Una importante infracción de privacidad ha derivado en una multa de 2 millones de euros y otra de 120.000 euros impuesta por la autoridad de control de Italia, Garante, a dos compañías de Uber.
Una infracción de privacidad que ha afectado a 1,5 millones de interesados ha derivado en dos multas, de 2 millones de euros y 120.000 euros respectivamente, impuestas a Uber por la autoridad de control de Italia, Garante, según este informe. Uber BV tiene una oficina en Ámsterdam y Uber Technologies Inc. (UTI) cuenta con una oficina registrada en San Francisco. Las dos oficinas fueron consideradas responsables de la infracción de privacidad que afectó a 1,5 millones de usuarios italianos, incluidos conductores y pasajeros. En el curso de una investigación llevada a cabo tras una violación de privacidad que la compañía hizo pública en 2017, la autoridad de control italiana concluyó que Uber había cometido varias infracciones de privacidad, incluido el tratamiento de datos personales sin consentimiento y la ausencia de notificación de la violación de privacidad a la autoridad de control.
Uber ya había sido multado por otras dos autoridades de control en Europa por la misma infracción.
Una infracción de privacidad que tuvo lugar antes de que el RGPD fuese aplicable derivó en dos multas impuestas a Uber, una por parte de la autoridad de control de los Países Bajos y otra por la autoridad de control de Reino Unido, sobre la base de sus respectivas normativas nacionales. Los datos personales tratados por Uber incluyen información personal y de contacto (nombre, número de teléfono y también email), credenciales de acceso a la app, datos de localización, relaciones con otros usuarios (viajes compartidos, amigos, información de perfiles), entre otros.
Garante ha multado tanto a Uber BV como a Uber Technologies Inc por varias infracciones de privacidad.
Garante ha sancionado a la compañía de los Países bajos, Uber BV y a la compañía estadounidense, Uber Technologies Inc, como corresponsables del tratamiento. Las dos empresas fueron consideradas responsables por infringir la normativa de privacidad europea y perjudicar a los usuarios italianos. Las multas se vinculan con la falta de transparencia en la información proporcionada a los usuarios (no se les comunicaba la relación de corresponsabilidad). De acuerdo a Garante, esta información estaba “formulada de manera genérica y aproximada”, contaba con “datos poco claros e incompletos” y “no era fácil de comprender”.
Según la autoridad de control italiana, las finalidades de tratamiento no se especificaban de manera óptima en la información, las referencias a los derechos de los usuarios eran vagas e incompletas y no quedaba claro si los usuarios estaban o no obligados a proporcionar sus datos, o si había consecuencias en caso de oponerse a ello. Además, la compañía habría tratado datos personales de aproximadamente 1.379 pasajeros sin contar con un consentimiento válido, y realizó elaboración de perfiles sobre la base de “riesgo de fraude”. Finalmente, Uber tampoco notificó a la autoridad de control el tratamiento de datos con finalidad de geolocalización, tal y como requería la normativa previa al nuevo RGPD.
La autoridad de control de Italia ha impuesto dos multas en este caso: una de 2 millones de euros y otra de 120.000 euros.
En la determinación de la cuantía de las multas, Garante tuvo en cuenta la seriedad de las infracciones, el número de personas afectadas y las condiciones económicas de la sociedad. En consecuencia, Garante decidió imponer dos multas, de 2 millones de euros y 120.000 euros respectivamente, a Uber BV y Uber Technologies Inc.