In data 24 marzo 2022, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha emesso un’ordinanza ingiunzione nei confronti, rispettivamente, di Uber B.V. (“Uber”) e Uber Technologies Inc. (“Uber Technologies”, congiuntamente le “Società”), conseguentemente a una violazione dei dati avvenuta nel 2016 e resa pubblica, soltanto un anno dopo, nel novembre del 2017. In particolare, a seguito di tale data breach, l’Autorità aveva avviato d’ufficio un’attività istruttoria, accertando la violazione di diverse disposizioni del D.Lgs. 196/2003, nella formulazione antecedente alle modifiche intervenute con il D.Lgs. 101/2018 (“Codice Privacy”).
Uber è un gruppo multinazionale (il “Gruppo”) operante in diversi paesi in tutto il mondo, che fornisce un servizio di trasporto automobilistico privato attraverso un’applicazione mobile volta a mettere in collegamento diretto passeggeri e autisti (l’”App”). In particolare, mediante l’App è possibile (i) prenotare l’auto disponibile più vicina; (ii) stimare il tempo di attesa e la tariffa richiesta per la corsa; (iii) tracciare in tempo reale la posizione dell’auto prenotata; (iv) effettuare il pagamento della corsa; e (v) visualizzare i percorsi già effettuati. La capogruppo ha sede negli Stati Uniti e il Gruppo ha iniziato a fornire i suoi servizi in Italia a partire dal 2013.
Descrizione del fatto
Nell’autunno del 2016 si era verificato un data breach che aveva coinvolto i dati di circa 57 milioni di utenti di Uber e Uber Technologies di tutto il mondo, ivi compresi utenti italiani. Dall’esame della documentazione complessivamente acquisita, il Garante aveva rilevato che suddetto data breach, avvenuto prima dell'entrata in vigore del Regolamento (UE) 2016/679 ("GDPR"), aveva coinvolto i dati anagrafici e di contatto (tra cui nome, cognome, numero di telefono e indirizzo e-mail), le credenziali di accesso all’App, i dati di localizzazione (risultanti al momento della registrazione) e le relazioni con altri utenti (tra cui condivisione di viaggi, presentazione di amici e alcune informazioni di profilazione).
A seguito di tale accadimento, il Garante aveva, pertanto, avviato un'istruttoria d'ufficio nei confronti delle Società e, nel corso di tale attività, aveva inviato, inter alia, una richiesta di informazione a Uber Italy S.r.l. – società che svolge in Italia, per conto di Uber, attività di marketing e attività di assistenza agli autisti e alla clientela – provvedendo, successivamente, a svolgere un accertamento ispettivo presso la sede della stessa.
Valutazioni del Garante
A seguito della complessa attività istruttoria, comprensiva degli accertamenti in loco, il Garante aveva riscontrato che la qualificazione soggettiva delle Società era stata così identificata dalle parti coinvolte:
- Uber era stata qualificata come titolare del trattamento dei dati relativi a tutti gli autisti e passeggeri che risiedono al di fuori degli Stati Uniti;
- Uber Technologies era stata nominata da Uber, mediante un contratto di “Support services agreement”, responsabile del trattamento. In particolare, nell’ambito di tale contratto, Uber aveva affidato alla stessa alcune attività di elaborazione, incluso l’hosting dei dati personali;
- Uber Italy S.r.l. veniva qualificata come responsabile del trattamento di Uber, in quanto forniva, per conto di Uber, attività di customer support (ricerca di partner/autisti e supporto agli stessi in fase di registrazione all’App), nonché di customer care (gestione delle segnalazioni) e attività di marketing (in realtà, lo svolgimento di tale attività non implicava il trattamento di dati personali da parte di Uber Italy S.r.l., in quanto quest’ultima si limitava ad adattare al contesto nazionale - predisponendo la relativa traduzione in lingua italiana - le campagne pubblicitarie realizzate da Uber a livello internazionale).
