EntiOnLine
Categorie
indietro
30/04/2019 Violazione di dati personali (data breach) - I controlli: il caso Uber
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Nel corso del 2018 il Garante ha svolto un’intesa attività di collaborazione con alcune autorità di protezione dei dati europee nell’ambito della task force (composta anche da rappresentanti delle autorità francese, spagnola, belga, tedesca e britannica e coordinata dall’Autorità garante olandese) istituita per indagare su una violazione di dati personali (data breach) che ha coinvolto i dati di decine di milioni di interessati in tutto il mondo. La violazione subita a seguito di un attacco hacker verificatosi nel 2016, ma resa pubblica soltanto nel mese di novembre del 2017, ha riguardato il gruppo multinazionale Uber (la cui capogruppo Uber technologies inc. ha sede negli Stati Uniti); gruppo che fornisce un servizio di trasporto automobilistico privato attraverso un’applicazione mobile (cd. app) volta a mettere in collegamento diretto passeggeri e autisti, e ha interessato, per lo più, dati identificativi e di contatto, informazioni concernenti la localizzazione, l’account e, con specifico riferimento agli autisti, anche il numero della patente di guida. Scopo principale della suddetta task force è stata la condivisione delle posizioni assunte dalle autorità interessate nell’ambito delle istruttorie condotte a livello nazionale. Già alla fine del 2017 il Garante ha infatti tempestivamente avviato alcuni accertamenti − anche mediante ispezioni effettuate in loco presso la sede della società del gruppo stabilita in Italia − al fine di acquisire maggiori elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza che ha visto coinvolti i dati personali di circa 295 mila utenti italiani (tra passeggeri e autisti). Tenuto conto delle risultanze istruttorie e della documentazione acquisita nonché del relativo quadro normativo di riferimento, sono stati accertati vari profili di non conformità riguardo al trattamento dei dati di utenti presenti nel nostro Paese. Innanzitutto in ordine all’ambito soggettivo, la rappresentazione dei ruoli fornita dal gruppo Uber in termini di titolarità esclusiva in capo ad Uber B.V. (società, con sede nei Paesi Bassi, avente la responsabilità della raccolta e del trattamento dei dati personali degli utenti sul territorio europeo) per i dati relativi ad “utenti che risiedono al di fuori degli Stati Uniti” non è apparsa coerente con quanto riscontrato in sede di accertamento e ha reso necessario configurare piuttosto in termini di contitolarità del trattamento il rapporto esistente tra Uber Technologies Inc. e Uber B.V. Al riguardo, infatti, oltre ad essere stata accertata l’esistenza di un unico database centralizzato situato negli Stati Uniti, si è anche potuto constatare che la società capogruppo predispone le policy di funzionamento e di gestione del servizio anche in ordine alle misure di sicurezza, concependole in maniera unitaria nell’interesse di tutte le società del gruppo, residuando di fatto in capo ad Uber B.V. solo alcuni poteri decisionali per lo più limitati ad attività di mero “adattamento” al contesto locale. La riqualificazione di tale rapporto ha comportato immediate ripercussioni sulla conformità alla normativa di protezione dei dati dell’informativa rilasciata agli utenti da Uber, e per tali ragioni si è ritenuto che la stessa non sia stata formulata correttamente, oltre ad essere risultata incompleta e poco chiara. In particolare, si è evidenziato che non erano sufficientemente specificate le finalità del trattamento in relazione alla molteplicità di categorie di dati personali raccolti, i riferimenti ai diritti dell’interessato apparivano generici e lacunosi e non era neppure chiaro se gli utenti fossero obbligati o meno a fornire alcuni dati personali, né quali fossero le conseguenze in caso di diniego. Il Garante ha poi rilevato che Uber ha trattato i dati dei passeggeri ai fini dell’individuazione di un “indice di rischio frode” senza che gli interessati siano stati adeguatamente informati al riguardo e abbiano reso un valido consenso in tal senso. Infine è stato constatato che la società non ha adempiuto all’obbligo di notificare all’Autorità il trattamento dei dati per finalità di geolocalizzazione, così come previsto dalla normativa in vigore prima del RGPD (art. 37,comma 1, lett. a), d.lgs. n. 196/2003). Alla luce di tali esiti, il Garante si è dunque pronunciato con il provvedimento 13 dicembre 2018, n. 498 (doc. web n.9069046), facendo al contempo presente che avvierà un autonomo procedimento per contestare le violazioni amministrative così accertate anche in considerazione diquanto disposto dall’art. 164-bis, comma 2, d.lgs. n. 196/2003.

Fonte: Autorità Garante - Relazione 2018

Banca dati