ICT

Published on luglio 9th, 2021 | by dirittodellinformatica.it

0

Il Garante, i rider e la geolocalizzazione: quando la software house non investe in privacy

La figura del rider è negli ultimi anni al centro di numerosi dibattiti, che hanno per lo più posto l’accento sulle condizioni lavorative spesso precarie e poco dignitose riconosciute a questa categoria. Una nuova chiave di lettura, però, è stata offerta dal Garante per la protezione dei dati personali, il quale, con un’ Ordinanza di ingiunzione nei confronto di Foodinho S.r.l., datata 10 giugno 2021, ha posto per la prima volta l’attenzione sul grado di tutela offerto ai rider in materia di protezione dei dati personali.  Andiamo, quindi, ad analizzare i passaggi salienti del percorso logico-argomentativo del Garante, concernente le implicazioni giuridiche e fattuali delle operazioni di trattamento effettuate sui dati personali dei rider.

Quando il software non rispetta la privacy

L’ordinanza citata nasce da una complessa attività istruttoria, da parte dell’Autorità Garante Nazionale, che muove i primi passi tra il 16 e il 17 luglio 2019: in quei giorni, sono stati avviati i primi accertamenti presso la società Foodinho S.r.l., con sede legale in Italia, la quale opera, attraverso una piattaforma digitale, nel settore delle consegne di cibo o altri beni, avvalendosi “di personale a ciò specificamente dedicato (c.d. rider).”

Il funzionamento della piattaforma in oggetto si basa sull’utilizzo di meccanismi automatizzati per l’affidamento delle consegne ai singoli riders. Tali procedure, basate su un sistema di assegnazione di un rating, utilizzano degli algoritmi, quindi formule matematiche, che tengono in considerazione criteri quali la velocità dell’accettazione di un ordine da parte del rider o il numero di consegne effettuate in un certo periodo di tempo.

Il fulcro dell’attività ispettiva del Garante, quindi, sono stati l’effettiva gestione di tali procedure da parte dell’azienda e soprattutto il grado di informazione offerto dalla stessa ai lavoratori: i rider erano davvero consapevoli di tutto ciò? Il Garante ha risposto in maniera negativa a tale interrogativo!

Il danno da algoritmo e le violazioni della privacy

Come si legge nell’ordinanza del Garante, “all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, è emerso che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati – pari a 18.684 rider al tempo dell’ispezione, secondo quanto dichiarato – che risultano non conformi alla disciplina in materia di protezione dei dati…”.

Dall’analisi effettuata dall’Autorità Garante è emerso che sono imputabili a Foodinho S.r.l., società appartenente al Gruppo GlovoAPP23, in qualità di titolare del trattamento dei dati relativi ai suoi dipendenti, diverse violazioni della normativa in materia di privacy.

Nello specifico, infatti, il Garante ha costatato ed evidenziato come, in merito al trattamento dei dati personali dei riders, il titolare del trattamento:

  • non abbia reso adeguata informativa ex articolo 13 del GDPR (Regolamento UE 679/2016), la quale risultava presente al momento della registrazione del rider alla piattaforma di gestione degli ordini, ma che non era mai stata né datata né sottoscritta dagli interessati;
  • tale informativa, inoltre, non integrava i requisiti previsti dagli articoli 5 e 13 del GDPR, quali, ad esempio:
    • una specifica e corretta indicazione delle modalità di trattamento dei dati in generale, e nello specifico con particolare attenzione alla posizione geografica dei riders;
    • una specifica e corretta indicazione delle modalità di trattamento dei dati concernenti le comunicazioni via chat, via telefono, via e-mail o tramite call center dei riders;
    • un’indicazione esplicita e puntuale, con conseguente acquisizione del consenso da parte dell’interessato, dello svolgimento di attività di profilazione dei dati degli interessati.
  • non aveva effettuato nessuna DPIA (valutazione d’impatto sulla protezione dei dati personali), né tanto meno ciò era stato fatto da parte della società capogruppo, in violazione di quanto disposto dall’articolo 35 del GDPR;
  • aveva predisposto un registro del trattamento, ma questo era compilato in maniera sommaria ed imprecisa, omettendo informazioni essenziali quali, ad esempio, i tempi di conservazione dei dati;
  • aveva violato le prescrizioni dell’articolo 4, comma 1, dello Statuto dei Lavoratori (L.300/1970), in merito al divieto di controllo a distanza delle attività dei lavoratori, ad esempio attraverso l’utilizzo di sistemi di geolocalizzazione.