Tuttavia, l’Autorità aveva rilevato che, sulla base degli elementi acquisiti, si trattava in realtà di un rapporto di contitolarità. Invero, è stato evidenziato come, nell’ambito dei servizi forniti dall’App, le Società stabilissero congiuntamente le finalità e i mezzi del trattamento. In particolare, il Garante aveva constatato che:
- Uber Italy S.r.l. poteva consultare i dati personali relativi a tutti gli utenti, ivi compresi quelli che risiedono negli Stati Uniti, indipendentemente dal loro paese di residenza, dal luogo di registrazione all’App o da quello in cui era avvenuta la corsa, nonché a prescindere dalla presenza o meno di una segnalazione proveniente da un interessato italiano o ad altra specifica esigenza di servizio connessa alle attività poste in essere da Uber Italy S.r.l. che potesse giustificare la consultazione. Infatti, seppur in sede di richiesta di consultazione comparissero alcuni alert indicanti l’accesso limitato soltanto a specifiche esigenze di servizio, il Garante rilevava che la mera accettazione degli stessi era comunque condizione sufficiente per procedere alla ricerca. In tale ambito, la stessa Uber Italy S.r.l. aveva, altresì, espressamente dichiarato al Garante che i dipendenti avevano ricevuto indicazioni circa la possibilità di utilizzare solo i dati personali relativi agli utenti italiani al fine di svolgere le funzioni assegnate loro, ma avevano accesso a tutte le informazioni disponibili;
- Uber Italy S.r.l. poteva scaricare, in modalità massiva e sulla base di molteplici criteri di ricerca, i dati relativi a utenti che risiedevano negli Stati Uniti associati a qualsiasi servizio disponibile sull’App, senza che vi fosse alcuna relazione tra tali utenti e i servizi resi da Uber e Uber Italy S.r.l.;
- vi era un unico data base centralizzato situato nel territorio statunitense e i dati personali non erano separati internamente per aree geografiche di origine;
- Uber e Uber Technologies condividevano le medesime policy e misure di sicurezza e non risultava possibile individuare un esclusivo potere decisionale in capo a Uber – qualificata (erroneamente) dalle Società come titolare del trattamento – alla quale erano perlopiù affidate attività di adattamento al contesto locale;
- l’informativa pubblicata sul sito del Gruppo risultava essere la medesima per tutti gli utenti, indipendentemente dal paese di residenza degli interessati e, pertanto, indipendentemente dal soggetto qualificato come titolare del trattamento, menzionando, altresì, un unico indirizzo di contatto per l’esercizio dei diritti degli interessati. Per i motivi sopraesposti, rilevava il Garante, si poteva desumere che l’informativa era stata predisposta da un unico soggetto (i.e. Uber Technologies, eventualmente congiuntamente a Uber).
Nelle more dell’attività del Garante, Uber altresì specificava:
- di aver provveduto a limitare l’operatività delle funzioni dei dipendenti di Uber Italy S.r.l. che svolgevano attività di customer support e customer care, al fine di assicurare, anche da un punto di vista tecnico, che il personale del servizio clienti potesse accedere solamente ai dati personali funzionali alla risoluzione dello specifico ticket (incidente/reclamo/domanda);
- che l’eventuale separazione del database centralizzato situato negli USA sarebbe stata oggetto di valutazione da parte del Gruppo, con riguardo ai soli dati degli interessati raccolti sul territorio europeo.
Tuttavia, alla luce di quanto riscontrato, il Garante evidenziava che era già possibile individuare una violazione della normativa all’epoca vigente e applicabile, posto che l’informativa rilasciata a tutti gli utenti risultava inidonea poiché non indicante (i) la dichiarazione del rapporto di contitolarità tra le Società, nonché (ii) l’ambito di circolazione dei dati (dall’Europa agli Stati Uniti e viceversa).
