Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (Garante) har bötfällt Uber B.V. och Uber Technologies Inc. med 2 120 000 euro vardera för överträdelse av artiklarna 13, 23, 37 och 38 i lagdekret nr 196 från den 30 juni 2003, lagen om skydd av personuppgifter (nedan kallad lagen).
Av beslutet framgår att Garante på eget initiativ undersökt ett dataintrång som inträffade 2016. Dataintrånget, som tillkännagetts av Uber Technologies och som inträffade innan den allmänna dataskyddsförordningen (GDPR) trätt ikraft, omfattade uppgifter om cirka 57 miljoner användare världen över, inklusive italienska användare. Uppgifterna gällde bland att kontaktuppgifter, inklusive namn, efternamn, telefonnummer och e-postadresser, inloggningsuppgifter, lokaliseringsuppgifter och information om relationer med andra användare som exempelvis delning av resor.
Med anledning av detta beslutade Garante den 13 december 2018 att Uber och Uber Technologies, som agerat som gemensamt personuppgiftsansvariga, brutit mot artikel 13 i lagen, med hänsyn till att det informationsmeddelande som tillhandahölls användarna var formulerat på ett generiskt och ungefärligt sätt och innehöll oklar och ofullständig information, artikel 23 i lagen, eftersom de inte inhämtat ett giltigt samtycke innan de behandlade uppgifter om cirka 1 379 000 passagerare genom att profilera dem på grundval av en så kallad “bedrägeririsk”, och artiklarna 37 och 38 i lagen, eftersom Garante inte underrättats om behandlingen av uppgifter för geolokalisering. Utöver detta förbehöll sig Garante rätten att genom ett oberoende förfarande bedöma de administrativa påföljder som motsvarar de överträdelser som identifierats ovan.
Följaktligen ansåg Garante det nödvändigt att ålägga Uber och Uber Technologies administrativa påföljder med ett belopp på sammanlagt 530 000 euro för överträdelse av artiklarna 13, 23, 37 och 38 i lagen. Garante framhöll dock att med hänsyn till Ubers och Uber Technologies ekonomiska ställning och med hänsyn till den totala omsättningen och antalet användare att de ovannämnda böterna var ineffektiva. Garante höjde därför det totala beloppet och ålade båda företagen böter på 2 120 000 euro vardera.