Con ordinanza del 24.03.2022, l’Autorità Italiana ha inflitto a Uber B.V. e Uber Technologies Inc. la sanzione complessiva di € 4.240.000 per aver violato gli articoli 13, 23 e 37 del Codice in materia di protezione dei dati personali.
Il procedimento contro Uber è stato avviato d’ufficio dal Garante italiano in seguito ad un data breach verificatosi nel 2016.
Dalla documentazione acquisita, è emerso che il data breach ha coinvolto i dati di circa 57 milioni di utenti in tutto il mondo e, in particolare, che ha riguardato dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), credenziali di accesso all’app, dati di localizzazione e dati relativi alla relazione con altri utenti, come condivisione di viaggi, presentazione di amici e informazioni di profilazione. Sul territorio italiano, l’incidente di sicurezza in questione ha coinvolto i dati di 295.000 utenti, di cui 52.000 autisti e 243.000 passeggeri.
All’esito dell’istruttoria, il Garante ha accertato che l’informativa privacy resa agli utenti, ai sensi dell’art. 13 del Codice, risultava inidonea, in quanto “formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento”.
In particolare, il Garante ha rilevato che era stata predisposta una stessa informativa privacy nei confronti degli autisti e dei passeggeri, fornendo così una rappresentazione indistinta dei trattamenti effettuati, delle relative finalità e senza neppure indicare l’obbligatorietà del conferimento dei dati rispetto alle varie operazioni di trattamento. Inoltre, i ruoli ricoperti da Uber B.V. e Uber Technologies Inc., inquadrati nel rapporto titolare-responsabile del trattamento, non risultavano correttamente qualificati, in quanto entrambe le società avrebbero dovuto essere qualificate come responsabili delle operazioni di trattamento dei dati personali degli utenti.
Il Garante ha poi constatato che il trattamento dei dati idonei a rivelare la posizione geografica degli utenti veniva effettuato in assenza della preventiva notificazione al Garante, adempimento richiesto dal Codice in materia di protezione dei dati personali nella formulazione vigente all’epoca del data breach, ossia quando ancora non era in vigore del GDPR.
In sintesi, oltre che poco chiara, l’informativa privacy è stata ritenuta non idonea a consentire l’esercizio dei diritti degli interessati come, ad esempio, il diritto di aggiornamento o di opposizione al trattamento dei dati.
Nel corso del procedimento, Uber si è difesa affermando di aver sempre fornito ai propri utenti informazioni dettagliate sui trattamenti effettuati, sia tramite la privacy policy costantemente aggiornata che tramite i documenti e i moduli messi a disposizione degli utenti. Inoltre, Uber ha sottolineato di aver avuto contatti con l’Autorità Garante già a partire dall’anno 2015 e che già da quell’anno erano state condivise con il Garante le pratiche seguite dalla società e le informative rese. Ciò nonostante, il Garante non aveva mai messo in discussione le condotte di Uber, né erano mai stati presentati reclami o segnalazioni da parte degli interessati. Anche rispetto ai dati di geolocalizzazione, Uber ha ricordato che si trattava di trattamento ben noto all’Autorità già dal 2015, ma mai contestato in nessun modo.
Tuttavia, le argomentazioni difensive non sono state accolte dal Garante, che le ha ritenute non sufficienti a superare le criticità riscontrate.
Il Garante non ha preso espressamente posizione rispetto all’asserita conoscenza delle pratiche seguite da Uber, né ha motivato l’assenza di precedenti contestazioni nei confronti del gruppo. Ciò nonostante, il Garante ha affermato che le carenze riscontrate nell’informativa privacy rilevano sotto aspetti determinanti per garantire agli interessati la trasparenza e la correttezza dei trattamenti, a prescindere dalla circostanza che non siano state presentate segnalazioni e/o reclami da parte degli interessati stessi.
Nemmeno per quanto concerne il trattamento dei dati di geolocalizzazione il Garante ha condiviso le difese della società. Anche se la notifica al Garante non è più prevista nel Regolamento UE 679/2016 e, quindi, oggi non sarebbe ravvisabile una violazione del GDPR, ad avviso del Garante essa costituiva un adempimento di particolare rilevanza in base alla previgente normativa e tale adempimento non era stato rispettato.
Sulla base di tali considerazioni, il Garante italiano ha ordinato a Uber B.V. e a Uber Technologies Inc. di pagare, ciascuna, la somma di euro 2.120.000,00 a titolo di sanzione amministrativa pecuniaria per le violazioni riscontrate.
Ilaria Feriti