28 Gen Il caso UBER: il Garante per la protezione dei dati avvia un procedimento sanzionatorio
Premessa
Uber Tecnologies Inc (in seguito “Uber”), è una società con sede in U.S.A. che fornisce un servizio di trasporto automobilistico privato attraverso un’applicazione mobile che mette in collegamento diretto passeggeri ed autisti.
Il 21 novembre 2017, Uber, secondo quanto riportato dal Garante per la protezione dei dati personali (in seguito “Garante”), ha reso pubblico un incidente di sicurezza, verificatosi nell’autunno del 2016, che ha comportato una violazione delle informazioni (c.d. “Data breach”) trattate dalla Società concernenti passeggeri e autisti. Il Data breach ha coinvolto i dati personali di circa 57 milioni di utenti in tutto il mondo, interessando, per lo più, dati identificativi e di contatto (indirizzo email e numero di cellulare) e informazioni concernenti la localizzazione, l’account (username e password in formato “hashed” e “salted”) e il numero della patente di guida (in quest’ultima circostanza con esclusivo riferimento agli autisti)[1]. A seguito del data breach, il Garante ha ritenuto opportuno avviare un procedimento istruttorio da cui sono emerse varie irregolarità in relazione al trattamento dei dati degli utenti italiani.
Questioni principali
Dall’istruttoria sono emerse le seguenti violazioni compiute da Uber: un’informativa incompleta, i dati personali dei clienti trattati senza un valido consenso e la mancata notifica del trattamento di geolocalizzazione.
In particolare, il Garante ha rilevato che:
- nell’informativa non erano sufficientemente specificate le finalità del trattamento, i riferimenti ai diritti dell’interessato apparivano generici e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati personali, né quali fossero le eventuali conseguenze in caso di diniego;
- Uber ha trattato senza un idoneo consenso i dati dei passeggeri per poterli profilare sulla base di un indicatore di rischio frode;
- Uber non ha rispettato l’obbligo di notificare all’Autorità il trattamento dei dati per finalità di geolocalizzazione, così come era previsto dalla normativa in vigore prima del nuovo Regolamento Ue sulla protezione dei dati personali, (“GDPR”).
Inoltre, in relazione all’ambito soggettivo, si attribuisce – erroneamente – titolarità esclusiva in capo ad Uber B.V per i dati relativi ad “utenti che risiedono al di fuori degli Stati Uniti”. Nel concreto a seguito di una serie di elementi oggetto di approfondimento da parte dal Garante, si rende necessaria una diversa qualificazione del rapporto esistente tra Uber Technologies Inc. e Uber B.V., che dovrebbe tradursi in termini di contitolarità del trattamento, determinando i due soggetti finalità e delle modalità del trattamento. Tale riqualificazione dei rapporti tra Uber B.V. e Uber Technologies Inc. ha immediate ripercussioni sulla conformità alla normativa di protezione dei dati dell’informativa rilasciata agli utenti, considerato che quest’ultima, nella versione datata 1° novembre 2017, prevede che, “per gli utenti che risiedono negli Stati Uniti, il [titolare] del trattamento dei dati raccolti da Uber o dalle sue affiliate è Uber Technologies Inc.”, mentre per “gli utenti che risiedono al di fuori degli Stati Uniti il [titolare] del trattamento dei dati è Uber B.V.” (v. Informativa del 1 novembre 2017). Tale modello non è pertanto correttamente formulato in quanto avrebbe dovuto fornire, per le ragioni sopra esposte, la chiara indicazione dell’ambito di circolazione dei dati nonché del rapporto di contitolarità del trattamento. Inoltre, in termini più generali, l’informativa resa agli utenti è formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento.
Mentre per gli ulteriori adempimenti posti in capo al titolare del trattamento, si rileva che, con riferimento al trattamento dei dati idonei a rivelare la posizione geografica degli utenti non risulta essere stata effettuata al Garante la notificazione ai sensi dell’art. 37, comma 1, lett. a) del D.lgs. 196/2003 (“Codice Privacy”).
Implicazioni pratiche
Pertanto, alla luce delle risultanze istruttorie, il Garante ha rilevato ai sensi dell’art. 58 del GDPR l’illiceità del trattamento posto in essere in vigenza della Direttiva 95/46/CE e del Codice Privacy da Uber B.V. e Uber Technologies Inc., e si riserva, con autonomo procedimento, di valutare la contestazione delle violazioni amministrative concernenti i profili circa l’inidonea informativa (artt. 13 e 161 del Codice Privacy) resa da Uber, la mancata acquisizione di un valido consenso degli interessati in relazione ai dati trattati ai fini dell’individuazione dell’indice di rischio frode (artt. 23 e 162, comma 2-bis del Codice Privacy), nonché la mancata notificazione al Garante dei trattamenti dei dati idonei a rivelare la posizione geografica degli utenti (artt. 37, comma 1, lett. a) e 163 del Codice Privacy).
[1] Provvedimento del Garante per la protezione dei dati personali, n. 498 del 13 dicembre 2018 (doc.web. n. 9069046).