Informativa inidonea, trattamento dei dati senza consenso e mancate comunicazioni verso l’Autorità per la protezione dei dati personali: sono queste le violazioni riscontrate dal Garante nei confronti sia dell’olandese Uber Bv, che detiene la tecnologia per far funzionare l’app di Uber, sia di Uber technologies, la casa madre dell’azienda con sede a San Francisco.
Entrambe sono state multate per essere le titolari del trattamento dei dati e quindi responsabili delle violazioni del Codice privacy commesse contro gli utenti italiani.
Le indagini sulle aziende sono partite a seguito di un data breach subito da Uber nel 2017. L’attacco informatico era avvenuto prima della piena applicazione del Regolamento europeo sulla protezione dei dati personali (Gdpr), coinvolgendo i dati di circa 57 milioni di utenti in tutto il mondo.
Tra le informazioni personali sottratte a Uber si trovavano i dati anagrafici e di contatto degli utenti e del personale – come numero di telefono, nome, cognome e e-mail – le credenziali di accesso all’app, i dati di localizzazione e le relazioni con gli altri utenti.
Con i controlli avvenuti a seguito della segnalazione del data breach, il Garante ha riscontrato che Uber aveva un’informativa non adeguata sul trattamento dei dati “formulata in maniera generica e approssimativa”, con “informazioni poco chiare e incomplete” e di “non facile comprensione”. Infatti, in questa non erano specificare né le finalità del trattamento dei dati, né se gli utenti fossero o meno obbligati a fornirli o quali fossero le conseguenze di un eventuale rifiuto.
Inoltre, i riferimenti ai diritti degli utenti erano vaghi e lacunosi e, senza aver acquisito un consenso valido e chiaro, Uber ha trattato i dati di circa 2 milioni di passeggeri profilandoli sulla base del cosiddetto “rischio di frode” e assegnando loro giudizi qualitativi e parametri numerici.
Infine, la multinazionale non ha rispettato l’obbligo di notificare all’Autorità il trattamento dei dati per la geolocalizzazione.