Il provvedimento nasce da una istruttoria, avviata nel novembre 2018, a seguito della comunicazione, da parte della società statunitense Uber Technologies Inc., di un grave data breach, che avrebbe coinvolto milioni di dati worldwide, inclusi i dati di numerosi cittadini italiani.
Tra i dati oggetto di violazione si menzionano principalmente dati identificativi e di contatto, informazioni concernenti la localizzazione, l’account e il numero della patente di guida degli utenti del servizio e degli autisti.
Nel corso dell’istruttoria, instaurata nei confronti della branch italiana di Uber, al fine di accertare l’entità del data breach in ambito nazionale, il Garante ha pero’ rilevato la presenza di molteplici violazioni da parte del Gruppo.
Dagli accertamenti sono emerse, innanzitutto, delle distorsioni circa la configurazione della titolarità del trattamento.
Quest’ultima, infatti, risulta essere attribuita – per il trattamento dei dati relativi a tutti gli autisti e passeggeri non statunitensi – alla branch olandese, mentre la sede statunitense figurerebbe quale responsabile del trattamento stante lo svolgimento di alcune attività di elaborazione dei dati personali, nonché la gestione del database mondiale. La branch italiana figura anch’essa come responsabile, in quanto incaricata di fornire servizi di supporto alla clientela e alcuni servizi di marketing per conto della branch olandese.
Tale configurazione non appare corretta alla luce di quella che di fatto è una vera e propria condivisione del potere decisionale tra la sede olandese e la sede statunitense in merito ai servizi offerti in Europa. La società americana, infatti, detterebbe le linee generali valide per il Gruppo, spettando alla società olandese un adattamento delle linee guida al territorio europeo. Piu’ correttamente, dunque, secondo il Garante, si dovrebbe parlare di contitolarità del trattamento.
D’altronde tale configurazione verrebbe confermata da molteplici elementi.
In primo luogo, branch americana e olandese concorrono nella determinazione delle modalità e finalità del trattamento e, in secondo luogo, applicano le medesime misure organizzative e di sicurezza. In terzo luogo, l’informativa pubblicata sul sito di Uber è la medesima per tutti gli utenti dei servizi del Gruppo.
Inoltre, come già sopra accennato, i dati sono custoditi globalmente in un unico data base centralizzato situato negli Stati Uniti, senza che vi sia alcuna separazione interna in base all’origine geografica dei dati stessi.
In aggiunta, il Garante ha anche rilevato che la branch italiana può consultare i dati personali relativi agli utenti del Gruppo a prescindere dal paese di residenza del soggetto interessato, da quello in cui ha avuto luogo la registrazione e da quello in cui i dati sono stati raccolti; inoltre la medesima può scaricare, in modalità massiva e sulla base di molteplici criteri di ricerca, i suddetti dati; e cio’ indipendentemente dall’esistenza di una correlazione tra i servizi delle diverse società del Gruppo.
Per completezza, si osserva, peraltro che i dati cui la branch italiana, puo’ accedere consistono in: dati identificativi e di contatto, elenco delle corse effettuate, dati relativi ai pagamenti, rating, indice di rischio frode ed eventuale dicitura “banned” assegnati all’utente. L’accesso alle applicazioni che permettono di consultare i suddetti dati è soggetto ad una procedura di autenticazione a due fattori basata su username/password e una one time password generata mediante una mobile app.
Una volta ridefinito l’assetto dei rapporti infra-gruppo, chiaramente va rivista anche la comunicazione verso l’esterno e, specialmente, l’informativa destinata agli utenti che deve menzionare la contitolarità del trattamento dei dati personali.
Proprio con riferimento all’informativa, il Garante ha rilevato poi ulteriori violazioni, posto che la medesima risulta essere formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, con particolare riferimento: alle finalità del trattamento in relazione alle categorie di dati personali oggetto del trattamento; alla natura obbligatoria o facoltativa del conferimento; ai diritti dell’interessato, indicati solo genericamente ed in forma lacunosa; all’indicazione indistinta di molteplici trattamenti.
Tra le violazioni rilevate, inoltre, vi sarebbe la mancata acquisizione del consenso circa il trattamento dei dati relativi all’indicatore di rischio frode riportato su diversi profili passeggeri.
In aggiunta non è stata effettuata la notificazione al Garante con riferimento al trattamento dei dati idonei a rivelare la posizione geografica degli utenti.
Alla luce di quanto accertato, il Garante avvierà dunque un autonomo procedimento per contestare le predette violazioni amministrative.
Inoltre, provvederà ad inviare una copia del proprio provvedimento anche all’autorità olandese che, in qualità di capofila, potrà verificare la conformità dei trattamenti transfrontalieri, attualmente posti in essere da Uber, al Regolamento Europeo n. 679/2016.
