El Comisionado de las Informaciones de Australia ha determinado que Uber Technologies, Inc. Y Uber B.V. habían interferido con la privacidad de casi 1.2 millones de australianos.
El Comisionado ha buscado las empresas Uber que no han protegido adecuadamente los datos personales de los clientes y driver australianos, que ha sido accesible en un ataque informático en los meses de octubre y de noviembre de 2016.
La determinación sigue las investigaciones detalladas sobre Uber Technologies Inc, con sede en los Estados Unidos, y Uber B.V. con sede en Holanda, que han afectado importantes cuestiones jurisdiccionales y complejos acuerdos empresariales y flujos de informaciones.
Mientras Uber ha solicitado a los agresores de destruir los datos y no había ninguna prueba de adicionales abusos, la investigación por parte de la Ofician del Comisionado de Australia (OIAC) se ha centrado sobre el hecho que Uber tenía medidas preventivas en acto para proteger los datos de los australianos.
El Comisionado Falk ha buscado las empresas de Uber que han violado la Ley de Privacidad 1988 no implementando medidas razonables para proteger las informaciones personales australianas desde acceso no autorizados y de destruirlas o de identificar los datos como solicitado. Además, no han adoptado medidas razonables para actuar prácticas, procedimientos y sistemas para garantizar la conformidad a los principios australianos de privacidad.
En lugar de revelar la violación responsablemente, Uber pagó los atacantes una compensación mediante un programa de bug bounty para identificar una vulnerabilidad de seguridad. Uber no ha conducido una evaluación completa de las informaciones personales que podían ser consultadas hasta casi un año después de la violación de datos y no compartir públicamente la violación de datos hasta noviembre de 2017.
El Comisionado subrayo que la acción normativa está justificada en Australia después de la acción tomada en otras jurisdicciones en relación al ataque informático.
Tienen necesidad de garantizar que en futuro Uber proteja las informaciones personales de los Australianos en línea con la Ley de Privacidad.
La cuestión subraya también cuestiones complejas sobre la aplicación de la Ley de Privacidad a sociedades con sede al extranjero que externalizan la gestión de sus informaciones personales de los australianos a otras empresas dentro del grupo societario.
En este caso, las informaciones personales de los australianos habían sido compartidas directamente a los servers en los Estados Unidos en base a un acuerdo de outsourcing, y la sociedad con sede en os Estados Unidos ha sostenido que no estaba sometida a la Ley de Privacidad.
El Comisionado subrayó de ser satisfecho desde ambas las empresas Uber que han respectado la ley de privacidad.
Esta determinación rende claro el punto de vista de la Autoridad sobre las responsabilidades de las sociedades globales con arreglo a la ley australiana de privacidad.
Los australianos tienen necesidad de garantías que subrayan que están protegidos desde la Ley de Privacidad cuando proporcionan informaciones personales a una sociedad, también si se transfiere al extranjero dentro de un grupo empresarial.
El Comisionado ha ordenado a las compañías de Uber de:
- Preparar, implementar y mantener una política de conservación y de destrucción de datos, programa de seguridad de las informaciones y plan de respuesta a los accidentes que garantizará las empresas conformes a los principios australianos sobre la privacidad;
- Nombrar un experto independiente encargado de examinar y referir estas políticas y programas y sobre su implementación, presentar las relaciones al OIAC y aportar las modificaciones necesarias recomendadas en las relaciones.
FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’AUSTRALIA – OAIC