GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Trattamento illecito di dati personali
Registro dei provvedimenti n. 498 del 13 dicembre 2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
NELLA riunione odierna, in presenza del dott. XXX, presidente, della dott.ssa XXX, vicepresidente, della prof.ssa XXX, componente, della dott.ssa XXX, componente, e del dott. XXX, segretario generale;
VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito, “Direttiva 95/46/CE”);
VISTO il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento (UE) 2016/679”)
VISTI il d.lgs. 30 giugno 2003, n. 196 di attuazione della direttiva 95/46/CE (di seguito “D. lgs. n. 193/2003”) e il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (D.lgs. n. 196/2003, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTI gli atti d’ufficio e le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. ISTRUTTORIA DEL GARANTE
Il 21 novembre 2017 Uber Technologies Inc. – società con sede in USA – ha reso pubblico un incidente di sicurezza, verificatosi nell’autunno del 2016, che ha comportato una violazione delle informazioni (c.d. data breach) trattate dal Gruppo Uber (di seguito Uber) concernenti passeggeri e autisti (c.d. utenti). Il data breach avrebbe coinvolto i dati di circa 57 milioni di utenti in tutto il mondo, interessando, per lo più, dati identificativi e di contatto (indirizzo email e numero di cellulare) e informazioni concernenti la localizzazione, l’account (username e password in formato “hashed” e “salted”) e il numero della patente di guida (in quest’ultima circostanza con esclusivo riferimento agli autisti).
Merita evidenziare che Uber è un gruppo multinazionale (la cui capogruppo ha sede negli Stati Uniti) operante in diversi paesi in tutto il mondo, che fornisce un servizio di trasporto automobilistico privato attraverso un’applicazione mobile (di seguito “App”) volta a mettere in collegamento diretto passeggeri e autisti. Il servizio è interamente gestito mediante la suddetta App: a partire dalla prenotazione dell’auto disponibile più vicina sino al relativo pagamento. In particolare è possibile avere una stima del tempo di attesa e della tariffa richiesta per la corsa, tenere traccia in tempo reale della posizione dell’auto prenotata, nonché visualizzare i percorsi effettuati.
Uber presta i suoi servizi anche in Italia dal 2013 e, a fronte di diverse controversie legali, opera esclusivamente nel settore degli NCC (Noleggio con Conducente) nelle seguenti città: Napoli, Milano, Roma, Reggio Emilia, Rimini e Trieste.
A seguito del data breach, che ha interessato anche utenti italiani, il Garante ha pertanto avviato un’istruttoria volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza.
Ciò premesso, in data 23 novembre 2017 l’Autorità ha inviato una richiesta di informazioni ad Uber Italy s.r.l. – società con sede in Milano che svolge sul territorio nazionale, per conto di Uber, non soltanto attività di marketing ma anche, principalmente, attività di assistenza agli autisti e alla clientela– al fine di acquisire maggiori elementi relativamente all’incidente che ha portato alla violazione dei dati personali raccolti nell’ambito dell’espletamento del servizio sul territorio italiano. Ne è seguita una complessa istruttoria, comprensiva anche di accertamenti in loco, all’esito della quale si è potuto rilevare che:
Uber B.V. (società con sede nei Paesi Bassi) “è il titolare del trattamento dei dati relativi a tutti gli autisti e passeggeri non statunitensi”(v. nota del 26 febbraio 2018, p. 3); Uber Technologies Inc. è stata nominata responsabile del trattamento da Uber B.V., giusto contratto sottoscritto dalle società e denominato “Support services agreement” avente ad oggetto l’affidamento di alcune attività di elaborazione incluso l’hosting dei dati personali (v. nota del 26 febbraio 2018, pp. 3 e 13 e nota del 6 dicembre 2017, all. 2); Uber Italy s.r.l. “è un responsabile del trattamento di Uber B.V. […] che fornisce servizi di supporto alla clientela e alcuni servizi di marketing per conto di Uber B.V.” (v. nota del 26 febbraio 2018, p. 4);
