Η ιταλική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Garante) επέβαλε πρόστιμο 4.240.000 ευρώ στην Uber για παραβιάσεις που σχετίζονται με 1.500.000 υποκείμενα δεδομένων στην Ιταλία, συμπεριλαμβανομένης της έλλειψης διαφάνειας και συγκατάθεσης, καθώς και της μη ειδοποίησης της Αρχής για περιαστατικό παραβίασης προσωπικών δεδομένων.
Η ιταλική Αρχή ξεκίνησε έρευνα για την Uber B.V., με έδρα το Άμστερνταμ, και την Uber Technologies Inc., με έδρα στο Σαν Φρανσίσκο, αφού η μητρική εταιρεία των ΗΠΑ ενημέρωσε για μια παραβίαση δεδομένων το 2017.
Η Αρχή διαπίστωσε ότι η ολλανδική εταιρεία Uber Η BV και η αμερικανική εταιρεία Uber Technologies ήταν από κοινού υπεύθυνοι επεξεργασίας, καθένας υπεύθυνος για την παραβίαση έναντι των υποκειμένων των δεδομένων στην Ιταλία.
Κατά τη διάρκεια των επιθεωρήσεών της που πραγματοποιήθηκαν στην Uber Italy srl, η Αρχή διαπίστωσε αρκετές παραβιάσεις.
Το περιστατικό ασφαλείας, που συνέβη πριν από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων, αφορούσε τα δεδομένα περίπου 57 εκατομμυρίων υποκειμένων δεδομένων παγκοσμίως και είχαν επιβληθεί κυρώσεις από την ολλανδική και τη βρετανική Αρχή.
Τα προσωπικά δεδομένα που επεξεργάζεται η Uber αφορούσαν δεδομένα επικοινωνίας (όνομα, επώνυμο, αριθμός τηλεφώνου και e-mail), διαπιστευτήρια πρόσβασης στην εφαρμογή, δεδομένα τοποθεσίας και σχέσεις με άλλα υποκείμενα των δεδομένων (κοινή χρήση ταξιδιών, παρουσίαση φίλων, δημιουργία προφίλ).
Η DPA διαπίστωσε παραβιάσεις που σχετίζονται ιδίως με την ανεπαρκή ενημέρωση που παρέχεται στα υποκείμενα των δεδομένων, καθώς «διατυπώνεται με γενικό και κατά προσέγγιση τρόπο» με «ασαφείς και ελλιπείς πληροφορίες» και τρόπο μη ευνόητο. Οι σκοποί της επεξεργασίας δεν προσδιορίστηκαν επαρκώς, οι αναφορές στα δικαιώματα των υποκειμένων των δεδομένων ήταν ελλιπείς και δεν ήταν σαφές εάν τα υποκείμενα των δεδομένων ήταν υποχρεωμένα ή όχι να παράσχουν τα δεδομένα τους, ούτε ποιες θα ήταν οι συνέπειες μιας πιθανής άρνησης .
Στο πλαίσιο αυτό, η Αρχή εντόπισε παραβιάσεις που αφορούν 1,5 εκατομμύρια υποκείμενα δεδομένων στην Ιταλία, συμπεριλαμβανομένων οδηγών και επιβατών.
Κατά τον καθορισμό του ύψους των κυρώσεων, η Αρχή, εκτός από τη σοβαρότητα των παραβιάσεων που διαπιστώθηκαν, έλαβε επίσης υπόψη τον σημαντικό αριθμό των εμπλεκόμενων υποκειμένων των δεδομένων και τις οικονομικά δεδομένα της εταιρείας.
Η απόφαση είναι διαθέσιμη στα ιταλικά.