Lo scandalo è scoppiato nel Novembre 2017, quando uno scoop di Bloomberg ha obbligato il management di Uber ad ammettere di aver subito un colossale furto di dati, che l’azienda ha cercato di “insabbiare” pagando un riscatto di 100.000 dollari agli hacker per cancellare i dati rubati. L’azienda aveva nascosto, per più di un anno, la violazione dei suoi sistemi e il furto di dati di circa 57 milioni di account su dipendenti e clienti. Nello specifico, sono state “trafugate le informazioni contenute nella licenza di guida di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”. 

A distanza di quasi un anno, scopriamo che la strategia difensiva della piattaforma di noleggio auto con conducente non ha convinto nessuno, nemmeno il Procuratore Generale di New York. Difatti, la punizione, decisamente pesante, è arrivata.

125 milioni di euro...
Un risarcimento di 125 milioni di Euro che Uber dovrà pagare per aver cercato di nascondere l'attacco subito anzichè informarne le autorità competenti e gli utenti. Il risarcimento di 125 milioni sarebbe infatti il frutto di un accordo ed è quindi presumibile che l’accusa avesse prospettato cifre anche più alte in caso si fosse andati a processo:

“Questo patteggiamento dovrebbe inviare un chiaro messaggio: abbiamo tolleranza zero per chi ignora la legge e lascia che le informazioni di consumatori e dipendenti siano esposte a violazioni”.

In conclusione, sarà interessante, adesso, capire se altri paesi seguiranno l’esempio degli Stati Uniti. Uber, per lo meno, può tirare un sospiro di sollievo per quanto riguarda le conseguenze in Europa. Se il fattaccio, infatti, fosse avvenuto dopo l’entrata in vigore del GDPR avrebbe rischiato la famigerata maxi-multa del 4% del suo fatturato mondiale.

Si ricorda che la disciplina organica del data breach è ora prevista nel GDPR agli artt. 33 e 34, che allego sotto per completezza d'informazione:

Articolo 33 - Notifica di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
   a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssi¬mativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
   b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
   c) descrivere le probabili conseguenze della violazione dei dati personali;
   d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Articolo 34 - Comunicazione di una violazione dei dati personali all’interessato

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
   a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
   b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
   c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.