venerdì 18 gennaio 2019

Trattamento illecito di dati personali: il Garante “bacchetta” il gruppo Uber – Autorità Garante per la protezione dei dati, provvedimento n. 498 del

Con provvedimento n. 498 del 13 dicembre 2018 il Garante per la protezione dei dati personali ha rilevato una serie di illiceità nel trattamento dei dati operato da parte di Uber, un noto gruppo societario che fornisce un servizio di trasporto automobilistico privato attraverso un’applicazione.

Il caso trae origine da un incidente di sicurezza avvenuto nell’autunno 2016 che avrebbe comportato una massiccia violazione delle informazioni (data breach) concernenti 57 milioni di utenti tra autisti Uber e passeggeri.

A seguito del verificarsi del data breach, il Garante italiano ha avviato un’istruttoria volta ad acquisire elementi di valutazione in ordine alla portata, in ambito nazionale, di tale incidente di sicurezza.

In primo luogo il Garante ha individuato una erronea rappresentazione dei “ruoli privacy” fornita dal Gruppo Uber in termini di titolarità esclusiva in capo a Uber B.V. per il trattamento dei dati relativi agli utenti che risiedono al di fuori degli Stati Uniti.

A parere dell’Autorità infatti, l’esistenza di un database centralizzato privo di alcuna separazione interna per aree geografiche, la mancanza di un esclusivo potere decisionale in capo a Uber B.V., l’utilizzo di una identica informativa per tutti gli utenti (sia statunitensi che non) e la possibilità per i dipendenti di accedere a tutte le informazioni a livello globale, evidenziavano la partecipazione di più soggetti nella definizione delle finalità e delle modalità di trattamento.

In secondo luogo il Garante ha contestato al Gruppo Uber di aver fornito una informativa generica, approssimativa, poco chiara e incompleta e di non aver provveduto a raccogliere presso gli utenti un valido consenso al trattamento dei dati finalizzato al rilevamento del rischio frode.

Da ultimo l’Autorità ha rilevato che, con riferimento al trattamento dei dati idonei a rivelare la posizione geografica degli utenti, Uber non ha provveduto alla notificazione al Garante, prevista per legge.

In conclusione il Garante della privacy, rilevati i molteplici profili di illiceità del trattamento dei dati, si è riservato di contestare con autonomo procedimento le relative violazioni amministrative.