Poca trasparenza nel trattamento dei dati di oltre 1 milione e mezzo di utenti italiani
Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017.
L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).
Con il provvedimento odierno l’Autorità sanziona dunque la società di diritto olandese Uber BV e la statunitense Uber Technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni riguardano in particolare l’inidonea informativa resa agli utenti (in quanto priva dell’indicazione relativa alla contitolarità del trattamento) e “formulata in maniera generica e approssimativa” con “informazioni poco.
Comunicato Stampa – Garante Privacy