Provvedimento dell’Autorità olandese c. UBER per trasferimento illecito di dati

Massima

I titolari di trattamenti di dati personali, in assenza di una decisione di adeguatezza da parte della Commissione europea, sono tenuti - prima di autorizzare un trasferimento transfrontaliero di dati - a identificare una o più garanzie adeguate ex art. 46 GDPR, ovvero l’applicabilità di una delle deroghe specifiche previste in casi eccezionali ex art. 49 GDPR. Incorrono in illecito trasferimento di dati personali i titolari che non adottino misure tecniche, organizzative e contrattuali idonee a garantire una protezione degli interessati sostanzialmente equivalente a quella che verrebbe accordata loro nell’Unione europea.

Il caso

Il 22 luglio 2024, l’Autorità olandese per la protezione dei dati, l’Autoriteit Persoonsgegevens (“AP”) ha irrogato una sanzione amministrativa pecuniaria pari a 290 milioni a carico di Uber Technologies Inc. (“UTI”) e Uber B.V. (“UBV”) (collettivamente, “UBER”) quali contitolari del trattamento dei dati personali degli autisti operanti nello Spazio economico europeo (“SEE”) (la “Decisione”).

Il caso ha inizio nel 2020 con la denuncia presentata da La Ligue Des Droits De L’homme Et Du Citoyen, organizzazione non governativa francese che agiva per conto di 172 autisti UBER, all’autorità francese per la protezione dei dati personali, la Commission Nationale de l’informatique et des Libertés (CNIL).

In seguito ai reclami presentati, il caso viene trasferito per competenza all’autorità di controllo olandese, trovandosi la sede principale di UBV nei Paesi Bassi. Il 16 aprile 2021 l’AP avvia quindi l’attività istruttoria, focalizzandosi sul rispetto da parte di UBER dei requisiti previsti dal Capo V del GDPR per il trasferimento dei dati personali degli autisti dall’Unione europea agli Stati Uniti.

L’attività di UBER al vaglio dell’AP riguarda il servizio di prenotazione delle corse dei tassisti operanti nel SEE. I passeggeri utilizzano l’App Uber accessibile via cellulare per prenotare una corsa, e gli autisti utilizzano l’app Uber Driver per offrire le corse. UBER agisce quale intermediario tra i tassisti e i passeggeri; eventuali disaccordi tra passeggeri e autisti sono gestiti da UBER, che può decidere – unilateralmente - di negare a un autista l’accesso alla piattaforma (es. in caso di guida pericolosa, frode etc.).

Il servizio di prenotazione delle corse utilizza una infrastruttura IT centralizzata sviluppata da UTI, con sede principale a San Francisco negli Stati Uniti e rappresentata nello SEE da UBV.

Gli autisti UBER nel SEE sono firmatari di uno specifico contratto con UBV e devono registrarsi all’applicazione per autisti “Uber Driver” per diventare utenti della piattaforma.

UBV è titolare dei dati personali degli autisti UBER nel SEE, ma tali dati sono tecnicamente accessibili solo tramite i server di UTI situati negli Stati Uniti.

L’AP ha rilevato che il trattamento di dati oggetto di trasferimento tra l’Unione europea e gli Stati Uniti riguarda due categorie di dati personali: (i) i dati personali degli autisti raccolti attraverso l’applicazione al momento della registrazione e archiviati nei server UTI negli Stati Uniti, e (ii) i dati raccolti per soddisfare il diritto di accesso degli autisti.

Gli autisti possono accedere direttamente ai propri dati personali di cui al punto (ii) attraverso il portale “self-service” localizzato sui server UTI (mediante le funzioni “Esplora i tuoi dati” e “Scarica i tuoi dati”) senza richiedere l’intervento di un dipendente UBV.

L’intervento di un dipendente si rende invece necessario, per esempio, quando la richiesta si esercita per posta o telefono. In quest’ultimo caso, UTI elabora in un foglio di calcolo i dati richiesti per il tramite di UBV e li trasferisce nella casella di posta elettronica di un dipendente UBV il quale, accertata la rispondenza dei dati presenti nel foglio di calcolo con la richiesta dall’autista, invia all’autista un link per scaricare i relativi dati.

La questione

La questione principale affrontata nella Decisione è la seguente: i dati personali degli autisti UBER sono stati trasferiti illecitamente verso gli Stati Uniti in assenza di una decisione di adeguatezza da parte della Commissione europea e di adeguate garanzie ex art. 46 GDPR?

Le soluzioni giuridiche

La Decisione dell’AP affronta in via preliminare la questione relativa all’interazione fra l’art. 3 (Ambito di applicazione territoriale) e il Capo V (Trasferimento di dati verso paesi terzi o organizzazioni internazionali) del GDPR. Nelle sue difese, infatti, UBER sostiene che il trattamento dei dati degli autisti non implichi alcun trasferimento internazionale di dati; in particolare, essendo UBV e UTI contitolari e trovando applicazione l’art. 3 GDPR, le norme in materia di trasferimenti di dati verso paesi terzi di cui al Capo V non sarebbero applicabili.

In proposito l’AP - richiamando giurisprudenza consolidata e le linee guida del Comitato europeo per la protezione dei dati personali 5/2021- rigetta le argomentazioni di UBER, specificando come le disposizioni dell’art. 3 e del Capo V del GDPR siano norme “complementari”. L’AP si sofferma sulla rilevanza delle garanzie per i trasferimenti dei dati ex art. 46 GDPR, intesi quali meccanismi di trasferimento transfrontaliero che forniscono disposizioni “aggiuntive” proprio per assicurare che il quadro giuridico del SEE non sia compromesso dalla legislazione straniera quando il GDPR risulti direttamente applicabile ex art. 3.