Uber B.V. è il soggetto che fornisce, per il tramite dell’App, i servizi Uber agli utenti sul territorio italiano; Uber Italy s.r.l. effettua, per conto di quest’ultima, “esclusivamente attività di marketing e customer support”. In particolare, lo svolgimento della prima attività non implica il trattamento di dati personali da parte di Uber Italy s.r.l. in quanto quest’ultima si limita ad adattare al contesto nazionale - predisponendo la relativa traduzione in lingua italiana - le campagne pubblicitarie realizzate da Uber B.V. a livello internazionale; l’attività di customer support consiste nella fornitura di servizi di assistenza (ricerca di partner/autisti e supporto agli stessi in fase di registrazione alla piattaforma Uber), nonché di customer care (in particolare gestione di segnalazioni) (v. verbale del 9 aprile 2018, pp. 2 e 3);
in base agli accessi effettuati all’applicazione deputata alla gestione interna delle segnalazioni e all’applicazione che consente la ricerca di un utente anche in assenza dell’apertura delle stesse, “è possibile consultare i dati relativi a viaggi effettuati” anche su territori extra Ue “a prescindere dalla nazionalità/residenza del cliente passeggero, dal paese in cui stata effettuata la corsa oggetto di segnalazione nonché dal paese di registrazione della piattaforma”; nessuna delle citate applicazioni evidenzia “il paese di registrazione degli utenti” (v. verbale del 9 aprile 2018, pp. 4 e 5 e nota del 30 aprile 2018, punto 6). Inoltre, “è possibile scaricare in modalità massiva, in formato CSV, i dati relativi a clienti associati a tutti i servizi a marchio Uber (anche in aerea USA) in base a diversi criteri ricerca (ad esempio country ID, signup city ID, flow type)” (verbale del 10 aprile 2018 p. 2). A tale riguardo, Uber ha puntualizzato che “al momento, i dati sono conservati in un data base centralizzato” e che Uber B.V. “sta considerando la possibilità di conservare i dati EU in un database separato” (v. nota del 30 aprile 2018, punto 8);
i dipendenti di Uber Italy S.r.l., assegnati previo specifico incarico al team del “customer support”, hanno accesso mediante le sopra citate applicazioni, alle seguenti informazioni relative agli utenti: dati identificativi e di contatto (quali indirizzo e mail e telefono cellulare), elenco delle corse effettuate (incluso il dettaglio del relativo tragitto), dati relativi ai pagamenti (importo, valuta e nel caso di utilizzo di carte di credito il circuito e le ultime quattro cifre della carta), il rating “calcolato come media delle valutazioni rese dagli utenti e relative alle ultime corse effettuate (in tutto il territorio mondiale)”, l’indice di rischio frode (c.d. fraud risk) e la dicitura “banned” assegnati al passeggero (v. verbale del 9 aprile 2018, pp. 4 e 5 e nota del 30 aprile 2018, punti 10 e 13);
l’accesso alle citate applicazioni è soggetto ad una procedura di autenticazione a due fattori basata su username/password e una one time password generata mediante una mobile app (v. verbale del 9 aprile 2018, p. 4);
l’indice di rischio frode relativo ai passeggeri risulta “essere espresso in termini qualitativi (ad es. low) e quantitativi (ad es. 24/100)” e tale indicatore “è ancora presente nei vecchi account, ma non è stato utilizzato o aggiornato negli ultimi due anni” (v. verbale del 10 aprile 2018, p. 3 e nota del 30 settembre 2018, punto 13);
Uber B.V. “ha adottato le medesime policy e misure di sicurezza di UTI [Uber Technologies Inc.]” in quanto “è pratica generalizzata per le società presenti a livello globale adottare misure tecniche e organizzative uniformi in modo da garantire un’adeguata protezione dei dati all’interno del Gruppo” (nota del 30 aprile 2018, punto 15);
agli utenti afferenti all’area italiana è attribuito un codice c.d. country ID in base “ad una combinazione di informazioni di localizzazione ottenute attraverso l’applicazione Uber mobile o attraverso il sito al momento della prima registrazione dell’utente, il prefisso del numero di cellulare fornito, il luogo del primo viaggio, le informazioni raccolte dai collaboratori di Uber al momento dell’iscrizione qualora gli autisti la effettuino presso un centro di assistenza in-person” (v. verbale del 10 aprile 2018, p. 3 e nota del 30 aprile 2018, punto 18).
