Uber e Data Breach. Indagine del Garante

Con un proprio comunicato Uber ha reso noto  ora che nel 2016 vi sarebbe stato un caso di data breach di particolare rilevanza, a seguito di un attacco hacker su circa 57 milioni di account, che, come riassunto in un articolo del Corriere,  ha visto

“trafugate le informazioni della patente di 600 mila americani e nomi, indirizzi di posta elettronica e numeri di telefono di oltre 50 milioni di iscritti all’applicazione di trasporti (50 milioni sono clienti e 7 milioni sono autisti). Non sarebbero stati coinvolti i dati delle carte di credito o quelli relativi agli spostamenti”.

Inoltre, Uber

“ha pagato gli hacker 100 mila dollari per distruggere quanto rubato e promettere di non usarlo in futuro”

Nel comunicato, Uber rivela, tra  l’altro:

“in late 2016 we became aware that two individuals outside the company had inappropriately accessed user data stored on a third-party cloud-based service that we use. The incident did not breach our corporate systems or infrastructure.

Our outside forensics experts have not seen any indication that trip location history, credit card numbers, bank account numbers, Social Security numbers or dates of birth were downloaded. However, the individuals were able to download files containing a significant amount of other information, including:

  • – The names and driver’s license numbers of around 600,000 drivers in the United States. Drivers can learn more here.
  • – Some personal information of 57 million Uber users around the world, including the drivers described above. This information included names, email addresses and mobile phone numbers. Riders can learn more here.

At the time of the incident, we took immediate steps to secure the data and shut down further unauthorized access by the individuals. We subsequently identified the individuals and obtained assurances that the downloaded data had been destroyed. We also implemented security measures to restrict access to and strengthen controls on our cloud-based storage accounts”.

Viene dato atto che la comunicazione è stata effettuata tardivamente:

You may be asking why we are just talking about this now, a year later. I had the same question, so I immediately asked for a thorough investigation of what happened and how we handled it. What I learned, particularly around our failure to notify affected individuals or regulators last year, has prompted me to take several actions:

  • – I’ve asked Matt Olsen, a co-founder of a cybersecurity consulting firm and former general counsel of the National Security Agency and director of the National Counterterrorism Center, to help me think through how best to guide and structure our security teams and processes going forward. Effective today, two of the individuals who led the response to this incident are no longer with the company.

  • – We are individually notifying the drivers whose driver’s license numbers were downloaded.

  • – We are providing these drivers with free credit monitoring and identity theft protection.

  • – We are notifying regulatory authorities.

  • – While we have not seen evidence of fraud or misuse tied to the incident, we are monitoring the affected accounts and have flagged them for additional fraud protection.

None of this should have happened, and I will not make excuses for it. While I can’t erase the past, I can commit on behalf of every Uber employee that we will learn from our mistakes. We are changing the way we do business, putting integrity at the core of every decision we make and working hard to earn the trust of our customers”.

Ulteriori informazioni possono essere consultate nell’articolo su Bloomberg.

Il Garante a reso subito una dichiarazione diramata in un proprio comunicato stampa, annunciando l’apertura di un’istruttoria sulla portata del data breach e sulle azioni da intraprendere a tutela di cittadini italiani eventualmente coinvolti:

“Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti.

Quello che certo colpisce,  in una multinazionale digitale come Uber, è l’evidente insufficienza di  adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.


Data Breach e  GDPR

Si ricorda che la disciplina organica del data breach è ora prevista nel GDPR agli artt. 33 e 34 (per la casistica relativa a cari già esaminati dal Garante, v. infografica riassuntiva del Garante).

Articolo 33
Notifica di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

a)  descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssi­mativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b)  comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d)  descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

Articolo 34
Comunicazione di una violazione dei dati personali all’interessato

1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).

3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.


Inoltre, va ricordato che il Data Breach coinvolge direttamente il Data Protection Officer (DPO) sotto diversi profili, in quanto, tra i propri compiti (art. 39 GDPR), deve anche:

  • fornire consulenza sull’attuazione della normativa
  • sorvegliare l’osservanza tanto della normativa da applicare quanto delel policies in tema di protezione dei dati personali individuate dal titolare o dal responsabile del trattamento;
  • cooperare con l’autorità di controllo e fungere da punto di contatto
  • fornire un parere e sorvegliare lo svolgimento della valutazione di impatto sulla protezione dei dati personali

Leave a Reply

Your email address will not be published. Required fields are marked *