Il Garante della privacy ha comminato due sanzioni di 2 milioni e 120 mila euro ciascuna a Uber B.V. (che detiene la tecnologia per far funzionare l’app di Uber) e a Uber Technologies Inc (la casa madre dell’azienda con sede a San Francisco).
Le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi presso Uber Italy srl, iniziati in seguito di un data breach del 2017, sono: l’utilizzo di un’informativa non idonea, l’aver trattato i dati trattati senza il consenso e la mancata notificazione all’Autorità. Il tutto ha coinvolto oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri.
L’informativa resa agli utenti era inidonea perché priva dell’indicazione relativa alla contitolarità del trattamento da parte di Uber BV e Uber Technologies, inoltre era formulata in maniera generica, approssimativa, con informazioni incomplete. Nell’informativa, per esempio, non venivano specificate le finalità del trattamento e non risultava chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né tantomeno quali fossero le conseguenze di un eventuale diniego. Senza l’acquisizione di un valido consenso, Uber trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100). Infine, la multinazionale non aveva rispettato l’obbligo, previsto dalla normativa in vigore prima del nuovo Regolamento Ue, di notificare all’Autorità il trattamento di dati per finalità di geolocalizzazione.
L’attacco informatico del 2017, avvenuto prima della piena applicazione del Regolamento europeo sulla protezione dei dati personali (Gdpr), ha quindi coinvolto i dati di circa 57 milioni di utenti in tutto il mondo e tra le informazioni sottratte a Uber risultavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).
Con il provvedimento odierno l’Autorità sanziona la società di diritto olandese Uber BV e la statunitense Uber Technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Nel definire l’ammontare delle sanzioni l’Autorità, oltre alla gravità delle violazioni, ha tenuto conto anche del rilevante numero di persone coinvolte e delle condizioni economiche della società.
