“Meglio soli che male accompagnati” è un proverbio sempre valido che invita ad evitare le cattive compagnie, a costo di vivere in solitudine.
Un brutto biglietto da visita, soprattutto se affibiato a una delle più note compagnie di servizi automobilistici mondiali come Uber.
L’etichetta non è stata appiccicata in maniera superficiale, prematura o soggettiva da alcuni clienti o da qualche concorrente, bensì è la traduzione della sentenza del Garante Privacy che ha incluso anche multe per 4 milioni al giudizio.
L’incidente privacy di Uber è datato 2017
Il primo Data Breach che rivelò la violazione è datato 2017, prima dell’applicazione del Nuovo Regolamento per la Gestione e il Trattamento dei dati personali (GDPR).
I dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), le credenziali di accesso all’app, i dati di localizzazione (quelli che risultavano al momento della registrazione), le relazioni con altri utenti (condivisione di viaggi, presentazione di amici, informazioni di profilazione) di 57 milioni di utenti erano trattati in maniera non conforme da parte di Uber.
In quel caso, 5 anni fa l’autorità per la privacy olandese, così come quella inglese, sanzionarono Uber per l’illecito secondo le proprie normative nazionali.
Il Garante privacy italiano si è pronunciato solo ora
Come il carrozziere che a tempo debito valuta i danni causati dall’incidente automobilistico, anche sulla strada della Privacy il Garante Italiano si è preso del tempo per valutare la sanzione da applicare a Uber.
Le sanzioni - e utilizziamo il plurale perché non parliamo di una, bensì di due multe - sono state indirizzate a Uber UBV con sede legale ad Amsterdam e l’altra a Uber Technologies (UTI) con sede legale a San Francisco: ciascuna dell’importo di 2 milioni e 210 mila euro.
Il motivo è abbastanza intuibile: all’interno dei 57 milioni di “vittime”, 1 milione e mezzo sono passeggeri o addirittura anche autisti italiani che hanno utilizzato il servizio di trasporto automobilistico privato.
L’importo molto salato della multa è dovuto a tre principali fattori:
- La gravità delle violazioni di cui parleremo fra poco;
- L’elevato numero di soggetti coinvolti;
- Le condizioni economiche della società.
Quali violazioni ha commesso Uber in ambito privacy
Il Garante Privacy ha sanzionato Uber in qualità di contitolari del trattamento che ha violato il GDPR sotto diversi aspetti:
L’informativa non era adeguata
- Priva dell’indicazione sulla contitolarità del trattamento dei dati;
- Formulata in modo “generico e approssimativo”;
- Informazioni incomplete e poco chiare.
Informazioni necessarie mancanti
- Finalità del trattamento dati;
- Diritti degli interessati;
- Obbligatorietà (o meno) da parte degli utenti nel fornire i dati;
- Conseguenze in caso di mancata condivisione dei dati.
Mancato consenso e notifica
La grande mole di dati acquisita e trattata sarebbe avvenuta senza consenso e i dati, profilati basandosi sul rischio di frode, con l’assegnazione di un voto qualitativo e un indicatore numerico.
Tra le varie inadempienze, anche la mancata notifica all’autorità Garante in relazione al trattamento dati con fini di geolocalizzazione, come previsto dal Regolamento.