NEWS

Informativa privacy formulata in maniera generica e approssimativa e clienti profilati senza consenso. La scure del Garante si abbatte su Uber

Due sanzioni di 2 milioni e 120mila euro ciascuna sono state comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San Francisco, ritenute entrambe responsabili delle violazioni commesse nei confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e passeggeri. Informativa inidonea, dati trattati senza consenso, mancata notificazione all’Autorità sono le violazioni riscontrate dal Garante nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a seguito di un data breach reso pubblico dalla capofila statunitense nel 2017.

Il Garante sanziona Uber per complessivi 4 milioni e 240mila euro

L’incidente di sicurezza, avvenuto prima della piena applicazione del Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità privacy olandese e da quella inglese sulla base delle rispettive normative nazionali. Le informazioni personali trattate da Uber riguardavano i dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione).

Con il provvedimento odierno l’Autorità sanziona dunque la società di diritto olandese Uber BV e la statunitense Uber Technologies, come contitolari del trattamento, ciascuna responsabile delle violazioni del Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni riguardano in particolare l’inidonea informativa resa agli utenti (in quanto priva dell’indicazione relativa alla contitolarità del trattamento) e “formulata in maniera generica e approssimativa” con “informazioni poco chiare e incomplete” e “di non facile comprensione”. Nell’informativa, infatti, non erano ben specificate le finalità del trattamento, i riferimenti ai diritti degli interessati risultavano vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire i propri dati, né quali fossero le conseguenze di un eventuale diniego.

Uber, inoltre, senza aver acquisito un valido consenso, trattava i dati di circa 1.379.00 passeggeri profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a 100). La multinazionale, infine, non aveva rispettato l’obbligo di notificare all’Autorità il trattamento di dati per finalità di geolocalizzazione, come previsto dalla normativa in vigore prima del nuovo Regolamento Ue.

Nel definire l’ammontare delle sanzioni, applicabile nella stessa misura di 2 milioni e 120mila euro sia a UBV che a UTI, l’Autorità, oltre alla gravità delle violazioni accertate, ha tenuto conto anche del rilevante numero di persone coinvolte e delle condizioni economiche della società.

Fonte: Garante Privacy

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev La finanziaria invia un sms di sollecito al coniuge di un cliente in ritardo con i pagamenti. Sanzione del Garante per violazione della privacy
Next Convegno di apertura delle celebrazioni per i 25 anni del Garante della Privacy

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy