La prossima settimana, i regolatori della privacy dell’Unione Europea discuteranno sul caso della violazione dei dati di Uber.
Secondo Isabelle Falque-Pierrotin, presidente del Gruppo di lavoro ex 29 delle autorità europee per la protezione dei dati, il caso della violazione dei dati sarà discusso nella riunione del 28 e 29 novembre, con l’obiettivo di creare una task force per coordinare le indagini e fare chiarezza sulla vicenda che ha coinvolto l’azienda americana di Carsharing.
Uber, dopo le dichiarazioni del CEO Dara Khosrowshahi di martedì scorso, si trova nell’occhio del ciclone da parte dei regolatori di mezzo mondo per aver nascosto per oltre un anno, il furto di dati di 57 milioni di clienti da parte di un gruppo di hacker.
Le informazioni rubate includevano nomi, indirizzi e-mail e numeri di cellulare degli utenti e nomi e numeri di licenza di 600.000 conducenti statunitensi. Uber ha pagato agli hacker $ 100.000 per mantenere segreta la massiccia violazione.
Molto gravi le accuse dei regolatori europei, a partire dall’autorità britannica secondo cui l’occultamento della violazione ha sollevato “enormi preoccupazioni” sulle politiche e l’etica del trattamento dati di Uber, fino al Presidente dell’Autorità italiana per la protezione dei dati personali Antonello Soro, che aveva espresso subito la necessità di misure appropriate per tutelare i cittadini italiani. “Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti”, aveva dichiarato mercoledì Antonello Soro, Garante Privacy. “Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo” ha concluso Soro.
Uber oltre a poter essere accusata di aver ingannato gli investigatori della Federal Trade Commission (Antitrust americana) che stavano già esaminando la società per una distinta e precedente violazione, dovrà fare i conti anche con i regolatori europei. Al momento però, le autorità di protezione dei dati dell’UE non possono imporre sanzioni congiunte ma possono solamente istituire task force per coordinare le indagini nazionali e fare chiarezza.
Poco potere dunque, in attesa dell’entrata in vigore del GDPR, il regolamento generale sulla protezione dei dati il 25 maggio 2018, quando le autorità di regolamentazione avranno la facoltà di imporre multe molto più elevate – fino al 4% del fatturato globale – e di coordinarsi più strettamente.