Il Garante privacy sanziona Uber per il non corretto rilascio dell’informativa privacy e la mancata acquisizione del consenso degli interessati

I fatti

 

Il Garante privacy aveva contestato a UBER B.V. (di seguito UBV), con sede legale in Amsterdam, e a UBER Technologies Inc. (di seguito UTI), con sede legale negli Stati Uniti d’America), la violazione di alcune norme in materia di protezione dei dati personali.

In particolare, dal relativo procedimento sanzionatorio nei confronti delle due società era emerso che, a seguito di un data breach, verificatosi nel 2016, erano stati coinvolti i dati personali di circa 57 milioni di utenti del servizio di UBER, tra cui anche di molti italiani, quali ad esempio i dati anagrafici e di contatto degli utenti (come nome, cognome, numero di telefono, email), credenziali di accesso all’app, dati di localizzazione al momento della registrazione e relazioni con altri utenti (come la condivisione di viaggi, la presentazione di amici e altre informazioni di profilazione).

All’esito del procedimento di cui sopra, il Garante aveva adottato un provvedimento cui aveva dichiarato che i ruoli ricoperti dalle due società non fossero stati correttamente qualificati dalle medesime e che le stesse dovevano qualificarsi entrambe come con titolari del trattamento: conseguentemente sia UBV che UTI dovevano essere ritenute responsabili delle operazioni di trattamento dei dati personali degli utenti italiani dell’APP (cioè degli autisti e dei passeggeri).

Dall’istruttoria compiuta durante detto procedimento era emerso, inoltre, che:

  • l’informativa resa agli utenti ai sensi dell’art. 13 del GDPR non era idonea poiché generica e approssimativa, poco chiara e incompleta;
  • non era stato acquisito il consenso degli interessati (oltre a non essere stata fornita la relativa informativa), con riferimento al trattamento avente la finalità indicata come “indicatore del rischio frode”;
  • non era stata effettuata la preventiva notifica al Garante con riferimento al trattamento dei dati idonei a rilevare la posizione geografica degli utenti;
  • le violazioni commesse erano riferite a banche dati di particolare rilevanza o dimensioni.

In base a quanto emerso dall’istruttoria, il Garante aveva quindi contestato alle due società la violazione delle disposizioni in materia di privacy riscontrate e invitato le stesse a fornire le proprie osservazioni difensive.

Le difese delle società

 

A fronte degli addebiti mossi dall’Autorità, le società avevano preliminarmente contestato la applicabilità della legge italiana al caso di specie.

Secondo le società, infatti, la legge italiana sarebbe applicabile “solo se le attività di trattamento di Uber Italy in Italia venissero ritenute come eseguite da uno stabilimento di UBV e nel contesto delle attività di Uber Italy (e non UBV)”. Invece, è indubbio che Uber Italy agisce solo quale responsabile del trattamento dei dati personali per conto di UBV, fornendo meri servizi di supporto alla clientela e servizi di marketing.

In secondo luogo, le due società sostenevano che UBV ricopre il ruolo di titolare del trattamento, con riferimento al trattamento dei dati personali degli utenti dell’app Uber al di fuori degli Stati Uniti, tra cui anche quelli degli utenti dell’app Uber in Italia, mentre “UTI agisce in qualità di responsabile del trattamento di UBV con riferimento ai dati degli utenti dell’app Uber al di fuori degli Stati Uniti”.

Per quanto concerne l’informativa, le due società sostenevano che la stessa fornisce informazioni dettagliate circa le finalità del trattamento, l’obbligatorietà del conferimento di alcune informazioni, l’esercizio dei diritti degli interessati. Tra l’altro, secondo le due società, detta informativa era disponibile online dal 2015 e il Garante, in occasione dei precedenti contatti con UBER, non aveva mai messo in discussione le pratiche di Uber concernenti l’informativa (che tra l’altro non è mai stata stata contestata da parte degli interessati, mediante segnalazioni o reclami).

Infine, relativamente alla mancata acquisizione del consenso da parte degli interessati in relazione al trattamento effettuato per la finalità cd. “rischio frode”, le società hanno evidenziato come Uber non utilizzasse il valore “indicatore rischio frode” da più di due anni. Mentre, la mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione non poteva essere oggetto di contestazione, in quanto si trattava di una condotta di cui l’Autorità era a conoscenza già dal 2015 e non aveva mai segnalato a UBER che tale mancata notificazione sostanziasse una violazione della privacy.

