x

x

Uber: la tirata d’orecchie del Garante Privacy in attesa di sapere quanto costerà il data breach del 2016

Uber: la tirata d’orecchie del Garante Privacy in attesa di sapere quanto costerà il data breach del 2016
Uber: la tirata d’orecchie del Garante Privacy in attesa di sapere quanto costerà il data breach del 2016

Indice:

1. Introduzione

2. Focus del contributo e definizioni utili

3. Analisi del caso

4. Conclusioni

 

1. Introduzione

Il 13 dicembre 2018, l’Autorità nazionale per il trattamento dei dati personali (“Garante”) ha emesso un provvedimento di accertamento nei confronti della società Uber Technologies Inc., con sede negli Stati Uniti, e della controllata europea Uber B.V., con sede nei Paesi Bassi (congiuntamente, “Gruppo Uber”).

L’attività di controllo e di raccolta informazioni effettuata dal Garante trae origine dal data breach che ha colpito il colosso del ride-hailing nell’ottobre 2016, provocando la violazione dei dati personali di circa 57 milioni di utenti in tutto il mondo, tra i quali un numero rilevante di utenti italiani.

All’esito dell’attività istruttoria - che ha coinvolto anche la società italiana Uber Italy S.r.l., che svolge attività di marketing e customer care sul territorio nazionale - il Garante ha emesso il citato provvedimento accertando l’esistenza di violazioni per:

  • inidoneità dell’informativa resa agli utenti (si tratta dell’informativa pubblicata sul sito ante GDPR);
  • errata qualificazione dei ruoli previsti dalla normativa sul trattamento dei dati personali;
  • mancata notificazione al Garante, ai sensi dell’ormai abrogato articolo 37 del previgente codice privacy.

 

 2. Focus del contributo e definizioni utili

Vale la pena analizzare alcuni aspetti del provvedimento di rilevante interesse in tema di qualificazione dei ruoli privacy - secondo il GDPR e la previgente normativa - rispetto alle attribuzioni effettuate tra le società del Gruppo Uber.

Per “ruoli privacy” si fa riferimento alle figure attive del trattamento di dati personali, come definite nelle versioni italiane dell’abrogata direttiva 95/46/CE (“Direttiva Privacy”) e, oggi, del Regolamento (UE) 2016/679 (“GDPR”), ovvero al:

a. titolare del trattamento, che ha potere decisionale nella determinazione delle finalità, dei mezzi e delle modalità per (e con) i quali i dati personali sono trattati;

b. responsabile del trattamento, che tratta i dati per conto e su istruzione del titolare e nei limiti delle finalità da quest’ultimo stabilite mediante un accordo di natura contrattuale;

c. contitolare del trattamento, che determina, insieme ad altro titolare, le finalità, i mezzi e le modalità del trattamento, condividendo mediante accordi interni le rispettive responsabilità. Pur essendo contemplata anche nella precedente Direttiva Privacy, tale figura è stata espressamente disciplinata – con la previsione di nuovi adempimenti – dall’articolo 26 del GDPR.

 

3. Analisi del caso

Premesso che la fornitura del servizio di trasporto automobilistico offerta dal Gruppo avviene mediante un’App che consente la gestione di tutte le operazioni caratteristiche del servizio (dalla prenotazione dell’auto al pagamento del corrispettivo), in territorio europeo, i servizi dell’App sono forniti dalla società Uber B.V. e, limitatamente agli aspetti marketing e di customer care, da Uber Italy S.r.l. nel territorio nazionale.

Dai controlli del Garante, è risultato che Uber B.V. è titolare del trattamento dei dati personali degli utenti (autisti e passeggeri) non statunitensi, mentre la capogruppo americana è stata nominata dalla propria controllata olandese, con specifico accordo contrattuale, responsabile del trattamento per le attività di elaborazione (soprattutto di hosting), che questa effettua sui dati degli utenti europei (quindi anche italiani), e per la relativa scelta e implementazione delle misure tecniche e organizzative necessarie alla protezione di tali dati.

Secondo la stessa logica, Uber Italy S.r.l. era stata nominata responsabile del trattamento dei dati da Uber B.V., in funzione delle limitate attività svolte verso gli utenti italiani.

