Il Garante, i rider e la geolocalizzazione: quando la software house non investe in privacy

ict

La figura del rider è negli ultimi anni al centro di numerosi dibattiti, che hanno per lo più posto l’accento sulle condizioni lavorative spesso precarie e poco dignitose riconosciute a questa categoria. Una nuova chiave di lettura, però, è stata offerta dal Garante per la protezione dei dati personali, il quale, con un’ Ordinanza di ingiunzione nei confronto di Foodinho S.r.l., datata 10 giugno 2021, ha posto per la prima volta l’attenzione sul grado di tutela offerto ai rider in materia di protezione dei dati personali.  Andiamo, quindi, ad analizzare i passaggi salienti del percorso logico-argomentativo del Garante, concernente le implicazioni giuridiche e fattuali delle operazioni di trattamento effettuate sui dati personali dei rider.

Quando il software non rispetta la privacy

L’ordinanza citata nasce da una complessa attività istruttoria, da parte dell’Autorità Garante Nazionale, che muove i primi passi tra il 16 e il 17 luglio 2019: in quei giorni, sono stati avviati i primi accertamenti presso la società Foodinho S.r.l., con sede legale in Italia, la quale opera, attraverso una piattaforma digitale, nel settore delle consegne di cibo o altri beni, avvalendosi “di personale a ciò specificamente dedicato (c.d. rider).”

Il funzionamento della piattaforma in oggetto si basa sull’utilizzo di meccanismi automatizzati per l’affidamento delle consegne ai singoli riders. Tali procedure, basate su un sistema di assegnazione di un rating, utilizzano degli algoritmi, quindi formule matematiche, che tengono in considerazione criteri quali la velocità dell’accettazione di un ordine da parte del rider o il numero di consegne effettuate in un certo periodo di tempo.

Il fulcro dell’attività ispettiva del Garante, quindi, sono stati l’effettiva gestione di tali procedure da parte dell’azienda e soprattutto il grado di informazione offerto dalla stessa ai lavoratori: i rider erano davvero consapevoli di tutto ciò? Il Garante ha risposto in maniera negativa a tale interrogativo!

Il danno da algoritmo e le violazioni della privacy

Come si legge nell’ordinanza del Garante, “all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, è emerso che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati – pari a 18.684 rider al tempo dell’ispezione, secondo quanto dichiarato – che risultano non conformi alla disciplina in materia di protezione dei dati…”.

Dall’analisi effettuata dall’Autorità Garante è emerso che sono imputabili a Foodinho S.r.l., società appartenente al Gruppo GlovoAPP23, in qualità di titolare del trattamento dei dati relativi ai suoi dipendenti, diverse violazioni della normativa in materia di privacy.

Nello specifico, infatti, il Garante ha costatato ed evidenziato come, in merito al trattamento dei dati personali dei riders, il titolare del trattamento:

  • non abbia reso adeguata informativa ex articolo 13 del GDPR (Regolamento UE 679/2016), la quale risultava presente al momento della registrazione del rider alla piattaforma di gestione degli ordini, ma che non era mai stata né datata né sottoscritta dagli interessati;
  • tale informativa, inoltre, non integrava i requisiti previsti dagli articoli 5 e 13 del GDPR, quali, ad esempio:
    • una specifica e corretta indicazione delle modalità di trattamento dei dati in generale, e nello specifico con particolare attenzione alla posizione geografica dei riders;
    • una specifica e corretta indicazione delle modalità di trattamento dei dati concernenti le comunicazioni via chat, via telefono, via e-mail o tramite call center dei riders;
    • un’indicazione esplicita e puntuale, con conseguente acquisizione del consenso da parte dell’interessato, dello svolgimento di attività di profilazione dei dati degli interessati.
  • non aveva effettuato nessuna DPIA (valutazione d’impatto sulla protezione dei dati personali), né tanto meno ciò era stato fatto da parte della società capogruppo, in violazione di quanto disposto dall’articolo 35 del GDPR;
  • aveva predisposto un registro del trattamento, ma questo era compilato in maniera sommaria ed imprecisa, omettendo informazioni essenziali quali, ad esempio, i tempi di conservazione dei dati;
  • aveva violato le prescrizioni dell’articolo 4, comma 1, dello Statuto dei Lavoratori (L.300/1970), in merito al divieto di controllo a distanza delle attività dei lavoratori, ad esempio attraverso l’utilizzo di sistemi di geolocalizzazione.

