L'Autorità olandese per la protezione dei dati, (“Autoriteit Persoonsgegevens” o “AP”), con provvedimento del 22 luglio 2024, pubblicato il 26 agosto 2024, ha emesso una sanzione amministrativa pecuniaria di 290 milioni di euro a carico della società Uber per la violazione dell’art. 44 del Regolamento (UE) 2016/679 (“GDPR”). La decisione è stata assunta in seguito alle verifiche condotte sull’operato della società, rea di aver trasferito i dati personali dei conducenti europei verso gli Stati Uniti, in assenza delle misure prescritte dal Capo V del GDPR.
L’indagine condotta dall’autorità olandese
L’attività istruttoria dell’autorità olandese ha tratto impulso dalle segnalazioni di oltre 170 autisti francesi – rappresentati dall’associazione francese “La Ligue des droits de l’Homme” – i quali avevano sollevato preoccupazioni riguardo al trattamento dei loro dati personali da parte di Uber, decidendo di presentare un reclamo formale alla “Commission nationale de l’informatique et des libertés” (“CNIL”), l’autorità francese per la protezione dei dati personali.
Tuttavia, tenuto conto delle regole prescritte dagli art. 56 e ss. del GDPR e del “meccanismo dello sportello unico”, “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento”; pertanto, nel caso di Uber – avente sede principale nei Paesi Bassi – l’autorità competente è quella olandese. Nel corso dell’indagine, quest’ultima ha, comunque, cooperato con la CNIL, assicurando un approccio armonizzato a livello europeo ed individuando la sanzione più adeguata rispetto alle violazioni accertate.
Il caso di specie
Come anticipato, l’AP ha inflitto una pesantissima sanzione ad Uber (la terza dal 2018 con la somma finora più alta). Tra le principali violazioni riscontrate, si ravvisa il trasferimento di dati personali riferibili agli autisti (comprensivi anche di informazioni sanitarie e penali) negli USA, mediante archiviazione su server americani tra cui: nel dettaglio, si tratta di dati dell’account e delle licenze dei taxi, i dati relativi alla posizione, le foto, i dettagli dei pagamenti, le informazioni contenute nei documenti d’identità e, in alcuni casi, persino i dati medici degli autisti. Secondo quanto ricostruito dall’autorità olandese, in collaborazione con la CNIL, i dati venivano raccolti nel contesto dell’iscrizione degli autisti all’applicazione mobile impiegata nello svolgimento del loro lavoro. Il trasferimento illecito avrebbe avuto luogo per oltre due anni (dal 6 agosto 2021 al 27 novembre 2023), periodo nel corso del quale, la società non avrebbe adoperato alcuno tra gli strumenti indicati dagli artt. 44 e ss. per il trasferimento dei dati all’estero.
Sul tema, si era espressa la Corte di Giustizia Europea, che, in seguito all’invalidazione del “Privacy Shield” nel 2020, aveva sottolineato l’importanza nella sottoscrizione delle cd. clausole contrattuali standard, quali strumento idoneo per il trasferimento di dati verso Paesi al di fuori dell’UE, nel caso in cui la Commissione non avesse assunto una decisione di adeguatezza, così come previsto per il trasferimento dei dati negli USA prima dell’adozione del “Data Privacy Framework” del 10 luglio 2023.
L’AP – dopo aver ripercorso le nozioni normative di “trasferimento dei dati personali all’estero”, di “titolare del trattamento” e di “dati personali, corredandole dalla giurisprudenza della Corte di Giustizia – ha motivato la propria decisione ribaltando le argomentazioni difensive di Uber. A parere della società, la decisione degli autisti di iscriversi all’applicazione mobile – e di accettare le condizioni generali inserendo i propri dati – era imputabile esclusivamente a questi ultimi. L’autorità, al contrario, ha asserito che è la società olandese a qualificarsi titolare del trattamento, in quanto individua mezzi e finalità del trattamento dei dati personali degli autisti interessati. Inoltre, tramite l’archiviazione su server americani – in assenza di qualsiasi controllo – ha assunto la qualifica di “esportatore” di dati personali, ponendo in essere un trattamento contrario a quanto sancito dal GDPR.
Conclusioni
La vicenda che ha coinvolto ancora una volta Uber sottolinea l’importanza cruciale dell’attenzione che le aziende debbano prestare al trattamento dei dati personali degli interessati, valutando preliminarmente le implicazioni delle attività di business condotte. La conformità alla normativa in tema di protezione dei dati personali non costituisce soltanto un obbligo legale, ma anche una responsabilità etica verso gli interessati. Uber dovrà continuare a collaborare con le autorità competenti per assicurare che in futuro vengano rispettati gli standard di protezione dei dati imposti dall’UE.
Avv. Rossella Bucca e Dott.ssa Valentina Prando