L’autorità di controllo britannica, Information Commissioner’s Office (“ICO”), ha sanzionato Uber con una multa di £ 385.000 in relazione ad un data breach avvenuto nell’ottobre 2016 (leggi qui il provvedimento integrale ed il relativo comunicato apparso sul sito dell’ICO).
Si tratta dello stesso data breach per il quale Uber ha raggiunto, lo scorso mese di settembre, un accordo con la giustizia americana, impegnandosi a pagare la cifra record di 148 milioni di dollari (circa 125 milioni di euro) per porre fine al procedimento investigativo nei suoi confronti (leggi qui a riguardo).
Nell’ottobre 2016, a causa delle inadeguate misure di sicurezza approntate da Uber a protezione della piattaforma, degli hackers si sono impossessati dei:
- dati personali (tra cui nomi, e-mail, indirizzi e numeri di telefono) di circa 50 milioni di utenti, di cui 32 non americani e 2,7 britannici;
- dati personali (tra cui il numero di patente, il numero di corse effettuate, i ricavi settimanali) di circa 7 milioni di driver, di cui, 3,7 non americani e 82.000 britannici.
Dopo essere venuta a conoscenza dell’attacco nel novembre 2016, Uber ha pagato agli hackers 100.000 dollari, senza tuttavia informare né gli interessati né le autorità competenti. Solo un anno dopo, nel novembre 2017, il nuovo CEO di Uber rendeva pubblico l’accaduto.
Come dichiarato da Steve Eckersley, “director of investigations” dell’ICO, in questa vicenda non c’è stata solo una seria falla del sistema di sicurezza di Uber, ma soprattutto una totale noncuranza di Uber per gli interessati (clienti e autisti), che non sono stati informati della vicenda, il che gli ha resi vulnerabili ed esposti al rischio di frodi e, più in generale, di pregiudizi.
Sebbene all’epoca dei fatti non fossero ancora in vigore le norme del GDPR che impongono al titolare, in determinate circostanze, di notificare alle autorità (art. 33 del GDPR) e di comunicazione agli interessati (art. 34 del GDPR) la violazione dei dati, nondimeno l’ICO ha ritenuto che il comportamento tenuto da Uber abbia gravemente violato Data Protection Act del 1998 (ed in particolare il Principio n° 7 della Schedule I), avendo esso aumentato il rischio in capo agli interessati.
Lo stesso Steve Eckersley ha ulteriormente dichiarato che la pratica di pagare gli hackers e di mantenere il silenzio sul data breach non è, secondo l’ICO, il modo corretto di rispondere ad un cyber attacco e che, sebbene non vi fosse un obbligo specifico di comunicazione/notificazione ai sensi della precedente normativa, il comportamento tenuto da Uber è comunque da considerare illegittimo.
Segnaliamo che per gli stessi fatti, l’autorità olandese (Autoriteit Persoonsgegevens) ha inflitto a Uber una sanzione € 600.000 (leggi qui) ai sensi della proprio normativa ante- GDPR.
