Con provvedimento del 13 Dicembre scorso, l’Autorità Garante per la Protezione dei Dati Personali ha ritenuto il colosso dei trasporti Uber, con sede principale in Olanda, responsabile di illecito trattamento posto in essere ai sensi della direttiva 95/46, ma anche del mai abrogato (seppur profondamente modificato) D. Lgs. 196/2003 e del vigente GDPR.

La decisione riguarda un episodio avvenuto nel 2016 e denunciato da Uber circa un anno dopo. Nella fattispecie si trattava di un incidente di sicurezza che ha comportato un data breach (violazione delle informazioni) di circa 57 milioni di utenti tra passeggeri e autisti che avevano visti messi a loro repentaglio dati personali quali gli identificativi di contatto (email, cellulare, indirizzo), quelli di account (email e password), oltre alla patente di guida per gli autisti. Poiché il data breach ha interessato anche gli utenti italiani, il Garante ha avviato la procedura di infrazione per valutarne la portata sul nostro territorio.

Il caso Uber in dettaglio
Il caso merita di essere considerato anche perché il Garante, nel suo provvedimento, ripercorre quelle che sono le qualifiche ed i compiti delle figure addette alla protezione dei dati personali per quanto riguarda il nostro paese. Il colosso Uber, in persona della società Capofila dell’intera struttura, UBER B.V. con sede in Olanda e dei suoi vertici, è il Titolare del trattamento dati, che aveva provveduto a nominare la società Uber Technologies incaricata, tra l’altro, dell’hosting dei dati personali trattati. Uber S.r.l., la società operativa in Italia, è a sua volta responsabile del trattamento dati di Uber B.V., dato che svolge attività di marketing e client support. E mentre la prima è stato ritenuto non implichi il trattamento dati personali, limitandosi ad una semplice esecuzione di attività demandate, quella di client support, che prevede tra l’altro la fornitura di servizi di assistenza, ricerca autisti e supporto fin dalla registrazione sulla piattaforma, oltre alla registrazione di segnalazioni, è a tutti gli effetti attività che, per sua natura, implica il trattamento dei dati.

Ciò è stato appurato anche dall’esito dell’istruttoria, dalla quale è emerso come possano essere consultati dati quali, ad esempio, i viaggi svolti oppure il download anche in maniera massiva dei dati di clienti associati al marchio UBER. I dipendenti italiani assegnati al team “customer support, avevano infatti accesso a numerosi dati relativi agli utenti, quali dati identificativi, di contatto, elenco corse e perfino il “rischio frode”, dato rilevato ancora presente nei vecchi account, ma non più aggiornato o utilizzato negli ultimi due anni.

A seguito degli accertamenti svolti è risultato come, nella realtà dei fatti, a livello operativo non fosse coerente la qualificazione del rapporto tra UBER B.V. e UBER TECHNOLOGIES Inc. in Titolare – Responsabile (come contrattualmente dichiarato), bensì di cotitolarità, data anche dalla rilevata circostanza che Uber Italy poteva consultare i dati personali degli utenti (compresi quelli area USA), a prescindere dal paese di residenza dell’interessato. Cosa questa assolutamente non giustificata da circostanze e modalità operative, senza che vi fosse esigenza alcuna. Inoltre Uber stessa ha dichiarato che i dipendenti avevano accesso alle informazioni pur avendo avuto disposizioni di usare solo quelle relative agli utenti italiani. Il successivo cambio di modalità non è stato ritenuto sufficiente. 

In sintesi la condivisione dati tra UBER B.V., UBER TECHNOLOGIES e UBER S.r.l. ha portato ad una commistione di ruoli, con evidente confusione anche tra gli stessi delle tre società e la possibilità di un accesso sconsiderato ai dati degli utenti senza che ve ne fosse comunque bisogno alcuno e, oltretutto, senza che UBER B.V. potesse dimostrare di avere un potere decisionale in materia, essendo anche responsabile delle misure e modalità di come trattare gli utenti italiani. In ogni caso, e la circostanza assume a parere di chi scrive particolare rilievo, l’informativa sul sito di UBER, è la stessa, valida per tutti gli utenti, verosimilmente predisposta da un unico soggetto e che oltretutto menziona un unico indirizzo mail di contatto per consentire l’esercizio dei diritti degli interessati. Da queste modalità emerge come siano stati gli stessi soggetti a definire le modalità di trattamento, in un contesti nel quale UBER TECHNOLOGIES ha operato in dimensione globale quale capogruppo concependo in maniera unitaria, nell’interesse di tutto il gruppo, il problema del trattamento dati e lasciando a UBER BV. solo poteri decisionali limitati.

Il Garante ha riqualificato il rapporto tra UBER B.V E UBER TECNOLOGIES
Il Garante ha quindi riqualificato il rapporto tra UBER B.V. e UBER TECHNOLOGIES nei predetti termini di co-titolarità, con conseguenze sull’informativa fornita agli utenti: informativa che è stata valutata come non correttamente formulata e presentata, in forma generica e approssimativa e contenente informazioni non chiare, incomplete e di non semplice comprensione. A titolo di esempio, non erano sufficientemente chiare le finalità del trattamento in relazione alla categoria dati personali, nonché se la natura della comunicazione dati fosse o meno obbligatoria, nonché le eventuali conseguenze in caso di rifiuto. Non solo: circostanza assai più grave, gli utenti non erano stati informati dell’utilizzo dei loro dati ai fini di una profilazione del rischio. In tal senso l’informativa si presentava completamente carente così come per la mancata notificazione al Garante del trattamento dati idonei a rivelare la posizione geografica degli utenti.

Inevitabile adesso la valutazione delle conseguenze del comportamento di UBER in sede sanzionatoria. Sarà la prima sanzione a sei zeri?