Bene, ma è un importo congruo?
I ricavi annuali globali di Uber nel 2021 sono stati di circa 17
miliardi di dollari.
Una multa dello 0.023%
Come dare una multa di 11 euro a una persona che ne guadagna 50.000
all'anno.
Nemmeno un divieto di sosta.
<https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9771607>
Due sanzioni di 2 milioni e 120mila euro
<https://www.gpdp.it/garante/doc.jsp?ID=9771142> ciascuna sono state
comminate dal Garante privacy a Uber B.V. (UBV), con sede legale ad
Amsterdam, e a Uber Technologies Inc (UTI), con sede legale a San
Francisco, ritenute entrambe responsabili delle violazioni commesse nei
confronti di oltre 1 milione e mezzo di utenti italiani, tra autisti e
passeggeri. Informativa inidonea, dati trattati senza consenso, mancata
notificazione all’Autorità sono le violazioni riscontrate dal Garante
nel corso di accertamenti ispettivi effettuati presso Uber Italy srl a
seguito di un data breach reso pubblico dalla capofila statunitense nel
2017.
L’incidente di sicurezza, avvenuto prima della piena applicazione del
Regolamento europeo (Gdpr), aveva coinvolto i dati di circa 57 milioni
di utenti di tutto il mondo, ed era stato sanzionato dall’Autorità
privacy olandese e da quella inglese sulla base delle rispettive
normative nazionali. Le informazioni personali trattate da Uber
riguardavano i dati anagrafici e di contatto (nome, cognome, numero di
telefono e e-mail), le credenziali di accesso all’app, dati di
localizzazione (quelli che risultavano al momento della registrazione),
le relazioni con altri utenti (condivisione di viaggi, presentazione di
amici, informazioni di profilazione).
Con il provvedimento odierno l’Autorità sanziona dunque la società di
diritto olandese Uber BV e la statunitense Uber Technologies, come
contitolari del trattamento, ciascuna responsabile delle violazioni del
Codice privacy commesse nei confronti degli utenti italiani. Le sanzioni
riguardano in particolare l’inidonea informativa resa agli utenti (in
quanto priva dell’indicazione relativa alla contitolarità del
trattamento) e “formulata in maniera generica e approssimativa” con
“informazioni poco chiare e incomplete” e “di non facile comprensione”.
Nell’informativa, infatti, non erano ben specificate le finalità del
trattamento, i riferimenti ai diritti degli interessati risultavano
vaghi e lacunosi, e non era neppure chiaro se gli utenti fossero
obbligati o meno a fornire i propri dati, né quali fossero le
conseguenze di un eventuale diniego. Uber, inoltre, senza aver acquisito
un valido consenso, trattava i dati di circa 1.379.00 passeggeri
profilandoli sulla base del cosiddetto “rischio frode”, assegnando loro
un giudizio qualitativo (ad es., low) e un parametro numerico (da 1 a
100). La multinazionale, infine, non aveva rispettato l’obbligo di
notificare all’Autorità il trattamento di dati per finalità di
geolocalizzazione, come previsto dalla normativa in vigore prima del
nuovo Regolamento Ue.
Nel definire l’ammontare delle sanzioni, applicabile nella stessa misura
di 2 milioni e 120mila euro sia a UBV che a UTI, l’Autorità, oltre alla
gravità delle violazioni accertate, ha tenuto conto anche del rilevante
numero di persone coinvolte e delle condizioni economiche della società.
_______________________________________________
nexa mailing list
[email protected]
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
