Sanzione di 4.240.000,00 Euro a UBER

Rispondi
Giancarlo Favero
Messaggi: 138
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.240.000,00 Euro a UBER

Messaggio da Giancarlo Favero »

E' passata un po' in sordina questa mega-sanzione di 2.120.000,00 Euro a testa, ad Uber B.V., in persona del legale rappresentante pro-tempore, con sede legale in Meester Treublan n. 7, Amsterdam (Paesi Bassi), e ad Uber Technologies Inc., in persona del legale rappresentante pro-tempore, con sede legale in Market Street n. 1455, San Francisco, California, per un totale di 4.240.000,00 Euro, che non sono poi due bruscolini.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9771142

Grazie e buona lettura,
Giancarlo Favero

[doc. web n. 9771142]

Ordinanza ingiunzione nei confronti di Uber B.V. e Uber Technologies Inc. - 24 marzo 2022

Registro dei provvedimenti
n. 101 del 24 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante, con atto n. 6254/96792/124735 del 21 febbraio 2019 (notificato mediante posta raccomandata) che qui deve intendersi integralmente richiamato, ha contestato a Uber B.V., in persona del legale rappresentante pro-tempore, con sede legale in Meester Treublan n. 7, Amsterdam (Paesi Bassi), e a Uber Technologies Inc., in persona del legale rappresentante pro-tempore, con sede legale in Market Street n. 1455, San Francisco, California, le violazioni previste dagli artt. 161, 162, comma 2-bis, 163 e 164-bis, comma 2, del Codice in materia di protezione dei dati personali (d.lgs. 196/2003, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche intervenute a seguito dell’entrata in vigore del d.lgs. 101/2018), in relazione agli artt. 13, 23 e 37 del medesimo Codice;

RILEVATO che, dall’esame degli atti del procedimento sanzionatorio, avviato con l’atto di contestazione di cui sopra, è emerso che:

- a seguito di un data breach, verificatosi nell’autunno del 2016, che ha coinvolto i dati di circa 57 milioni di utenti in tutto il mondo, tra cui anche utenti italiani, il Garante ha avviato una complessa attività istruttoria nei confronti di Uber B.V. (di seguito UBV) e Uber Technologies Inc. (di seguito UTI) volta ad acquisire elementi di valutazione in ordine alla portata in ambito nazionale dell’incidente di sicurezza occorso, inviando a tal proposito una richiesta di informazione a Uber Italy s.r.l. (nota del 23 novembre 2017) e provvedendo, successivamente, a svolgere un accertamento ispettivo presso la sede di Uber Italy s.r.l., in Milano, in data 9 e 10 aprile 2018. Dall’esame della documentazione complessivamente acquisita, è emerso che il data breach ha riguardato: dati anagrafici e di contatto (nome, cognome, numero di telefono e e-mail), credenziali di accesso all’app, dati di localizzazione (quali risultavano al momento della registrazione), relazione con altri utenti (ovvero condivisione di viaggi, presentazione di amici e alcune informazioni di profilazione). Sul territorio italiano, la violazione ha riguardato dati di 295.000 interessati (52.000 autisti e 243.000 passeggeri);

- all’esito dell’istruttoria svolta dall’Ufficio, il Garante ha adottato, in data 13 dicembre 2018, il provvedimento n. 498 (reperibile in www.gpdp.it, doc. web n. 9069046, di seguito “Provvedimento”), al quale si fa integralmente richiamo;

- nel citato provvedimento, il Garante ha dichiarato che i ruoli ricoperti da UBV e UTI, inquadrati nel rapporto titolare-responsabile, non fossero correttamente qualificati, in quanto gli elementi acquisiti nell’ambito dell’istruttoria e nel corso degli accessi ispettivi eseguiti presso la sede di Uber Italy s.r.l., hanno consentito di qualificare le società UBV e UTI come contitolari del trattamento, ciascuna responsabile delle operazioni di trattamento dei dati personali degli utenti italiani (autisti e passeggeri) avvenute in violazione delle disposizioni del Codice;