La collaborazione con l’Autorità Garante Spagnola e le sanzione del GDPR

Altro aspetto peculiare dell’appena descritta attività ispettiva condotta dal Garante Italiano concerne la cooperazione con il Garante Privacy Spagnolo (AEPD), in conformità con la previsione del GDPR sulla possibilità di collaborare tra Autorità Garanti Nazionali. Il connubio tra le due Autorità infatti è ormai consolidato, tanto che anche il Garante Spagnolo si sta avvalendo di quello Italiano per condurre un procedimento autonomo nei confronti della società capogruppo di Foodinho S.r.l., GlovoApp23, che ha sede legale appunto in Spagna.

Dalla sinergia tra le autorità si è arrivati quindi – a conclusione delle complesse attività ispettive – ad un’ordinanza di ingiunzione nei confronti dell’azienda Foodinho S.r.l., nella quale si chiede alla stessa di conformarsi alle previsioni del GDPR, oltre che a quelle dello Statuto dei lavoratori.

In forza di questo provvedimento, la società dovrà mettere in atto i seguenti adempimenti:

  • corretta predisposizione e gestione della documentazione privacy, quale informative, registro delle attività di trattamento e DPIA;
  • corretta applicazione dei principi generali della normativa di settore, ad esempio, minimizzazione, privacy by design e privacy by default;
  • utilizzare strumenti e sistemi che consentano la tutela dei lavoratori in merito ad eventuali usi discriminatori dei meccanismi di rating, anche sotto il profilo dell’utilizzo di algoritmi e profilazione dei dati personali;
  • in ultimo, rispettare le previsioni dell’articolo 4, comma 1, dello Statuto dei Lavoratori, in relazione al controllo a distanza effettuato sulle attività dei lavoratori mediante strumenti di tracciamento.

Oltre a tali specifici adempimenti, il Garante ha comminato alla società una sanzione amministrativa pari a ben 2,6 milioni di euro, commisurata alle circostanze del caso concreto, così come previsto dall’articolo 83 del GDPR!

Infine, la società ora dovrebbe eseguire entro:

  • 30 giorni per il pagamento della sanzione amministrativa;
  • 60 giorni per rimediare alle violazioni costatate;
  • 90 giorni per intervenire sui sistemi basati sugli algoritmi.

Per sapere, quindi, il finale di questa complessa vicenda non rimane che aspettare il decorso di tali termini!

Come mettere a norma l’App: sviluppo del software gdpr compliance

L’ordinanza in oggetto, come emerge dall’analisi appena effettuata, sicuramente rappresenta un punto di partenza importante per una categoria di soggetti “deboli”, i cui dati sono sottoposti ad attività di trattamento assai delicate. Alle già poco tutelanti condizioni lavorative a cui sono sottoposti i riders, si aggiungono quindi anche scarsi profili di garanzia in merito alla protezione dei loro dati personali.

Da un lato, è emersa la mancanza di attenzione da parte del Titolare del Trattamento, che è poi sfociata in una pesante sanzione comminata dall’Autorità Garante, dall’altro lato, il caso appena analizzato testimonia l’ancora troppo scarso livello di informazione degli interessati in merito ai diritti offerti loro dalla normativa di settore. È proprio per questo che, per entrambe le categorie di soggetti appena citati, è di fondamentale importanza avere piena consapevolezza dei propri diritti, oltre che dei doveri che devono essere organizzati bydesign e bydefault in fase di sviluppo dell’applicazione. Se anche tu fai parte di queste categorie e vuoi tutelarti da possibili situazioni pregiudizievoli contatta il nostro partner Studio Legale FCLEX, da anni esperto in materia di protezione dei dati personali, oltre che di diritto del lavoro informatico.

Redazione Diritto dell’Informatica

Tags: , , , , ,


About the Author



Back to Top ↑