Pertanto, in data 13 dicembre 2018, il Garante adottava il provvedimento n. 498, rilevando le seguenti violazioni da parte delle Società:
- Uber e Uber Technologies (inquadrati erroneamente quali titolare-responsabile) erano – in realtà – qualificabili come contitolari del trattamento, ciascuno responsabile delle operazioni di trattamento dei dati personali degli utenti italiani (autisti e passeggeri) avvenute in violazione del Codice Privacy;
- l’informativa che era stata resa agli utenti risultava inidonea, in quanto “formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento” e, in particolare:
- il modello non era correttamente formulato in quanto avrebbe dovuto fornire la chiara indicazione dell’ambito di circolazione dei dati, nonché del rapporto di contitolarità del trattamento tra le Società;
- non erano state sufficientemente specificate le finalità del trattamento in relazione alle categorie di dati personali oggetto del trattamento e non appariva chiara l’effettiva natura (obbligatoria o meno) del conferimento della molteplicità delle informazioni raccolte, nonché le conseguenze dell’eventuale rifiuto di fornirle;
- la formulazione dei diritti dell’interessato appariva generica e lacunosa, difettando peraltro dell’individuazione del diritto di aggiornamento e di opposizione per motivi legittimi;
- l’informativa rappresentava in maniera indistinta trattamenti di dati personali, i quali avrebbero dovuto essere oggetto di specifiche e differenziate formulazioni, poiché gli autisti e i passeggeri facevano parte di due distinti ambiti soggettivi e le categorie di dati raccolti, nonché le relative finalità e modalità del trattamento, erano diverse;
- per il perseguimento della specifica finalità qualificata come "indicatore del rischio di frode" e in merito alla segmentazione degli utenti con tale indicatore, mediante un punteggio qualitativo (es. “low”), nonché numerico (da 1 a 100) riportato sui profili di diversi utenti (rectius dei passeggeri), non era stata resa l’informativa, né era stato acquisito un valido consenso degli interessati;
- non era stato preventivamente notificato al Garante il trattamento dei dati per finalità di geolocalizzazione, in violazione di quanto disposto dall’art. 37, comma 1, lett. a) del Codice Privacy;
- le violazioni di cui sopra erano complessivamente riferite a 1.513.431 interessati, suddivisi in 1.379.853 passeggeri e 133.578 autisti; sul territorio italiano la violazione aveva riguardato i dati personali di 295.000 interessati suddivisi, rispettivamente, in 52.000 autisti e 243.000 passeggeri.
In conclusione, il Garante rilevava l’illiceità del trattamento e si riservava di contestare, con autonomo procedimento, le sanzioni amministrative corrispondenti alle violazioni sopra individuate.
Le contestazioni delle Società
Nell’ambito del procedimento, le contestazioni di cui sopra erano state, altresì, oggetto di replica, da parte delle Società, le quali avevano precisato che:
- in base all’art. 5 del Codice Privacy, nella sua formulazione antecedente, e in base al parere n. 8/2010 reso dal Working Party Art. 29, non risultava applicabile la legge italiana posto che Uber Italy S.r.l. aveva agito in qualità di responsabile del trattamento dei dati personali per conto di Uber, fornendo meri servizi di supporto alla clientela e servizi di marketing e, quindi, le attività di trattamento della società italiana non potevano essere ritenute come eseguite da uno stabilimento di Uber;
- non risultava corretta la qualificazione di contitolari del trattamento identificata dal Garante, posto che, come disciplinato nel “Data processing Agreement”, Uber Technologies agiva in qualità di responsabile del trattamento di Uber con riferimento ai dati degli utenti dell’App risiedenti al di fuori degli Stati Uniti;
- l’informativa, nonché tutti i documenti e i moduli messi a disposizione dell’utente, fornivano informazioni dettagliate circa le finalità del trattamento, l’obbligatorietà del conferimento di alcune informazioni, l’esercizio dei diritti degli interessati;
- l’informativa, ritenuta dal Garante “generica e approssimativa”, era disponibile online e, dunque, conoscibile dall’Autorità almeno dal 2015. In particolare, evidenziavano le Società, l’Autorità, in occasione dei precedenti contatti, non aveva mai messo in discussione l’informativa resa e quest’ultima non risultava essere stata in passato contestata da parte degli interessati, mediante segnalazioni o reclami;
- il valore “indicatore rischio frode” era inutilizzato da più di due anni e, in ogni caso, in base alla legge olandese – a loro dire applicabile alle attività di trattamento poste in essere per tali operazioni di trattamento – il consenso non era richiesto, in quanto Uber mostrava di avere un legittimo interesse a proteggere l’App;
- la mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione non poteva essere oggetto di contestazione, in quanto si trattava di una condotta di cui l’Autorità era a conoscenza già dal 2015. Le Società avevano, inoltre, specificato di aver provveduto a effettuare suddetta notificazione presso l’Autorità olandese e non anche presso il Garante, ritenendo, in buona fede, che la normativa italiana non fosse applicabile;
- la scelta di affidare la gestione delle policy e l’adozione di misure di sicurezza tecniche e organizzative in capo a un unico soggetto (i.e. Uber Technologies) era finalizzata a garantire un medesimo livello di tutela dei dati personali all’interno del Gruppo, analogamente a quanto effettuato da altre società che operano a livello globale;
- non sussisterebbero gli estremi per l’applicazione della sanzione di cui all’art. 164-bis, comma 2, del Codice Privacy, avendo le stesse agito sempre in buona fede e avendo collaborato proattivamente con il Garante sin dal 2015, nonché con l’Autorità olandese.
Le sanzioni amministrative
Nonostante quanto precisato dalle Società, il Garante, con l’ordinanza ingiunzione del 24 marzo 2022, contestava alle due Società, in qualità di contitolari del trattamento ex artt. 4, comma 1, lett. f) del GDPR e 28 del Codice Privacy, diverse violazioni e, in particolare, specificava quanto segue:
- in merito alla disciplina applicabile al caso di specie, risultavano sussistenti tutti i presupposti per affermare la competenza della legislazione italiana al trattamento di dati personali posto in essere da Uber, dal momento che Uber Italy S.r.l.:
- rappresentava un’organizzazione stabile sul territorio nazionale;
- svolgeva attività di trattamento inestricabilmente connesse al trattamento posto in essere dalle Società, ovvero effettuate nel contesto delle attività dello stabilimento del titolare del trattamento;
- agiva quale responsabile del trattamento, ma le attività poste in essere dalla stessa erano volte a consentire agli interessati, i cui dati personali erano raccolti sul territorio nazionale, di usufruire pienamente del servizio offerto dal Gruppo.
Il Garante ribadiva, infatti, che la legge applicabile risultava essere non quella dello Stato membro in cui risiedeva il titolare del trattamento, ma quella del Paese in cui le attività di trattamento erano effettivamente svolte, in considerazione altresì dei soggetti a cui erano effettivamente indirizzate (cfr. Ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s.r.l. - 14 giugno 2019 [9121486] e in ambito europeo, la sentenza della Corte di Giustizia UE C-131/12 del 13 maggio 2014 sul caso Google Spain e Google);
- con riguardo all’informativa resa agli utenti, le criticità già accertate nel provvedimento rilevavano comunque, a prescindere dalla circostanza che non erano state presentate segnalazioni e/o reclami da parte degli interessati in relazione a una lesione dei propri diritti;
- con riguardo alla mancata acquisizione di un consenso specifico in relazione al trattamento effettuato per la valutazione del c.d. “rischio frode”, il titolare del trattamento non aveva adempiuto ad alcuni obblighi previsti dalla disciplina applicabile, quali la mancata acquisizione del consenso “espresso liberamente e specificamente in relazione a un trattamento chiaramente individuato” di circa 1.379.000 passeggeri;
- con riguardo alla mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione, non rilevavano le ulteriori argomentazioni addotte dalle parti coinvolte, in quanto la disciplina applicabile prevedeva l’obbligo di preliminare notificazione del trattamento al Garante;
- l’applicazione della sanzione di cui all’art. 164-bis, comma 2, del Codice Privacy, considerato il rilevante numero di interessati i cui dati personali erano stati oggetto dei trattamenti posti in essere da entrambe le Società in violazione della normativa all’epoca vigente e applicabile (circa 1.514.000 tra autisti e passeggeri, e circa 1.379.000 passeggeri in relazione alla mancata acquisizione del consenso).