- in particolare, in base a quanto stabilito nel provvedimento, è stato accertato che l’informativa resa agli utenti, ai sensi dell’art. 13 del Codice, risultava inidonea, in quanto “formulata in maniera generica e approssimativa, contenendo informazioni poco chiare e incomplete, di non facile comprensione per gli interessati nonché passibili di generare confusione sui diversi aspetti del trattamento”;

- è stato, altresì, accertato che con riferimento alla specifica finalità qualificata come “indicatore del rischio frode”, non era stata resa l’informativa né acquisito un valido consenso degli interessati, ai sensi degli artt. 13 e 23 del Codice;

- infine, è stato rilevato che il trattamento dei dati idonei a rivelare la posizione geografica degli utenti veniva effettuato in assenza della preventiva notificazione al Garante, come prescritto dagli artt. 37 e 38 del Codice;

RILEVATO che, con il citato atto del 21 febbraio 2019, sono state contestate alle due società, in qualità di contitolari del trattamento ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice:

- la violazione amministrativa prevista dall’art. 161 del Codice, in relazione all’art. 13, con riferimento al rilascio di una informativa inidonea;

- la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 23, con riferimento alla mancata acquisizione del consenso;

- la violazione amministrativa prevista dall’art. 163 del Codice, in relazione all’art. 37, per la omessa notificazione al Garante;

- infine, la violazione prevista dall’art. 164-bis, comma 2, del Codice, in riferimento alla circostanza che le violazioni commesse sono riferite a banche date di particolare rilevanza o dimensioni;

RILEVATO dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981 che non risulta effettuato il pagamento in misura ridotta in relazione alle violazioni di cui agli artt. 161, 162, comma 2-bis, e 163 del Codice;

VISTI gli scritti difensivi, inviati ai sensi dell’art. 18 della legge n. 689/1981 in data 3 aprile 2019, che rinviano integralmente alle memorie presentate al Tribunale Civile di Roma, in sede di opposizione al provvedimento del Garante, con cui la parte ha, in sintesi, ha:

- contestato l’applicabilità della legge italiana al caso di specie. Ciò in quanto, in base all’art. 5 del d.lgs. 196/2003, nella formulazione antecedente le modifiche introdotte con il d.lgs. 101/2018, e tenendo conto del Parere n. 8/2010 reso dal Gruppo Art. 29, la normativa italiana sarebbe applicabile “solo se le attività di trattamento di Uber Italy in Italia venissero ritenute come eseguite da uno stabilimento di UBV e nel contesto delle attività di Uber Italy (e non UBV)”. Invece, è indubbio che Uber Italy agisce solo quale responsabile del trattamento dei dati personali per conto di UBV, fornendo meri servizi di supporto alla clientela e servizi di marketing, come è stato documentato nel corso dell’istruttoria. Il Garante, a conoscenza sin dal 2015 (in occasione di un primo invito a fornire informazioni rivolto alla società) del ruolo di Uber Italy quale responsabile del trattamento, ha ritenuto, comunque, applicabile la normativa italiana (e non quella olandese) “senza alcuna giustificazione con conseguente vizio della Decisione per quanto riguarda l’assoluta carenza di motivazione”;

- nell’atto di ricorso in opposizione al provvedimento, viene ampiamente argomentato circa il ruolo di titolare del trattamento ricoperto da UBV, con riferimento al trattamento dei dati personali degli utenti dell’app Uber al di fuori degli Stati Uniti, tra cui anche quelli degli utenti dell’app Uber in Italia; al riguardo, è stato precisato che “UTI agisce in qualità di responsabile del trattamento di UBV con riferimento ai dati degli utenti dell’app Uber al di fuori degli Stati Uniti”, come disciplinato nel Data processing Agreement. Di conseguenza, le conclusioni cui è addivenuto il Garante, nel provvedimento impugnato, circa la contitolarità del trattamento dei dati personali di UBV e UTI non sono corrette e costituiscono presupposto per sostenere la infondatezza della contestazione relativa all’inidonea informativa;

- in particolare, per quanto concerne la violazione dell’art. 13 del Codice, la parte, nell’atto di ricorso, ha diffusamente argomentato circa l’infondatezza delle censure sollevate nel Provvedimento relativamente all’inidoneità dell’informativa resa. Infatti, non soltanto la privacy policy (costantemente aggiornata dalla società), ma tutti i documenti e i moduli messi a disposizione dell’utente, forniscono informazioni dettagliate circa le finalità del trattamento, l’obbligatorietà del conferimento di alcune informazioni, l’esercizio dei diritti degli interessati. Tra l’altro, l’informativa che il Garante ha giudicato “generica e approssimativa” era disponibile online e, dunque, conoscibile dall’Autorità almeno dal 2015. Ciò non di meno, l’Autorità, in occasione dei precedenti contatti con la società, non ha mai messo in discussione le pratiche di Uber concernenti l’informativa resa, che tra l’altro non risulta essere stata contestata da parte degli interessati, mediante segnalazioni o reclami;

- relativamente alla mancata acquisizione del consenso da parte degli interessati in relazione al trattamento effettuato per la finalità cd. “rischio frode”, la società ha evidenziato come Uber non utilizzasse il valore “indicatore rischio frode” da più di due anni. In ogni caso, in base alla legge olandese (applicabile alle attività di trattamento poste in essere da Uber) per tali operazioni di trattamento il consenso non è richiesto, in quanto la società mostrava di avere un legittimo interesse a proteggere la sua piattaforma;

- la mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione non può essere oggetto di contestazione, in quanto trattasi di una condotta di cui l’Autorità era a conoscenza già dal 2015. Pertanto, “se il Garante davvero avesse ritenuto che la condotta di Uber fosse in violazione di qualche norma, il Garante avrebbe potuto e dovuto informare di ciò Uber nel 2015”, cosa che non è mai avvenuta;

- infine, non sussistono gli estremi per l’applicazione della sanzione di cui all’art. 164-bis, comma 2, del Codice, posto che la società ha sempre agito in buona fede e collaborato proattivamente con l’Autorità italiana sin dal 2015, fornendo tutte le informazioni richieste anche in sede ispettiva, nonché con l’Autorità olandese al fine di assicurare la conformità alla legge applicabile, in materia di trattamento di dati personali;

LETTO il verbale di audizione dell’8 ottobre 2019, ai sensi dell’art. 18 della legge n. 689/1981, con cui la parte ha richiamato quanto già sostenuto nelle memorie difensive e nel ricorso depositato per la impugnazione del Provvedimento. In particolare, ha precisato di aver proceduto a effettuare la notificazione del trattamento dei dati di geolocalizzazione presso l’Autorità olandese e non anche presso l’Autorità italiana, ritenendo, in buona fede, che la normativa italiana non fosse applicabile. La parte ha, quindi, chiesto che laddove si ritenessero non sussistenti i presupposti per procedere all’archiviazione del procedimento sanzionatorio, si proceda all’applicazione delle sanzioni nella misura del minimo edittale tenuto conto dei criteri fissati all’art. 11 della legge n. 689/1981;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato.