2. VALUTAZIONI DI MERITO
Tenuto conto delle risultanze istruttorie e della documentazione acquisita nonché del quadro normativo di riferimento, questa Autorità ha provveduto ad effettuare opportuni approfondimenti in merito ai trattamenti correlati ai servizi Uber, pervenendo alle considerazioni che seguono.
In ordine all’ambito soggettivo, la rappresentazione dei ruoli fornita dal gruppo Uber in termini di titolarità esclusiva in capo ad Uber B.V per i dati relativi ad “utenti che risiedono al di fuori degli Stati Uniti” non appare coerente con quanto riscontrato in sede di accertamenti ispettivi; ciò rende necessaria una diversa qualificazione del rapporto esistente tra Uber Technologies Inc. e Uber B.V. che dovrebbe essere piuttosto configurato in termini di contitolarità del trattamento. Tale considerazione deriva da una serie di elementi che sono stati oggetto di approfondimento, nonché di accertamento in sede di attività ispettiva posta in essere dal Garante presso la sede di Uber Italy s.r.l. In particolare:
a) gli accessi effettuati in loco hanno evidenziato che Uber Italy s.r.l., in qualità di responsabile del trattamento di Uber B.V.:
può consultare i dati personali relativi agli utenti Uber (anche quelli concernenti l’area USA) a prescindere dal paese di residenza dell’interessato o da quello in cui ha avuto luogo la registrazione nonché dal luogo in cui gli stessi sono stati raccolti in occasione della corsa. Tale possibilità di consultazione non è apparsa giustificata dalla circostanza che la ricerca fosse correlata o meno ad una segnalazione proveniente da un interessato italiano o ad altra specifica esigenza di servizio connessa alle attività poste in essere da Uber Italy s.r.l. (v. verbale del 9 aprile 2018, pp. 4 e 5 e nota del 30 aprile 2018, punto 6). E’ stato difatti constatato che, sebbene in sede di richiesta di consultazione comparissero alcuni alert volti a richiamare l’attenzione sulla circostanza che l’accesso dovesse essere limitato a specifiche esigenze di servizio, la mera accettazione degli stessi era comunque condizione sufficiente per procedere. Ad ulteriore conferma di tale considerazione, si rappresenta altresì che Uber ha espressamente dichiarato al Garante che “i dipendenti avevano accesso a tutte le informazioni presenti [sulle predette applicazioni]” pur avendo l’“ordine di utilizzare solo i dati personali relativi agli utenti italiani al fine di svolgere tali funzioni”. In merito, Uber ha inoltre dichiarato che, proprio al fine di dare effettiva attuazione a tale “ordine”, ad aprile di quest’anno, è stata limitata l’operatività di tali funzioni al fine di assicurare, anche da un punto di vista tecnico, che il personale del servizio clienti abbia “la possibilità di accedere solamente ai dati personali funzionali alla risoluzione dello specifico ticket (incidente/reclamo/domanda)” (v. nota del 30 aprile 2018, punto 6);
può scaricare, in modalità massiva e sulla base di molteplici criteri di ricerca, i dati relativi ad utenti che risiedono negli Stati Uniti associati a qualsiasi servizio Uber, senza che vi sia alcuna relazione tra tali utenti e i servizi resi da Uber B.V. e Uber Italy s.r.l. (v. verbale del 10 aprile 2018 p. 2);
b) ad oggi esiste un unico data base centralizzato situato in USA e, dagli accessi in loco, non è emersa alcuna separazione interna (nemmeno logica) per aree geografiche di “origine” dei dati personali; a conferma di ciò, in merito, Uber ha rappresentato che sarà oggetto di valutazione da parte del gruppo un’eventuale successiva separazione del suddetto data base con riguardo ai soli dati degli interessati raccolti sul territorio europeo (v. nota del 30 aprile 2018, punto 8);
c) Uber B.V. condivide con Uber Technologies Inc. le medesime policy e misure di sicurezza nell’ottica di adottare a livello di gruppo misure tecniche e organizzative uniformi. In questo contesto, non è stato possibile individuare un esclusivo potere decisionale al riguardo in capo ad Uber B.V.; ciò anche considerato che, come dichiarato da Uber, Uber B.V. “ha incaricato il proprio responsabile del trattamento, Uber Technologies Inc., di decidere ed implementare le misure tecniche e organizzative necessarie alla protezione dei dati personali relativi a passeggeri e autisti italiani” e al contempo però “Uber B.V. è incaricata e responsabile di assicurare che dette misure siano conformi alle normative [europee] locali” (nota del 30 aprile 2018, punto 15);
