Uber:il Garante privacy si pronuncia sui trattamenti dati

a cura degli Avv. Pier Paolo Muiá – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n.498 del 13 Dicembre 2018

Fatto

Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di una Società operante nel settore di trasporto automobilistico privato, che nel 2017 aveva segnalato un data breach relativo alla violazione dei dati personali degli utenti del servizio di trasporto privato.

Tale società, appartenente ad un gruppo societario la cui capogruppo ha sede negli Stati Uniti,  fornisce i suoi servizi – anche in Italia – attraverso un’applicazione scaricabile su un dispositivo mobile che permette di mettere in contatto il passeggero e l’autista del veicolo. Attraverso l’app il passeggero può prenotare l’auto, calcolare il tempo di attesa e la tariffa richiesta per la corsa, tenere traccia in tempo reale della posizione dell’auto prenotata, visualizzare i percorso effettuato, ed eseguire il pagamento.

Il data breach segnalato dalla Società capogruppo aveva coinvolto i dati di circa 57 milioni di utenti in tutto il mondo, interessando i dati identificativi e di contatto, come indirizzo e-mail e numero di cellulare, informazioni relativi alla localizzazione, all’account, ed al numero della patente di guida.

Poiché come detto sopra la Società offre i suoi servizi anche in Italia, il Garante per la protezione dei dati personali ha ritenuto doveroso avviare una istruttoria per valutare l’incidenza del data breach in ambito nazionale, provvedendo a richiedere informazioni alla Società di trasporto privato.

In riferimento alla titolarità del trattamento dei dati personali riferiti agli autisti e passeggeri non statunitensi il gruppo societario ha chiarito che questo è in capo alla società facente parte del gruppo con sede nei Paesi Bassi, riservando il ruolo di responsabile di questa tipologia di dati alla società capo gruppo con sede negli Stati Uniti.

Con particolare attenzione alla Società con sede in Italia è stato specificato che i dipendenti di questa hanno accesso mediante l’applicazione (soggetta ad una procedura di autenticazione basata su username e password e una one time password generata mediante una mobile app) a tutta una serie di dati personali dei passeggeri tra cui, i dati identificativi e di contatto, l’elenco delle corse effettuate, i dati relativi ai pagamenti, il “rating” calcolato come media delle valutazioni rese dagli utenti e relative alle ultime corse effettuate, l’indice di rischio frode, e la dicitura “banned” assegnati al passeggero.

La decisione del Garante

Il Garante, dopo aver valutato le dichiarazioni fornite dal Gruppo societario, ha rilevato profili di illiceità nel trattamento dei dati personali effettuato dalla società, riservandosi di contestare con autonomo procedimento le violazioni amministrative accertate in fase istruttoria e relative all’inidoneità dell’informativa resa dalla Società, alla mancata acquisizione di un valido consenso degli interessati in relazione ai dati trattati ai fini dell’individuazione dell’indice di rischio e alla mancata notificazione al Garante dei trattamenti dei dati idonei a rivelare la posizione geografica degli utenti.

In riferimento alla Società con sede in Italia il Garante ha appurato che la stessa in qualità di responsabile dei dati aveva accesso ai dati di tutti gli utenti, a prescindere dal paese di residenza o da quello a cui ha avuto luogo la registrazione o dal luogo in cui gli stessi sono stati raccolti in occasione della corsa, come ad es. i dati degli utenti che risiedono negli Stati Uniti, anche in assenza di una relazione tra gli utenti e i servizi resi dalla Società. Difatti, seppur al momento di richiesta di consultazione dei dati il programma produceva degli alert, che ricordavano la necessità che ci fossero specifiche esigenze di servizio, bastava semplicemente accettare questi alert per poter andare avanti ed accedere ai dati. A riprova della facilità di accesso a tutti i dati il Garante ha ricordato che, come dichiarato dalla Società, i dipendenti avevano accesso a tutte le informazioni presenti sull’applicazione con il mero ordine di utilizzare i dati personali relativi agli utenti italiani al fine di svolgere le funzioni collegate all’attività lavorativa.

Per quanto attiene all’informativa, la inidoneità di questa è dipesa dal fatto che il Garante, a seguito degli elementi raccolti, ha ritenuto la società capo gruppo con sede negli USA e la società con sede nei Paesi Bassi contitolare del trattamento dei dati personali degli utenti fuori gli Stati Uniti, e non – come rilevato in sede istruttoria – rispettivamente responsabile e titolare. Per tale ragione il modello unico di informativa utilizzato per tutti gli utenti non era correttamente formulato in quanto avrebbe dovuto fornire la chiara indicazione dell’ambito di circolazione dei dati nonché il rapporto di contitolarità del trattamento. L’informativa, inoltre, secondo il Garante era formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento. In particolare nel documento informativo non erano sufficientemente specificate le finalità del trattamento in relazione alle categorie di dati personali oggetto del trattamento, le conseguenze dell’eventuale rifiuto di fornire le informazioni, e i diritti dell’interessato, difettando per questi ultimi nell’individuazione del diritto di aggiornamento e di opposizione per motivi legittimi.

Il Garante ha poi accertato che non è stata fornita agli interessati idonea informativa né è stato acquisito un idoneo consenso in riferimento al dato di indicatore di rischio frode, che si sostanzia in un punteggio qualitativo (low) e numerico (da 1 a 100).

In ultimo l’Autorità garante ha osservato che la Società aveva omesso di effettuare la notificazione al Garante obbligatoria ogni qualvolta vengono rilevati dati afferenti la posizione geografica degli utenti.

Volume consigliato

 

In ultimo con riferimento alla questione della posizione geografica degli interessati, il Garante ha riconosciuto nella condotta della la Società di trasporti, la quale era in grado di ricostruire il percorso effettuato dagli automezzi e di identificare il personale dipendente alla guida del veicolo, una condotta lesiva dell’obbligo di notificazione.

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento