Una violazione del GDPR e dello Statuto dei Lavoratori che costa a Foodinho ben 2,6 Milioni di euro – il provvedimento storico del Garante Privacy

La società spagnola Foodinho, controllata dalla più nota Glovo, dovrà modificare le modalità di trattamento dei dati personali dei propri riders, nonché verificare che gli algoritmi di prenotazione e assegnazione degli ordini non producano forme di discriminazione. In aggiunta, dovrà pagare una multa di 2,6 Milioni di euro.

A stabilirlo è stato il Garante Privacy, con quasi 28mila parole, in una lunga e corposa ordinanza di ingiunzione datata 11 giugno 2021 (APRI) e diffusa solo nei giorni scorsi.

Emesso a seguito di una attività di controllo avviata d’ufficio dall’Autorità nel luglio 2019, si tratta del primo provvedimento del Garante in relazione all’annoso tema del lavoro tramite piattaforme digitali e riders.

La complessa attività istruttoria che ha coinvolto Foodinho ha rilevato molteplici violazioni della normativa privacy nonché lavoristica.

Con riferimento alla normativa privacy, è emerso che la società, operando in qualità di titolare per quanto riguarda la raccolta, l’utilizzo e il processamento dei dati dei riders (di numero pari a circa 19.000 al tempo dell’ispezione), effettuava operazioni di trattamento di tali dati in maniera non conforme alla disciplina in materia.

In primo luogo, il Garante ha rilevato un elevato numero di temi relativi all’informativa privacy, principalmente legati alla sua genericità e assenza di trasparenza. Tra le altre cose: i tempi di conservazione dei dati non erano indicati con precisione; non vi era riferimento ai trattamenti automatizzati eseguiti nei confronti dei riders; l’indicazione dei dati relativi alla posizione geografica dei riders era del tutto generica, così come generico era il riferimento alle finalità per cui venivano trattati i dati di geolocalizzazione; era omessa l’indicazione della tipologia dei dati raccolti, in particolare quelli relativi alle comunicazioni intraprese via chat, email e telefono con il call center nonché le valutazioni espresse sui riders da parte di esercenti e clienti; ed era omessa l’indicazione delle concrete modalità di trattamento dei dati attraverso la piattaforma digitale, ivi incluso il sistema di assegnazione degli ordini.

Secondo il Garante, l’attività di trattamento dati svolta da Foodinho comprende: l’ utilizzo innovativo di una piattaforma digitale; la raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini, ivi compresa la localizzazione geografica dei riders; le comunicazioni di questi ultimi avvenute tramite chat e email, nonché la possibilità di accedere al contenuto di telefonate tra i riders e il customer care, e la effettuazione di attività di profilazione nonché di trattamenti automatizzati nei confronti di un numero rilevante di interessati cd. “vulnerabili” (in quanto parti di un rapporto di lavoro).

Come tale, la stessa presenta un rischio elevato per i diritti e le libertà delle persone fisiche con conseguente necessità di effettuare, prima dell’inizio del trattamento, una valutazione di impatto sulla protezione dei dati ex art. 35 del GDPR (Regolmento Generale sulla protezione dei dati), valutazione che non era tuttavia mai avvenuta.

I rischi per i diritti e le libertà degli interessati, che possono derivare dai trattamenti effettuati da Foodinho, sono relativi alla valutazione di aspetti personali dei riders, come il rendimento professionale, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, aspetti astrattamente idonei a generare a discriminazioni.

Tali rischi derivano anche dal sistema di assegnazione del punteggio (rating) basato sull’applicazione di una formula matematica (algoritmo) che penalizza i riders che non accettano tempestivamente l’ordine o lo rifiutano, favorendo invece i riders che accettano l’ordine nei termini stabiliti o che consegnano il maggior numero di ordini.

In aggiunta, il Garante ha rilevato che, attraverso la geolocalizzazione del dispositivo, Foodinho effettuava un minuzioso controllo sulla prestazione lavorativa svolta dai riders e ciò rappresenta un aspetto problematico anche sotto il profilo del diritto del lavoro. Invero, la società, pur effettuando attraverso strumenti tecnologici trattamenti di dati che consentono una attività di controllo sui lavoratori, ha omesso di applicare quanto in proposito stabilito dall’art. 4 dello Statuto dei Lavoratori (che consente il controllo a distanza da parte del datore di lavoro soltanto a certe condizioni e con precise limitazioni).

Alla luce di quanto sopra, il Garante ha concesso a Foodinho 60 giorni di tempo dall’emissione del provvedimento per implementare le misure necessarie al fine di correggere le violazioni rilevate, e ulteriori 90 giorni per completare gli interventi sugli algoritmi.

Dal momento che avverso il provvedimento del Garante può essere proposta opposizione all’autorità giudiziaria ordinaria, è verosimile ipotizzare che la questione giungerà in sede giudiziale, e sarà interessante avere la prima pronuncia sul punto del giudice ordinario.

Il caso Foodinho, peraltro, potrebbe essere destinato a non rimanere isolato, dal momento che l’Autorità sta procedendo con l’analisi dei comportamenti anche di tutte le altre piattaforme di food delivery.