d) l’informativa pubblicata sul sito di Uber è la medesima per tutti gli utenti, anche con riferimento a interessati “che risiedono al di fuori degli Stati Uniti” rispetto ai quali il “titolare del trattamento è Uber B.V.”; circostanza da cui sembra potersi desumere che la stessa sia stata predisposta da un unico soggetto (verosimilmente da Uber Technologies Inc., eventualmente congiuntamente ad Uber B.V.). Ad ulteriore conferma di tale considerazione si rappresenta che la suddetta informativa menziona un unico indirizzo di contatto per l’esercizio dei diritti degli interessati a prescindere dal fatto che si tratti di utenti residenti in USA o in area extra USA (v. Informativa del 1 novembre 2017, pubblicata su www.uber.com).
Gli elementi sopra sintetizzati, evidenziano la partecipazione di più soggetti (Uber B.V. e Uber Technologies Inc.) nella definizione delle finalità e delle modalità del trattamento posto in essere nell’ambito del servizio Uber, a fronte di determinazioni che vengono assunte in una dimensione globale (v. in merito, Gruppo ex art. 29, WP 169 del 10 febbraio 2010, pp. 18-23). Uber Technologies Inc., invero, in qualità di capogruppo, predispone le policy di funzionamento e di gestione del servizio, concependole in maniera unitaria nell’interesse di tutte le società facenti parte del gruppo, residuando di fatto in capo ad Uber B.V. solo alcuni poteri decisionali per lo più limitati ad attività di mero “adattamento” al contesto locale.
La riqualificazione dei rapporti tra Uber B.V. e Uber Technologies Inc. in termini di contitolarità ha immediate ripercussioni sulla conformità alla normativa di protezione dei dati dell’informativa rilasciata agli utenti, considerato che quest’ultima, nella versione datata 1° novembre 2017, prevede che, “per gli utenti che risiedono negli Stati Uniti, il [titolare] del trattamento dei dati raccolti da Uber o dalle sue affiliate è Uber Technologies Inc.”, mentre per “gli utenti che risiedono al di fuori degli Stati Uniti il [titolare] del trattamento dei dati è Uber B.V.” (v. Informativa del 1 novembre 2017). Tale modello non è pertanto correttamente formulato in quanto avrebbe dovuto fornire, per le ragioni sopra esposte, la chiara indicazione dell’ambito di circolazione dei dati nonché del rapporto di contitolarità del trattamento.
Inoltre, in termini più generali, l’informativa resa agli utenti è formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento.
A titolo esemplificativo si evidenzia che:
a) non sono sufficientemente specificate le finalità del trattamento in relazione alle categorie di dati personali oggetto del trattamento (v. Informativa, cit., sez. “Informazioni raccolte da Uber” e “Come utilizziamo le tue informazioni”, pp. 2-4);
b) in relazione a quest’ultimo aspetto, non appare inoltre chiara l’effettiva natura (obbligatoria o meno) del conferimento della molteplicità delle informazioni raccolte, nonché le conseguenze dell’eventuale rifiuto di fornirle (v. in particolare, Informativa cit., “Informazioni raccolte da Uber - informazioni sulla posizione”, p. 3);
c) con riferimento ai diritti dell’interessato, la formulazione appare generica e lacunosa, difettando peraltro dell’individuazione del diritto di aggiornamento e di opposizione per motivi legittimi (v. Informativa, cit., sez. “Conservazione e cancellazione delle informazioni”, p. 9);
d) l’informativa rappresenta in maniera indistinta trattamenti di dati personali che, in ragione del diverso ambito soggettivo cui si riferiscono (autisti e passeggeri), delle connesse categorie di dati raccolti nonché delle relative finalità e modalità del trattamento, dovrebbero essere oggetto di specifiche e differenziate formulazioni.
