O Information Commissioner’s Office do Reino Unido e a Data Protection Authority da Holanda consideram que a Uber falhou na proteção de dados dos utilizadores em 2016. A entidade reguladora britânica multou a Uber em 404 mil euros (385 mil libras) por ter falhado na proteção da informação pessoal dos clientes durante um ciberataque e a entidade holandesa considera que a Uber violou a legislação local de proteção de dados e multou a empresa em 600 mil euros. No entender destas duas organizações, a Uber foi alvo deste ataque, mas os problemas poderiam ter sido evitados.
O responsável pelo ataque terá sido um hacker de 20 anos, dos EUA, que conseguiu expor dados de 57 milhões de clientes e sete milhões de condutores num repositório do GitHub. A Uber, ao descobrir que tinha sido alvo deste ataque, decidiu “comprar” o silêncio do atacante, oferecendo-lhe cem mil dólares. O hacker tinha assumido o compromisso de apagar os dados roubados.
Nos EUA, a empresa recebeu uma multa de 148 milhões de dólares, relacionada com este episódio. No entanto, havendo dados de utilizadores europeus, as autoridades do “velho continente” também foram chamadas a pronunciar-se, fazendo o valor total superar os mil milhões de euros.
O ICO considera que a Uber não esboçou qualquer esforço para informar os utilizadores afetados, o que os deixou vulneráveis. Uma vez que o incidente aconteceu antes da entrada em vigor do RGPD, pelo que o quadro legal que determina as multas é o Data Protection Act de 1998.