Preliminare ad ogni altra osservazione sul merito della vicenda, è la questione relativa alla disciplina applicabile alla fattispecie in argomento. Sul punto, l’Autorità ritiene che sussistano tutti i presupposti per affermare la competenza della legislazione italiana al trattamento di dati personali posto in essere da Uber, sulla base di quanto previsto dalle disposizioni di cui all’art. 5, comma 1, del Codice, all’art. 4, par. 1, lett. a), della Direttiva 95/46/CE, (disciplina applicabile all’epoca in cui si sono verificati i fatti), nonché di quanto chiarito dal Gruppo Art. 29 nel Parere n. 8/2010 del 16.12.2010 in tema di applicable law. In particolare, l’applicazione del diritto nazionale italiano al caso in esame poggia sull’evidente presupposto che Uber Italy s.r.l. rappresenta un’organizzazione stabile di Uber sul territorio nazionale e che le attività di trattamento svolte da tale soggetto sono “inestricabilmente connesse” al trattamento posto in essere da UBV e da UTI, ovvero effettuate “nel contesto delle attività dello stabilimento” del titolare del trattamento. Non rileva, a tal proposito, la circostanza che Uber Italy s.r.l. agisca quale responsabile del trattamento (piuttosto che come titolare), in quanto è accertato che le attività da questi poste in essere sono volte a consentire agli interessati, i cui dati personali sono raccolti sul territorio nazionale, di usufruire pienamente del servizio offerto dal gruppo, fornendo le attività di supporto (alla clientela e agli autisti) necessarie per il corretto e regolare svolgimento del servizio. Il Gruppo Art. 29 nel citato Parere n. 8/2010 ha osservato che “per determinare se si applicano una o più leggi alle diverse fasi del trattamento, è importante tenere a mente l’immagine globale dell’attività di trattamento: un insieme di operazioni svolte in una serie di diversi Stati membri, ma tutte intese a servire un unico scopo (…)”. Il Garante, pertanto, avvalendosi di tale contributo, già in precedenti occasioni, ha avuto modo di chiarire che la legge applicabile risulta essere non quella dello Stato membro in cui risiede il titolare del trattamento, ma quella del Paese in cui le attività di trattamento sono effettivamente svolte, tenendo altresì conto dei soggetti a cui sono effettivamente indirizzate (vedi, a tal proposito, ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s.r.l., provv. n. 134 del 14.06.2019, in www.garanteprivacy.it, doc web n. 9121486; ordinanza ingiunzione nei confronti di Yahoo Emea Limited, provv. n. 144 dell’8.3.2018, doc. web n. 9072702). Giova richiamare anche le sentenze della Corte di Giustizia UE sui casi “Google Spain e Google” (causa C-131/12 del 13 maggio 2014) e “Weltimmo” (causa C-230/14 del 1° ottobre 2015), che affermano il principio in base al quale, quando il trattamento è effettuato nel contesto delle attività di uno stabilimento del titolare del trattamento nel territorio di uno Stato membro, il diritto nazionale di detto Stato membro è applicabile ai sensi dell’art. 4, par. 1, lett. a) della direttiva 95/46/CE; pertanto, l’Autorità di controllo di tale Stato membro può esercitare, ai sensi dell’art. 28, paragrafi 1 e 3 della direttiva, tutti i poteri che tale diritto le conferisce nei confronti di detto stabilimento per assicurare in tale territorio il rispetto delle norme in materia di protezione dei dati, e ciò indipendentemente dal fatto che il titolare del trattamento disponga di stabilimenti anche in altri Stati membri (in tal senso v. anche il Gruppo ex art. 29, parere n. 179 - “Update of the Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain”-, del 16 dicembre 2015).

Ciò posto, ne deriva che le argomentazioni addotte dalla parte in ordine all’inapplicabilità della disciplina italiana ai diversi aspetti legati al trattamento di dati personali, posto in essere dalla società, risultano infondate, anche le osservazioni formulate in riferimento alla titolarità del trattamento in capo unicamente a UBV. Sotto questo aspetto, si rileva che gli elementi raccolti durante la fase istruttoria, anche attraverso accertamenti di carattere ispettivo, hanno fornito una rappresentazione dei ruoli di UBV e UTI non rispondente a quanto descritto dalla società. Il Garante ha ritenuto che la titolarità del trattamento debba essere imputata in capo sia a UTI che a UBV sulla base di una serie di elementi che sono stati adeguatamente riportati nel provvedimento del 13 dicembre 2018. Tra questi, in particolare, rilevano le decisioni assunte rispetto alle finalità e ai mezzi del trattamento che non sono predisposte solo da UBV; è emerso invece come le policy relative al funzionamento e alla gestione del servizio fossero predisposte unicamente da UTI, in qualità di capogruppo. Sul punto, la società ha fatto presente, nel corso dell’istruttoria, che la scelta di affidare la gestione delle policy e l’adozione di misure di sicurezza tecniche ed organizzative in capo a un unico soggetto (in tal caso UTI) era finalizzata a garantire un medesimo livello di tutela dei dati personali all’interno del gruppo, analogamente a quanto effettuato da altre società che operano a livello globale. Nel caso in esame, tuttavia, risulta che UTI esercita un autonomo potere decisionale su tali aspetti che non può essere considerato solo formale, come, tra l’altro, confermato anche da Uber, nella nota del 30 aprile 2018, in cui la stessa afferma che “UBV ha incaricato il proprio responsabile del trattamento, UTI, di decidere e implementare le misure di sicurezza tecniche e organizzative necessarie alla protezione dei dati personali relativi a passeggeri ed autisti italiani (ed altri non-US)”. Giova sottolineare come la questione legata alla titolarità del trattamento dei dati personali sia stata oggetto di approfondite analisi e sia stata al centro di analoghe istruttorie svolte dalle Autorità degli altri Paesi UE che sono state coinvolte nell’esame del data breach occorso alla società. Le conclusioni a cui sono giunte le Autorità interessate sono state, sotto questo profilo, univoche, convenendo tutte sulla contitolarità del trattamento dei dati personali in capo a UBV e a UTI (a tal proposito la Délibération n°SAN-2018-011 adottata dalla CNIL il 19.12.2018, la Decisione adottata dall’AP olandese in data 8.11.2018 e la Decisione di ICO del 26.11.2018).