Con riferimento all’indicatore di rischio frode, riportato su diversi profili passeggeri, che si sostanzia in un punteggio qualitativo (es. “low”) nonché numerico (da 1 a 100), deve altresì rilevarsi che, rispetto a tale segmentazione della clientela, non consta, all’esito degli accertamenti, che una informativa sia stata resa (art. 13 del D.lgs. 196/2003), né di riflesso che sia stato al riguardo acquisito un valido consenso degli interessati in relazione al perseguimento di tale specifica finalità (art. 23 del D.lgs. 196/2003).
Relativamente agli ulteriori adempimenti posti in capo al titolare del trattamento, si rileva che, con riferimento al trattamento dei dati idonei a rivelare la posizione geografica degli utenti (v. verbale del 9 aprile, p. 2; nota del 6 dicembre 2017, p. 2), non risulta essere stata effettuata al Garante la notificazione ai sensi dell’art. 37, comma 1, lett. a) del D.lgs. 196/2003.
Si rappresenta da ultimo che, in sede di accertamenti ispettivi, è stato rilevato che gli utenti Uber ai quali è stato attribuito il codice paese “83” corrispondente all’area italiana (v. infra, punto 2), sono complessivamente 1.513.431, suddivisi in 1.379.853 passeggeri e 133.578 autisti. In merito, pertanto si osserva che le considerazioni effettuate nel presente paragrafo in ordine alle sopra evidenziate violazioni della disciplina in materia di protezione dei dati s’intendono riferite a tale numero di soggetti interessati.
3. CONCLUSIONI
Alla luce delle risultanze istruttorie di cui sopra, l’Autorità rileva l’illiceità del trattamento con riferimento a quanto accertato al punto 2 e si riserva, pertanto, con autonomo procedimento, di contestare le violazioni amministrative concernenti i profili afferenti l’accertata inidonea informativa (artt. 13 e 161 del D.lgs. 196/2003) resa da Uber, la mancata acquisizione di un valido consenso degli interessati in relazione ai dati trattati ai fini dell’individuazione dell’indice di rischio frode (artt. 23 e 162, comma 2-bis del D.lgs. 196/2003), nonché la mancata notificazione al Garante dei trattamenti dei dati idonei a rivelare la posizione geografica degli utenti (artt. 37, comma 1, lett. a) e 163 del D.lgs. 196/2003), considerato altresì quanto disposto dall’art. 164-bis, comma 2 del D.lgs. 196/2003.
Si rileva da ultimo che l’applicazione del Regolamento(UE) 2016/679,rende opportuna la trasmissione del presente provvedimento all’Autorità di protezione dei dati olandese in qualità di Autorità capofila per ogni eventuale valutazione e determinazione di competenza; ciò anche al fine di valutare l’eventuale conformità al Regolamento(UE) 2016/679 dei trattamenti in essere.
TUTTO CIO’ PREMESSO, IL GARANTE:
ai sensi dell’art. 58 del Regolamento(UE) 2016/679 rileva l’illiceità del trattamento posto in essere in vigenza della Direttiva 95/46/CE e del D.lgs. 196/2003 da Uber B.V. e Uber Technologies Inc. nei termini di cui in premessa e si riserva, con autonomo procedimento, di valutare la contestazione delle violazioni amministrative sopra individuate.
Ai sensi dell’art. 78 del Regolamento(UE) 2016/679, nonché dell’art. 152, comma 1-bis del Codice, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 13 dicembre 2018
IL PRESIDENTE
XXX
IL RELATORE
XXX
IL SEGRETARIO GENERALE
XXX
Fonte: Autorità Garante