La Corte di Giustizia europea e le linee guida del Comitato europeo hanno nel tempo invitato i titolari a valutare responsabilmente i trasferimenti di dati anche alla luce degli articoli 24 e 32 GDPR, documentando le ragioni delle proprie scelte e tenendo presente la ratio del Capo V del GDPR, che è quella di istituire un meccanismo per garantire che il livello di protezione delle persone fisiche non venga compromesso nei trasferimenti in Paesi terzi dei loro dati e, attraverso gli strumenti di trasferimento, di offrire agli stessi una tutela sostanzialmente equivalente a quella europea.

Sulle cautele da adottare nei trasferimenti di dati verso gli USA, le note sentenze C-361-/14 del 6 ottobre 2015 e C-311/18 del 16 luglio 2020 (sentenze “Schrems I” e “Schrems II”) hanno chiaramente evidenziato come talune disposizioni della normativa interna degli Stati Uniti, aventi finalità di sicurezza nazionale, non soddisfino i requisiti del GDPR.

L’AP conclude che, nel periodo 6 agosto 2021 al 27 novembre 2023, UBER ha violato l’art. 44 GDPR. Nella specie, in mancanza di una decisione di adeguatezza da parte della Commissione europea per i trasferimenti negli Stati Uniti (fino all’adozione del EU-US Data Privacy Framework nel luglio 2023 a cui UBER ha successivamente aderito), UBV in qualità di esportatore di dati non disponeva di un meccanismo legittimo per il trasferimento dei dati personali degli autisti dal SEE agli Stati Uniti. UBER, sull’erroneo presupposto che non vi fosse alcun effettivo trasferimento di dati a livello internazionale tra UBV e UTI, ha rinunciato all’utilizzo delle clausole contrattuali standard della Commissione europea (“SCC”), senza ricorrere agli altri strumenti di trasferimento ex art. 46 GDPR (per esempio, alle norme vincolanti d’impresa o a un meccanismo di certificazione).

Con riguardo, infine, all’eccezione offerta dall’art. 49 GDPR, contrariamente da quanto sostiene UBER, l’AP osserva che le deroghe devono essere interpretate in modo restrittivo ed essere utilizzate “occasionalmente” e solo se “strettamente necessarie”. Richiamando le linee guida del Comitato europeo per la protezione dei dati personali 2/2018, l’AP afferma che le deroghe non possono invece essere applicate nei casi in cui vi sia un trasferimento “ripetitivo” tra l’esportatore e un particolare importatore nell’ambito di una “relazione stabile”, come nel caso dei trasferimenti dei dati degli autisti UBER tra UBV e UTI, che vengono qualificati “sistematici, ripetitivi e continui”.

Osservazioni

Il caso UBER mette in evidenza quanto i trasferimenti dei dati in Paesi terzi richiedano un’attenta valutazione in merito alla base giuridica su cui fondare i propri trasferimenti extra UE al fine di identificare quali tipologie di trattamento possano qualificarsi come trasferimento transfrontaliero.

Nel caso di specie, i ruoli e le funzioni di UBV e UTI sembrerebbero configurare un rapporto tra un titolare (UBV) e un responsabile (UTI), piuttosto che tra due contitolari. Il Comitato europeo si è espresso approfonditamente nel 2021 sull’interazione tra l’art. 3 e il Capo V del GDPR, ribadendo l’applicabilità in via complementare di tali disposizioni in presenza di determinate circostanze.

Limitandosi ai fatti riportati nella Decisione, pare lecito domandarsi se la rinuncia da parte di UBER alle SCC precedentemente sottoscritte fosse giustificata, alla luce dell’effettiva interazione tra le parti coinvolte (interessato, UBV, UTI) e del ciclo di vita dei dati, a partire dalla fase di registrazione sull’applicazione da parte degli autisti fino all’eventuale richiesta di accesso ai propri dati da parte degli stessi.

La pesante sanzione inflitta a UBER segue quella comminata nel 2023 dall’autorità di controllo irlandese a Meta (Euro 1,2 miliardi) per l’illecito trasferimento dei dati degli utenti Facebook. Benché Meta avesse utilizzato le clausole contrattuali standard (SCC), queste sono state ritenute insufficienti dall’autorità per colmare le lacune del Paese terzo e raggiungere una protezione dei dati “sostanzialmente equivalente” a quella europea. In proposito, si veda anche il provvedimento del Garante italiano nei confronti di Caffeina Media S.r.l. (doc. web n. 9782890), società che avrebbe trasferito dati attraverso a Google LLC con sede negli USA in assenza delle garanzie previste dal Capo V del GDPR.

Si osserva quindi un crescente potere di enforcement da parte delle autorità di controllo, che impone agli operatori di adottare standard di compliance sempre più elevati.

In questo contesto, l’adozione del EU-US Data Privacy Framework dal 2023 conferisce maggiore certezza ai trasferimenti verso gli USA, dove peraltro hanno la sede principale le Big Tech e i principali operatori dei settori data-driven; tuttavia, è opinione alquanto diffusa che, alla luce delle perduranti differenze strutturali tra i due sistemi giuridici, non si possa escludere nel prossimo futuro un possibile strike down dell’accordo.