível ao formato, não genérica
  4. Registros de subprocessadores para todas as transferências transfronteiriças
  5. TIAs para fornecedores dos EUA — uma prioridade ativa de auditoria da AP após o caso Uber

Pós-Uber, uma TIA para fornecedores americanos é um requisito básico, não uma boa prática. Para uma análise completa do julgamento e suas implicações de transferência, veja Multa AP à Uber e aplicação transfronteiriça.

Fontes

Artigos Relacionados

GDPR & Conformidade

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformidade

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformidade

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Pronto para proteger seus dados?

Comece a anonimizar PII com mais de 285 tipos de entidades em 48 idiomas.

Iniciar Teste GratuitoVer Recursos

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.