In conseguenza di tali considerazioni, nonché all’esito della sentenza emessa dal Tribunale di Roma con cui veniva dichiarata inammissibile l’opposizione proposta dalle Società, il Garante aveva irrogato alle Società stesse, contitolari del trattamento, sanzioni amministrative, sulla base dei fatti accertati e sopra riportati, per un importo pari a:
- 30.000,00 euro, per l’informativa inidonea resa agli interessati, in violazione dell’art. 161 del Codice Privacy, in relazione all’art. 13;
- 100.000,00 euro, per la mancata acquisizione di un consenso specifico in relazione al trattamento effettuato per la valutazione del c.d. “rischio frode”, in violazione dell’art. 162, comma 2-bis, del Codice Privacy, in relazione all'art. 23;
- 100.000,00 euro, per la mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione, in violazione dell’art. 163 del Codice Privacy, in relazione all'art. 37; e
- 300.000,00 euro, per i numerosi interessati coinvolti, ai sensi dell’art. 164-bis, comma 2, del Codice Privacy.
Nel valutare tali violazioni per determinare l’ammontare delle sanzioni pecuniarie, il Garante aveva, altresì, tenuto conto, ai sensi dell’art. 11 della legge n. 689/1981, dei seguenti aspetti:
- la gravità delle violazioni, considerando che le stesse risultano commesse in relazione a un rilevante numero di interessati;
- l’attività svolta dalle Società coinvolte per eliminare o attenuare le conseguenze della violazione, e in particolare delle modifiche approntate dalle stesse, soprattutto con riferimento all’informativa;
- la personalità del contravventore, rilevando che non risultavano presenti precedenti procedimenti sanzionatori nei confronti delle Società; e
- le condizioni economiche dell’autore della violazione, considerando il bilancio di esercizio per l’anno 2019.
Alla luce di quanto sopra, inoltre, il Garante aveva evidenziato che, tenuto conto delle condizioni economiche delle Società, nonché avuto riguardo ai dati relativi al fatturato complessivo e al numero di utenti coinvolti, le sanzioni sopra riportate risultavano inefficaci, dovendo pertanto, ai sensi dell’art. 164-bis, comma 4, del Codice Privacy, essere aumentate del quadruplo: a ogni società veniva, quindi, inflitta una sanzione pecuniaria pari a 2.120.000,00 euro[1].
[1] A tal riguardo, si evidenzia che, in data 12 maggio 2022, l'European Data Protection Board (“EDPB”) ha adottato le Linee Guida 04/2022 sul calcolo delle sanzioni amministrative (le “Linee Guida”) al fine di armonizzare la metodologia utilizzata dalle autorità di protezione dei dati dei diversi Stati membri e di fornire una base chiara e trasparente per la determinazione delle sanzioni da parte delle stesse autorità. Tali Linee Guida saranno ora sottoposte a consultazione pubblica per un periodo di 6 settimane. Dopo la consultazione pubblica, verrà adottata una versione finale delle stesse, considerando i riscontri e commenti delle parti interessate, e includerà una tabella di riferimento con una serie di punti di partenza per il calcolo delle sanzioni, correlando la gravità di una violazione con il fatturato di un'impresa.
Per un approfondimento di tali Linee Guida, si rimanda all’articolo pubblicato sull’Osservatorio TMT Data Protection disponibile qui.