All’esito dell’istruttoria condotta dall’Ufficio, nell’ambito della quale è stata acquisita tutta la documentazione inerente ai trattamenti effettuati dalla società, è stato rilevato che l’informativa resa a circa 1.513.431 utenti (tra autisti e passeggeri) non era idonea, non solo per quel che riguarda la mancata indicazione della contitolarità dei trattamenti effettuati, ma anche sotto altri aspetti che risultano determinanti per garantire agli interessati la trasparenza e la correttezza dei trattamenti stessi. Posto che la medesima informativa era predisposta nei confronti degli autisti e dei passeggeri, fornendo una rappresentazione indistinta dei trattamenti effettuati, delle relative finalità e modalità dei trattamenti. Inoltre, è stato accertato che nell’informativa erano descritte, in maniera generica e approssimativa, le finalità del trattamento in relazione alle categorie di dati personali raccolti; non era indicata l’obbligatorietà del conferimento dei dati, rispetto alle varie operazioni poste in essere e alle conseguenze dell’eventuale rifiuto a fornirli; l’informativa risultava inoltre inidonea in relazione all’esercizio dei diritti degli interessati (con riferimento, ad esempio, al diritto di aggiornamento e di opposizione per motivi legittimi). Tali criticità, valutate complessivamente dall’Ufficio all’esito dell’attività istruttoria, rilevano a prescindere dalla circostanza che non siano state presentate segnalazioni e/o reclami da parte degli interessati in relazione a una lesione dei propri diritti.

Per quanto concerne le violazioni afferenti alla mancata acquisizione di un consenso specifico in relazione al trattamento effettuato per la valutazione del cd. “rischio frode” e alla mancata notificazione al Garante in relazione al trattamento dei dati di geolocalizzazione, le ulteriori argomentazioni addotte dalla società nei propri scritti difensivi non risultano rilevanti, in quanto, per entrambi i trattamenti effettuati, la disciplina applicabile (riferita al d.lgs. 196/2003 vigente all’epoca in cui si sono verificate le violazioni) prevedeva l’adempimento di alcuni obblighi da parte del titolare del trattamento che risultano non effettuati. In particolare, sulla base della documentazione in atti, risulta che non sia stato acquisito un consenso “espresso liberamente e specificamente in relazione a un trattamento chiaramente individuato” in relazione al perseguimento della finalità relativa all’indicatore del cd. “rischio frode”, riportato sui profili di circa 1.379.000 clienti (passeggeri), e consistente nell’assegnazione di un giudizio qualitativo (es. “low”) e di un parametro numerico (da 1 a 100).

Allo stesso modo, rispetto al trattamento di dati di geolocalizzazione, la disciplina applicabile al tempo dell’accertamento, prevedeva (art. 37, comma 1, lett. a), del Codice), l’obbligo di preliminare notificazione del trattamento al Garante, secondo le procedure di cui al successivo art. 38. Sebbene la notificazione non sia più prevista nel Regolamento UE 679/2016, in base alla previgente normativa essa costituiva un adempimento di particolare rilevanza che imponeva al titolare del trattamento di comunicare al Garante una serie di informazioni relative al trattamento che intendeva iniziare e relative al titolare stesso; ciò al fine di fornire ogni garanzia a tutela degli interessati.

