Trattamento dei dati senza consenso, un’informativa non adeguata, mancata notificazione all’Autorità: Uber è finita nei guai per poca trasparenza verso circa un milione e mezzo di utenti italiani, motivo per cui il Garante privacy ha imposto una sanzione complessiva di 4 milioni e 240 mila euro, cifra calcolata tenendo conto sia della gravità delle condotte che dell’ingente numero di persone coinvolte.
Per la precisione, le società multate ciascuna per 2 milioni e 120 mila euro sono Uber BV, con sede legale ad Amsterdam, e Uber Technologies Inc con sede legale a San Francisco. Il Garante, come spiegato in una nota ufficiale, ha ritenuto entrambe responsabili delle violazioni alla normativa sulla data protection che sarebbero state commesse nei confronti di autisti e passeggeri italiani.
Privacy, il Garante UE a supporto della compliance nella legislazione europea: ecco le attività
Indice degli argomenti
L’antefatto
L’accertamento è sorto nell’ambito delle verifiche svolte dal Garante su Uber Italy Srl, in seguito al data breach reso noto dalla capofila USA nel 2017, un incidente avvenuto dunque prima che il GDPR venisse pienamente applicato. Erano stati coinvolti 57 milioni di utenti in tutto il mondo: le autorità privacy olandese e inglese avevano comminato sanzioni in base alle normative nazionali. I dati trattati riguardavano informazioni anagrafiche, credenziali di accesso all’applicazione, geolocalizzazione, condivisioni e presentazioni e in generale le relazioni con altri utenti.
Ora il Garante privacy italiano si è mosso per sanzionare le irregolarità verso i cittadini italiani.
Violazioni di Uber, cosa dice il Garante privacy
Alle due società Uber viene contestato, in qualità di contitolari del trattamento, di aver violato il Codice privacy nei confronti di cittadini italiani. Le contestazioni nello specifico sono di varia natura.
Informativa non adeguata
Il Garante privacy ha contestato l’informativa non idonea, in quanto:
- Priva dell’indicazione sulla contitolarità del trattamento dei dati
- Formulata in modo generico e approssimativo
- Con informazioni non complete e poco chiare
- Non facilmente comprensibile.
Il Garante ha rilevato che non erano ben indicate:
- Finalità del trattamento dati
- I diritti degli interessati
- Se gli utenti fossero obbligati o no a fornire i dati
- Le conseguenze in caso non si indicassero i propri dati.
Trattamento senza consenso
Il Garante privacy ha inoltre accertato che i dati di 1.379.00 passeggeri sarebbero stati trattati senza aver prima acquisito un valido consenso. Erano stati profilati basandosi sul rischio di frode e a ognuno era stato assegnato un voto qualitativo, oltre a un indicatore numerico.
Mancata notificazione all’Autorità
Uber inoltre, viene contestato dal Garante privacy, non avrebbe rispettato l’obbligo di notifica all’autorità in relazione al trattamento dati con fini di geolocalizzazione. Una regola prevista prima del GDPR.