Caso Uber: dall'esame delle violazioni arrivano interessanti spunti sulla contitolarità

di Vincenzo Colarocco

Sono di estremo interesse le conclusioni cui è giunto il Garante Privacy Italiano in merito alla contitolarità nell'ambito delle attività di trattamento poste in essere dal noto servizio di trasporto automobilistico privato, vittima di un consistente data breach rivelato solo a distanza di un anno.

Ripercorrendo gli ormai noti eventi, si ricorda come nel 2017, Uber Technologies Inc avesse reso pubblico un incidente di sicurezza, verificatosi nell'autunno del 2016, che aveva coinvolto i dati personali di circa 57 milioni di utenti in tutto il mondo, interessando, per lo più, dati identificativi e di contatto, informazioni concernenti la localizzazione, account e numero della patente di guida. Tale evento, con ripercussioni anche su utenti italiani, ha sollecitato la reazione istituzionale del Garante italiano per la protezione dei dati personali, che ha avviato un'istruttoria nei confronti della società americana, presso la sede italiana, volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale di tale incidente di sicurezza.

A seguito delle informazioni fornite dal Gruppo Uber si è potuto quindi  rilevare che Uber B.V. (società con sede nei Paesi Bassi) fosse il titolare del trattamento dei dati relativi a tutti gli autisti e passeggeri non statunitensi, nonché fornitrice dei servizi Uber agli utenti sul territorio italiano, mentre Uber Italy s.r.l. figurasse quale responsabile del trattamento di Uber B.V., fornendo servizi di supporto alla clientela e alcuni servizi di marketing per conto della stessa. Uber Technologies Inc., invece, veniva nominata responsabile del trattamento da Uber B.V., giusto contratto sottoscritto dalle società ed avente ad oggetto l'affidamento di alcune attività di elaborazione incluso l'hosting dei dati personali. Tenuto conto delle risultanze istruttorie e della documentazione acquisita, l'Autorità è però pervenuta ad alcune importanti considerazioni in ordine all'ambito soggettivo del trattamento dei dati, sostanzialmente confutando il sudescritto schema in ordine ai rapporti di titolarità e responsabilità. Nel dettaglio, il Garante, come desumibile dall'analisi del provvedimento n. 498 del 13 dicembre 2018, ha verificato:

a) l'esistenza di un unico data base centralizzato e situato in USA che non differenzia per aree geografiche di "origine" dei dati personali;

b) Uber B.V. condivide con Uber Technologies Inc. le medesime policy e misure di sicurezza nell'ottica di adottare a livello di gruppo misure tecniche e organizzative uniformi; non risultando pertanto possibile individuare un esclusivo potere decisionale al riguardo in capo alla titolare Uber B.V.;

c) l'informativa pubblicata sul sito di Uber è la medesima per tutti gli utenti, anche con riferimento a interessati che risiedono al di fuori degli Stati Uniti (rispetto ai quali il titolare del trattamento è Uber B.V.); circostanza da cui sembra potersi desumere che la stessa sia stata predisposta da un unico soggetto;

d) la suddetta informativa menziona un unico indirizzo di contatto per l'esercizio dei diritti degli interessati a prescindere dal fatto che si tratti di utenti residenti in USA o in area extra USA.

Gli elementi rilevati dall'Autorità Garante evidenziano la partecipazione di più soggetti nella definizione delle finalità e delle modalità del trattamento, con l'ovvia conseguenza che la rappresentazione dei ruoli fornita dal gruppo - in termini di titolarità esclusiva in capo ad Uber B.V per i dati relativi ad utenti che risiedono al di fuori degli Stati Uniti - non risulta essere adeguata, rendendosi necessaria una diversa qualificazione del rapporto esistente tra Uber Technologies Inc. e Uber B.V. che dovrebbe essere piuttosto configurato in termini di contitolarità del trattamento.

Avv. Vincenzo Colarocco

Studio Previti - Responsabile del Dipartimento di Protezione dei dati personali, compliance e sicurezza informatica