garante privacy uber

Uber: sanzioni da 4 milioni e 240 mila euro dal Garante Privacy

Uber, la società che ormai sta diventando famosa in tutto il mondo per i suoi servizi di trasporto privato su auto con conducente, è stata condannata dal Garante Privacy italiano, a pagare due sanzioni di 2 milioni e 120 mila euro ognuna. I motivi? Una scarsa trasparenza del trattamento dei dati personali di oltre un milione e mezzo di utenti italiani. Ma andiamo con ordine.

Garante Privacy sanziona Uber
Il Garante Privacy sanziona Uber in materia di trattamento dei dati personali

Come si è arrivati alla sanzione?

A seguito di un data breach (ossia una violazione di sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati) avvenuto nell’autunno del 2016 e rispetto ai dati di utenti e autisti di Uber, il Garante Privacy, nell’aprile 2018 (1 anno e mezzo dopo), ha effettuato un’ispezione presso la sede di Milano di Uber Italy S.r.l. e ha avviato un procedimento nei confronti di Uber B.V. (con sede legale ad Amsterdam) e Uber Technologies Inc (con sede legale a San Francisco).

Quali violazioni ha riscontrato il Garante della Privacy?

Tra le violazioni contestate, abbiamo:

  1. Non corretta individuazione dei ruoli di Uber B.V. e Uber Technologies Inc.

Partiamo dal presupposto che Uber B.V. era qualificata come titolare del trattamento, mentre Uber Technologies Inc. come responsabile esterno del trattamento.

Dov’è il problema?

Il Titolare decide finalità e modalità del trattamento, mentre il Responsabile esterno segue semplicemente le istruzioni del Titolare.

Dall’ispezione, invece, è emerso che Uber B.V. ha incaricato Uber Technologies Inc. di “decidere e implementare” le misure di sicurezza tecniche e organizzative necessarie alla protezione dei dati personali relativi a passeggeri ed autisti. A questo punto Uber Technologies Inc. diventa a tutti gli effetti un co-titolare del trattamento e non un semplice responsabile esterno. Ma non è finita qui.

Il trattamento dei dati personali

2. Informativa sul trattamento dei dati personali resa agli utenti inidonea, in quanto “formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento”. In particolare:

  • mancata indicazione della contitolarità di Uber B.V. e Uber Technologies Inc. dei trattamenti effettuati;
  • descrizione generica e approssimativa delle finalità del trattamento, necessariamente diverse tra utenti e autisti;
  • mancata indicazione dell’obbligatorietà del conferimento dei dati, rispetto alle varie operazioni poste in essere, e delle conseguenze dell’eventuale rifiuto a fornirli;
  • carenti informazioni circa i diritti degli interessati, con particolare riferimento alla mancata indicazione del diritto di aggiornamento dei propri dati personali e del diritto ad opporsi al trattamento per motivi legittimi. 

3. Dati trattati senza consenso per la finalità di prevenzione del c.d. “rischio frode”

Uber non acquisiva il necessario consenso per il trattamento dei dati per la finalità relativa all’utilizzo di un indicatore del cd. “rischio frode”, riportato sui profili di circa 1.379.000 passeggeri, e consistente nell’assegnazione di un giudizio qualitativo (es. “low”) e di un parametro numerico (da 1 a 100).

La geolocalizzazione

4. Mancata notificazione al Garante del trattamento di geolocalizzazione

Con riferimento alla geolocalizzazione, la disciplina applicabile al tempo dell’accertamento (vecchio Codice Privacy italiano) prevedeva l’obbligo di preliminare notificazione del trattamento al Garante, che Uber non aveva notificato.

Che sanzioni ha applicato il Garante?

Come abbiamo visto, il Garante privacy ha sanzionato sia Uber B.V. che Uber Technologies Inc. con una multa da € 2.120.000 ciascuna, per un totale di € 4.240.000, per le medesime violazioni.

In sostanza, il Garante ha applicato due volte, su due contitolari del trattamento, la sanzione per la stessa condotta in violazione della normativa privacy applicabile al momento delle violazioni.

Questa circostanza potrebbe indurre altre società ad evitare trattamenti in contitolarità con altre società del proprio gruppo proprio al fine di evitare l’applicazione di doppie sanzioni.

Vale la pena segnalare che gli altri Garanti privacy europei che hanno sanzionato Uber hanno applicato un’unica sanzione. Il che evidenzia un grave problema di incoerenza nell’approccio adottato dai diversi Garanti europei nei confronti della medesima situazione.

Cosa deve preoccuparci del provvedimento in questione?

Ci sono diversi aspetti preoccupanti della vicenda che ha coinvolto Uber:

  • Da un episodio di data breach può scaturire un’indagine del Garante privacy sull’intero sistema di compliance aziendale di una società;
  • La decisione definitiva in merito alle sanzioni può arrivare anche 4 anni dopo l’ispezione da parte del Garante (nel caso di Uber l’ispezione è avvenuta nel 2018 e il provvedimento definitivo nel 2022), determinando un’inaccettabile incertezza del diritto, condizionando le scelte delle aziende e ostacolando, di conseguenza, l’operatività delle stesse;
  • Il Garante può applicare due volte, su due contitolari, la sanzione calcolata per un’unica condotta violativa.