Infine, per quanto riguarda l’applicazione della sanzione di cui all’art. 164-bis, comma 2, del Codice, si osserva che questa è stata disposta in considerazione del rilevante numero di interessati (circa 1.514.000 tra autisti e passeggeri, e circa 1.379.000 passeggeri in relazione alla mancata acquisizione del consenso) i cui dati personali sono stati oggetto dei trattamenti posti in essere da entrambe le società in violazione delle norme del Codice. Sul punto, si rappresenta che in una recente pronuncia giurisprudenziale, la Corte di Cassazione ha ribadito che la fattispecie prevista dall’art. 164-bis, comma 2, del Codice costituisce non un’ipotesi aggravata rispetto alle altre violazioni contestate, bensì una figura di illecito del tutto autonoma (Cass. civ. sez. II Ord., 03/09/2020, n. 18288);

PRESO ATTO della sentenza n. 11803/2019 R.G. emessa dal Tribunale di Roma in data 29/11/2021 con cui è stato dichiarato inammissibile l’opposizione proposta dalle due Società nei confronti del Provvedimento del Garante del 20/12/2018 n. 498. In particolare, il giudice ha ritenuto che “le norme sostanziali applicabili ratione temporis sono quelle in vigore prima dell’entrata in vigore del RGPD, mentre quelle di natura processuale e procedimentale, immediatamente applicabili, sono quelle successive all’entrata in vigore del Regolamento e del D.lgs. n. 101/2018”;

RILEVATO, quindi, che UBV e UTI, in qualità di contitolari del trattamento ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice risultano aver commesso le violazioni di cui agli artt. 161, 162, comma 2-bis, e 163 del medesimo Codice, come indicate nell’atto di contestazione n. 6254/96792/124735 del 21 febbraio 2019, nonché la violazione di cu all’art. 164-bis, comma 2, in relazione a banche dati di particolare rilevanza e dimensione;

RILEVATO, inoltre, che in relazione alla qualifica di contitolari del trattamento, la responsabilità delle violazioni contestate deve essere attribuita distintamente a ciascuna delle società;

CONSIDERATO che, ai fini dell’ammontare delle sanzioni pecuniarie, occorre tener conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

- in ordine all’aspetto della gravità, gli elementi relativi all’intensità dell’elemento psicologico e all’entità del pericolo e del pregiudizio vanno valutati in considerazione del fatto che le violazioni risultano commesse in relazione a un rilevante numero di interessati;

- ai fini della valutazione dell’opera svolta dall’agente, deve evidenziarsi che, in considerazione dei nuovi adempimenti previsti dal Regolamento, sono state approntate delle modifiche, soprattutto con riferimento all’informativa;

- circa la personalità dell’autore della violazione, deve essere considerata la circostanza che non risultano precedenti procedimenti sanzionatori nei confronti di UBV e di UTI;

- in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio di esercizio per l’anno 2019;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’importo delle sanzioni pecuniarie, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 30.000,00 (trentamila) per la violazione di cui all’art. 161 del Codice, in relazione all’art. 13;

- euro 100.000,00 (centomila) per la violazione di cui all’art. 162, comma 2-bis, del Codice, in relazione all’art. 23;

- euro 100.000,00 (centomila) per la violazione di cui all’art. 163 del Codice, in relazione all’art. 37;

- euro 300.000,00 (trecentomila) per la violazione di cui all’art. 164-bis, comma 2, del Codice;
per un importo complessivo pari a euro 530.000,00 (cinquecentotrentamila);

RITENUTO, inoltre, che in considerazione delle condizioni economiche del contravventore, avuto riguardo ai dati relativi al fatturato complessivo e al numero di utenti, la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice, per un importo complessivo pari a euro 2.120.000,00 (due milioni e centoventimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

ORDINA

a Uber B.V., in persona del legale rappresentante pro-tempore, con sede legale in Meester Treublan n. 7, Amsterdam (Paesi Bassi), e a Uber Technologies Inc., in persona del legale rappresentante pro-tempore, con sede legale in Market Street n. 1455, San Francisco, California, di pagare ciascuna, la somma di euro 2.120.000,00 (due milioni e centoventimila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alle predette società di pagare, ciascuna, la somma di 2.120.000,00 (due milioni e centoventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Rispondi