In seguito alle informazioni raccolte durante l’attività istruttoria, il Garante ha rilevato che:

a. le società del Gruppo Uber condividevano lo stesso database centralizzato, situato negli Stati Uniti, contenente i dati personali di tutti gli utenti del servizio (statunitensi e no), pertanto, Uber B.V. (come Uber Italy S.r.l.) avrebbe potuto accedere alle informazioni personali sia di utenti europei che statunitensi;

b. la controllata olandese condivideva con la capogruppo le policy, le finalità e le misure tecniche e organizzative di sicurezza, pertanto, “[…] non è stato possibile individuare un esclusivo potere decisionale al riguardo in capo a Uber B.V.” e, di conseguenza, non è stata ritenuta conforme alla normativa la nomina della capogruppo - da parte della controllata - come responsabile del trattamento per la scelta e l’implementazione delle misure di sicurezza da adottare anche per gli utenti europei. È la capogruppo, infatti, a determinare le policy e le finalità del trattamento nell’ambito del servizio offerto, richiedendone l’applicazione uniforme anche da parte delle controllate. Pertanto, è emerso che spettano a Uber B.V. “[…] solo alcuni poteri decisionali per lo più limitati ad attività di mero «adattamento» - delle citate policy e misure - al contesto locale”;

c. l’informativa - predisposta dalla capogruppo - pubblicata sul sito www.uber.com, era la medesima per tutti gli utenti e specificava che per gli utenti statunitensi il titolare del trattamento fosse Uber Technologies Inc., mentre per gli utenti "che risiedono al di fuori degli Stati Uniti", il titolare del trattamento fosse Uber B.V.. Inoltre, vi era un unico indirizzo di contatto per l’esercizio dei diritti degli interessati.

4.Conclusioni

All’esito dell’attività istruttoria:

il Garante ha applicato le norme relative all’attribuzione dei ruoli in materia di protezione dei dati personali, giungendo a qualificare Uber Technologies Inc. e Uber B.V. quali contitolari del trattamento. La condivisione dei poteri decisionali tra capogruppo e controllata, infatti, unitamente alla pari possibilità, per entrambe, di accesso logico ai dati di tutti gli utenti, contenuti nel data base collocato negli Stati Uniti, soddisfano i requisiti richiesti dalla disciplina per la sussistenza della contitolarità nel trattamento;

ha ritenuto l’informativa pubblicata sul sito confusa, indeterminata e fuorviante, e, pertanto, non conforme ai principi di trasparenza e responsabilizzazione della normativa (sia della previgente Direttiva Privacy, che, soprattutto, del GDPR), in quanto poco chiara e incompleta nella parte in cui:

(i) qualifica la capogruppo e la controllata olandese come titolari autonomi del trattamento;

(ii) non specifica che vi è comunicazione e condivisione dei dati di tutti gli utenti (indipendentemente dalla loro geolocalizzazione) tra tutte le società del Gruppo Uber e, di conseguenza;

(iii) non considera - né rende nota - la contitolarità nel trattamento tra Uber Technologies Inc. e di Uber B.V..

Fermo restando che la normativa applicabile al caso di specie è quella della Direttiva Privacy (e del Decreto Legislativo n.196/2003, “Codice Privacy”, in ambito nazionale), in caso di contitolarità del trattamento, si richiama particolare attenzione sul considerando 79 del GDPR e sull’articolo 26 che - a differenza della precedente normativa - disciplina espressamente la figura dei contitolari e pone in capo ad essi specifici obblighi e un nuovo adempimento, che consiste nella predisposizione di un accordo interno - tra contitolari - volto a disciplinare in maniera trasparente:

(i) le rispettive responsabilità e le modalità con le quali è consentito l’esercizio dei diritti degli interessati;

(ii) le rispettive modalità di rilascio dell’informativa agli interessati;

(iii) la messa a disposizione degli interessati del citato accordo;

(iv) la possibilità degli interessati di esercitare i propri diritti nei confronti di ciascun contitolare.

La violazione dell’articolo 26 del GDPR, rientrerebbe tra quelle soggette alla sanzione amministrativa fino a euro 10.000.000,00 o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente (articolo 83.4.a del GDPR).

Come anticipato, nel caso di specie il regime sanzionatorio applicabile è quello della previgente disciplina (Direttiva Privacy e Codice Privacy), pertanto, resta da vedere quali ulteriori azioni intraprenderà il Garante per le violazioni accertate e a quanto ammonteranno le relative sanzioni.

(Autorità Garante per la protezione dei dati personali, provvedimento n.498 del 13 dicembre 2018, consultabile qui