DATA PROTECTION

Uber, maxi-multa dal Garante Privacy: “Poca trasparenza sui dati”

Due sanzioni per un valore complessivo di oltre 2 milioni inflitte per informativa inidonea, trattamento senza consenso e mancata notificazione all’Autorità

19 Mag 2022

Veronica Balocco

uber

Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber Bv, con sede legale ad Amsterdam, e a Uber technologies, con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017.

L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).

Obblighi non rispettati

Con il provvedimento odierno l’Autorità sanziona dunque la società di diritto olandese Uber Bv e la statunitense Uber technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni riguardano in particolare l’inidonea informativa resa agli utenti (in quanto priva dell’indicazione relativa alla contitolarità del trattamento) e “formulata in maniera generica e approssimativa” con “informazioni poco chiare e incomplete” e “di non facile comprensione”. Nell’informativa, infatti, non erano ben specificate le finalità del trattamento, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego. Uber, inoltre, senza aver acquisito un valido consenso, trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100). La multinazionale, infine, non aveva rispettato l’obbligo di notificare all’Autorità il trattamento di dati per finalità di geolocalizzazione, come previsto dalla normativa in vigore prima del nuovo Regolamento Ue.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Nel definire l’ammontare delle sanzioni, applicabile nella stessa misura di 2 milioni e 120mila euro sia a Uber Bv che a Uber technologies, l’Autorità, oltre alla gravità delle violazioni accertate, ha tenuto conto anche del rilevante numero di persone coinvolte e delle condizioni economiche della società.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Aziende

U
Uber

Approfondimenti

D
data breach
P
privacy
S
sanzioni
T
trattamento dati

Articolo 1 di 5