Iscriviti al sito e alla newsletter di Filodiritto.

Welcome kit in omaggio

La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" (https://www.filodiritto.com), con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione.

Uber: la tirata d’orecchie del Garante Privacy in attesa di sapere quanto costerà il data breach del 2016

31 gennaio 2019 -
Uber: la tirata d’orecchie del Garante Privacy in attesa di sapere quanto costerà il data breach del 2016

Indice:

1. Introduzione

2. Focus del contributo e definizioni utili

3. Analisi del caso

4. Conclusioni

 

1. Introduzione

Il 13 dicembre 2018, l’Autorità nazionale per il trattamento dei dati personali (“Garante”) ha emesso un provvedimento di accertamento nei confronti della società Uber Technologies Inc., con sede negli Stati Uniti, e della controllata europea Uber B.V., con sede nei Paesi Bassi (congiuntamente, “Gruppo Uber”).

L’attività di controllo e di raccolta informazioni effettuata dal Garante trae origine dal data breach che ha colpito il colosso del ride-hailing nell’ottobre 2016, provocando la violazione dei dati personali di circa 57 milioni di utenti in tutto il mondo, tra i quali un numero rilevante di utenti italiani.

All’esito dell’attività istruttoria - che ha coinvolto anche la società italiana Uber Italy S.r.l., che svolge attività di marketing e customer care sul territorio nazionale - il Garante ha emesso il citato provvedimento accertando l’esistenza di violazioni per:

  • inidoneità dell’informativa resa agli utenti (si tratta dell’informativa pubblicata sul sito ante GDPR);
  • errata qualificazione dei ruoli previsti dalla normativa sul trattamento dei dati personali;
  • mancata notificazione al Garante, ai sensi dell’ormai abrogato articolo 37 del previgente codice privacy.

 

 2. Focus del contributo e definizioni utili

Vale la pena analizzare alcuni aspetti del provvedimento di rilevante interesse in tema di qualificazione dei ruoli privacy - secondo il GDPR e la previgente normativa - rispetto alle attribuzioni effettuate tra le società del Gruppo Uber.

Per “ruoli privacy” si fa riferimento alle figure attive del trattamento di dati personali, come definite nelle versioni italiane dell’abrogata direttiva 95/46/CE (“Direttiva Privacy”) e, oggi, del Regolamento (UE) 2016/679 (“GDPR”), ovvero al:

a. titolare del trattamento, che ha potere decisionale nella determinazione delle finalità, dei mezzi e delle modalità per (e con) i quali i dati personali sono trattati;

b. responsabile del trattamento, che tratta i dati per conto e su istruzione del titolare e nei limiti delle finalità da quest’ultimo stabilite mediante un accordo di natura contrattuale;

c. contitolare del trattamento, che determina, insieme ad altro titolare, le finalità, i mezzi e le modalità del trattamento, condividendo mediante accordi interni le rispettive responsabilità. Pur essendo contemplata anche nella precedente Direttiva Privacy, tale figura è stata espressamente disciplinata – con la previsione di nuovi adempimenti – dall’articolo 26 del GDPR.

 

3. Analisi del caso

Premesso che la fornitura del servizio di trasporto automobilistico offerta dal Gruppo avviene mediante un’App che consente la gestione di tutte le operazioni caratteristiche del servizio (dalla prenotazione dell’auto al pagamento del corrispettivo), in territorio europeo, i servizi dell’App sono forniti dalla società Uber B.V. e, limitatamente agli aspetti marketing e di customer care, da Uber Italy S.r.l. nel territorio nazionale.

Dai controlli del Garante, è risultato che Uber B.V. è titolare del trattamento dei dati personali degli utenti (autisti e passeggeri) non statunitensi, mentre la capogruppo americana è stata nominata dalla propria controllata olandese, con specifico accordo contrattuale, responsabile del trattamento per le attività di elaborazione (soprattutto di hosting), che questa effettua sui dati degli utenti europei (quindi anche italiani), e per la relativa scelta e implementazione delle misure tecniche e organizzative necessarie alla protezione di tali dati.

Secondo la stessa logica, Uber Italy S.r.l. era stata nominata responsabile del trattamento dei dati da Uber B.V., in funzione delle limitate attività svolte verso gli utenti italiani.

In seguito alle informazioni raccolte durante l’attività istruttoria, il Garante ha rilevato che:

a. le società del Gruppo Uber condividevano lo stesso database centralizzato, situato negli Stati Uniti, contenente i dati personali di tutti gli utenti del servizio (statunitensi e no), pertanto, Uber B.V. (come Uber Italy S.r.l.) avrebbe potuto accedere alle informazioni personali sia di utenti europei che statunitensi;

b. la controllata olandese condivideva con la capogruppo le policy, le finalità e le misure tecniche e organizzative di sicurezza, pertanto, “[…] non è stato possibile individuare un esclusivo potere decisionale al riguardo in capo a Uber B.V.” e, di conseguenza, non è stata ritenuta conforme alla normativa la nomina della capogruppo - da parte della controllata - come responsabile del trattamento per la scelta e l’implementazione delle misure di sicurezza da adottare anche per gli utenti europei. È la capogruppo, infatti, a determinare le policy e le finalità del trattamento nell’ambito del servizio offerto, richiedendone l’applicazione uniforme anche da parte delle controllate. Pertanto, è emerso che spettano a Uber B.V. “[…] solo alcuni poteri decisionali per lo più limitati ad attività di mero «adattamento» - delle citate policy e misure - al contesto locale”;

c. l’informativa - predisposta dalla capogruppo - pubblicata sul sito www.uber.com, era la medesima per tutti gli utenti e specificava che per gli utenti statunitensi il titolare del trattamento fosse Uber Technologies Inc., mentre per gli utenti "che risiedono al di fuori degli Stati Uniti", il titolare del trattamento fosse Uber B.V.. Inoltre, vi era un unico indirizzo di contatto per l’esercizio dei diritti degli interessati.



About

  • Contatti
  • Redazione
  • Pubblicità
  • Avvertenze
  • Privacy
  • Cookie

Newsletter

Rimani aggiornato sulle novità e gli articoli più interessanti della redazione di Filodiritto, inserisci la tua mail:

Iscriviti alla newsletter

© Filodiritto 2001-2019

Filodiritto è un marchio di InFOROmatica S.r.l.
P.Iva 02575961202
Capitale sociale: 10.000,00 i.v.
Direttore responsabile: Antonio Zama
Tribunale Bologna 24.07.2007,
n.7770 - ISSN 2239-7752

Sempre aggiornato

Scrivi la tua mail per ricevere le ultime novità, gli articoli e le informazioni su eventi e iniziative selezionati dalla redazione di Filodiritto.

*  Email:

Leggi l'informativa sulla privacy

Sede legale e amministrativa InFOROmatica S.r.l. - Via Castiglione 81, 40124 - Bologna
Tel. 051.98.43.125 - Fax 051.98.43.529

Credits webit.it