Il Garante della Privacy ha emesso due sanzioni nei confronti di Uber B.V., con sede ad Amsterdam, e Uber Technologies Inc, con sede a San Francisco, da 2 milioni e 120mila euro ciascuna: entrambe le società sono ritenute responsabili di informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Le violazioni sono state riscontrate dal Garante nel corso di accertamenti ispettivi nei confronti di Uber Italy srl, a causa di un data breach denunciato nel 2017 dalla capofila statunitense.
Nel data breach – avvenuto prima dell’applicazione del Regolamento europeo (Gdpr) – erano risultati coinvolti i dati di circa 57 milioni di utenti in tutto il mondo: le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, i dati di localizzazione, le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione). A eseguire le sanzioni erano state l’Autorità privacy olandese e quella inglese, seguendo le rispettive normative nazionali.
Per le due sanzioni di oggi, rivolte alla società olandese Uber BV e alla statunitense Uber Technologies, il Garante ha tenuto conto anche dell’elevato numero di persone coinvolte e delle “condizioni economiche delle società”, – oltre che delle violazioni in sé: in particolare, si legge, l’informativa inidonea e “formulata in maniera generica e approssimativa” dava “informazioni poco chiare e incomplete” e “di non facile comprensione”. Non sarebbero state ben specificate le “finalità del trattamento”, i riferimenti ai diritti degli interessati risultavano “vaghi e lacunosi” e non era neppure chiaro se “gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego”.
Inoltre, senza aver acquisito un “valido consenso”, è emerso che Uber profilava i dati di circa 1.379.00 passeggeri sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo e un parametro numerico. La multinazionale, infine, non ha rispettato l’obbligo di notificare all’Autorità il trattamento di dati utilizzati per la geolocalizzazione, come previsto dalla normativa in vigore prima del nuovo Regolamento Ue.