Sono 2 le multe, rispettivamente di 2 milioni e 120 mila euro, comminate dal Garante della privacy nei confronti di Uber B.V., con sede legale ad Amsterdam, e a Uber Technologies Inc, con sede legale a San Francisco, per le violazioni commesse verso 1 milione e mezzo di utenti italiani tra autisti e passeggeri.
Le principali violazioni riscontrate sono: informativa non idonea, dati trattati senza consenso, mancata notificazione all’Autorità. Tali violazioni sono state riscontrate dal Garante nel corso degli accertamenti effettuati presso Uber Italy srl a seguito del data breach (violazione dei dati personali) reso pubblico nel 2017 dal capofila statunitense.
Questa violazione di sicurezza, avvenuta prima della piena applicazione del Regolamento europeo (Gdpr) e che aveva coinvolto i dati di circa 57 milioni di utenti nel mondo, era stata già sanzionata dalle Autorità privacy olandese e inglese. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto, le credenziali di accesso all’app, dati di localizzazione e le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).
Arriva quindi anche la sanzione del Garante privacy per le violazioni del Codice privacy commesse nei confronti degli utenti italiani. L’informativa resa agli utenti è stata considerata priva dell’indicazione relativa alla contitolarità del trattamento oltre che essere stata “formulata in maniera generica e approssimativa” con “informazioni poco chiare e incomplete” e “di non facile comprensione”. Principalmente mancavano “le finalità del trattamento, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego”.
Aggiornamento ai consumatori finanziato dal MiSE. Legge 388/2000 - ANNO 2021