 

La decisione del Garante

 

Preliminarmente, per quanto concerne l’applicabilità della disciplina italiana al caso di specie, l’autorità ha confermato che al trattamento dati posto in essere da UBER si applica la legge italiana.

Infatti, Uber Italy è un’organizzazione stabile di UBER sul territorio italiano e le attività di trattamento svolte da quest’ultimo sono connesse al trattamento che svolgono UBV e UTI, cioè sono svolte nelle attività che lo stesso titolare compie nello stabilimento nel territorio italiano. Le attività poste in essere da Uber Italy, in altri termini, sono volte a consentire agli interessati di usufruire del servizio offerto dal gruppo UBER e si sostanziano nel supporto agli utenti necessario per svolgere il servizio dell’APP.

In considerazione di ciò, secondo il Garante, la legge applicabile è quella dello Stato membro in cui vengono svolte effettivamente le attività di trattamento, anche in considerazione dei soggetti cui sono effettivamente indirizzate dette attività (nel caso di specie, gli utenti italiani).

Il Garante ha quindi rilevato che gli elementi emersi durante l’istruttoria hanno escluso la ricostruzione fornita dalle due società circa i ruoli di titolare e responsabile del trattamento e hanno piuttosto confermato che sia UBV che UTI sono con titolari del trattamento, in quanto: le decisioni assunte rispetto alle finalità e ai mezzi del trattamento non sono predisposte solo da UBV; le policy relative al funzionamento e alla gestione del servizio sono predisposte unicamente da UTI, in qualità di capogruppo; analogamente, l’adozione di misure di sicurezza tecniche ed organizzative è affidata unicamente a UTI; UTI esercita un autonomo potere decisionale su tali aspetti che non può essere considerato solo formale.

Per quanto concerne l’informativa, il Garante ha confermato che la stessa non era idonea, in quanto era omessa qualsiasi indicazione della contitolarità dei trattamenti effettuati ed in quanto era carente sotto il profilo della trasparenza e della correttezza dei trattamenti stessi: infatti, la medesima informativa forniva una rappresentazione indistinta dei trattamenti effettuati, delle relative finalità e modalità dei trattamenti; nella medesima erano descritte, in maniera generica e approssimativa, le finalità del trattamento in relazione alle categorie di dati personali raccolti; non era indicata l’obbligatorietà del conferimento dei dati, rispetto alle varie operazioni poste in essere e alle conseguenze dell’eventuale rifiuto a fornirli; infine, la stessa era inoltre inidonea in relazione all’esercizio dei diritti degli interessati.

Infine, dall’istruttoria svolta è stata confermata la mancata acquisizione del consenso degli interessati in ordine al trattamento effettuato per la valutazione del “rischio frode” e la mancata preventiva notifica al Garante il Garante del trattamento relativo alla geolocalizzazione degli utenti.

In considerazione di quanto sopra, il Garante ha ritenuto che entrambe le società contitolari del trattamento hanno commesso le violazioni contestate e ha quindi deciso di applicare una sanzione pecuniaria distinta in ragione di ogni singola violazione commessa. In particolare, il Garante ha comminato a ciascuna delle due società le seguenti sanzioni:

  • €. 30.000 per l’inidoneità dell’informativa resa agli utenti;
  • €. 100.000 per la mancata acquisizione del consenso degli interessati, con riferimento al trattamento avente la finalità indicata come “indicatore del rischio frode”;
  • €. 100.000 per la mancata preventiva notifica al Garante con riferimento al trattamento dei dati idonei a rilevare la posizione geografica degli utenti;
  • €.300.000 per il fatto che le violazioni commesse erano riferite a banche dati di particolare rilevanza o dimensioni.

Infine, il Garante ha ritenuto di quadruplicare gli importi di cui sopra, in considerazione del fatto che il fatturato complessivo delle società avrebbe altrimenti reso inefficace la sanzione: conseguentemente ha aumentato l’ingiunzione a complessivi €. 2.120.000 per ognuna delle due società.

 

 

Condividi