Uber è stata condannata dal Garante Privacy italiano a pagare due sanzioni pecuniarie di 2 milioni e 120 mila euro ciascuna per un totale di oltre 4 milioni di euro. La ragione è legata alla scarsa trasparenza nel trattamento dei dati personali di oltre 1 milione e mezzo di utenti italiani. In sintesi: l'informativa privacy è stata ritenuta inidonea, i dati sono stati trattati senza consenso e l'Azienda - dovranno rispondere delle sanzioni Uber B.V. con sede legale ad Amsterdam e Uber Technologies con sede legale a San Francisco - non ha notificato al Garante il trattamento dei dati per finalità di geolocalizzazione, come richiesto dalla normativa in vigore prima del Regolamento europeo per la protezione dei dati personali (Gdpr).

Le violazioni sono state accertate nell'ambito delle indagini effettuate presso Uber Italy a seguito della violazione dei dati che nel 2017 Uber rivelò pubblicamente di aver subito l'anno prima. Quel data breach - coinvolse oltre 57 milioni di utenti in tutto il mondo - ed il fatto di averlo tenuto nascoso così a lungo costò ad Uber le sanzioni disposte dalle autorità privacy olandese e inglese. Le informazioni esposte comprendevano dati anagrafici e di contatto, credenziali di accesso all'app, dati di localizzazione e relazioni con altri utenti.

Parte delle ragioni che hanno portato il Garante a disporre le due sanzioni pecuniarie riguardano le criticità dell'informativa privacy di Uber:

• non indica che Uber BV e Uber Technologies sono contitolari del trattamento dei dati personali degli utenti;
• è formulata in maniera generica e approssimativa;
• contiene informazioni poco chiare e incomplete e di non facile comprensione: non erano specificate le finalità del trattamento, i riferimenti ai diritti degli interessati erano vaghi, non era chiaro se gli utenti fossero obbligati a fornire i propri dati e quali sarebbero state le conseguenze in caso di mancata comunicazione dei medesimi.

Uber deve anche rispondere del fatto di aver acquisito e trattato senza consenso i dati personali dei passeggeri profilandoli per valutare il cosiddetto rischio frode, mediante l'assegnazione di un giudizio qualitativo e di un parametro numerico (da 1 a 100). Infine, come detto, Uber non ha rispettato gli obblighi di notifica al Garante del trattamento dati per fini di geolocalizzazione. La misura delle due sanzioni tiene conto di quanto sia esteso il numero degli utenti coinvolti e di quale siano le condizioni economiche delle due aziende.