La collaborazione con l’Autorità Garante Spagnola e le sanzione del GDPR

Altro aspetto peculiare dell’appena descritta attività ispettiva condotta dal Garante Italiano concerne la cooperazione con il Garante Privacy Spagnolo (AEPD), in conformità con la previsione del GDPR sulla possibilità di collaborare tra Autorità Garanti Nazionali. Il connubio tra le due Autorità infatti è ormai consolidato, tanto che anche il Garante Spagnolo si sta avvalendo di quello Italiano per condurre un procedimento autonomo nei confronti della società capogruppo di Foodinho S.r.l., GlovoApp23, che ha sede legale appunto in Spagna.

Dalla sinergia tra le autorità si è arrivati quindi – a conclusione delle complesse attività ispettive – ad un’ordinanza di ingiunzione nei confronti dell’azienda Foodinho S.r.l., nella quale si chiede alla stessa di conformarsi alle previsioni del GDPR, oltre che a quelle dello Statuto dei lavoratori.

In forza di questo provvedimento, la società dovrà mettere in atto i seguenti adempimenti:

  • corretta predisposizione e gestione della documentazione privacy, quale informative, registro delle attività di trattamento e DPIA;
  • corretta applicazione dei principi generali della normativa di settore, ad esempio, minimizzazione, privacy by design e privacy by default;
  • utilizzare strumenti e sistemi che consentano la tutela dei lavoratori in merito ad eventuali usi discriminatori dei meccanismi di rating, anche sotto il profilo dell’utilizzo di algoritmi e profilazione dei dati personali;
  • in ultimo, rispettare le previsioni dell’articolo 4, comma 1, dello Statuto dei Lavoratori, in relazione al controllo a distanza effettuato sulle attività dei lavoratori mediante strumenti di tracciamento.

Oltre a tali specifici adempimenti, il Garante ha comminato alla società una sanzione amministrativa pari a ben 2,6 milioni di euro, commisurata alle circostanze del caso concreto, così come previsto dall’articolo 83 del GDPR!

Infine, la società ora dovrebbe eseguire entro:

  • 30 giorni per il pagamento della sanzione amministrativa;
  • 60 giorni per rimediare alle violazioni costatate;
  • 90 giorni per intervenire sui sistemi basati sugli algoritmi.

Per sapere, quindi, il finale di questa complessa vicenda non rimane che aspettare il decorso di tali termini!

Come mettere a norma l’App: sviluppo del software gdpr compliance

L’ordinanza in oggetto, come emerge dall’analisi appena effettuata, sicuramente rappresenta un punto di partenza importante per una categoria di soggetti “deboli”, i cui dati sono sottoposti ad attività di trattamento assai delicate. Alle già poco tutelanti condizioni lavorative a cui sono sottoposti i riders, si aggiungono quindi anche scarsi profili di garanzia in merito alla protezione dei loro dati personali.

Da un lato, è emersa la mancanza di attenzione da parte del Titolare del Trattamento, che è poi sfociata in una pesante sanzione comminata dall’Autorità Garante, dall’altro lato, il caso appena analizzato testimonia l’ancora troppo scarso livello di informazione degli interessati in merito ai diritti offerti loro dalla normativa di settore. È proprio per questo che, per entrambe le categorie di soggetti appena citati, è di fondamentale importanza avere piena consapevolezza dei propri diritti, oltre che dei doveri che devono essere organizzati bydesign e bydefault in fase di sviluppo dell’applicazione. Se anche tu fai parte di queste categorie e vuoi tutelarti da possibili situazioni pregiudizievoli contatta il nostro partner Studio Legale FCLEX, da anni esperto in materia di protezione dei dati personali, oltre che di diritto del lavoro informatico.

Redazione Diritto dell’Informatica

ICT
luglio 9, 2021
geolocalizzazioneprivacyPrivacy lavoratoriprofilazioneprovvedimento Garantesanzioni
logo fclex nero

Guida al GDPR

Cookie Law 2023: metti a norma il tuo sito

Scopri anche

ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto
cookie policy generator iubenda privacy

Cookie Policy Generator: è affidabile? Attenzione!

29 Lug
Leggi tutto
e-commerce sanzioni direttiva omnibus

eCommerce: Nuove regole e sanzioni della Direttiva Omnibus

20 Lug
Leggi tutto
google analytics mail federico leva

Federico Leva e Google Analytics: Non ignorare la mail!

12 Lug
Leggi tutto

Risolvi problemi e ritardi con i fornitori: il contratto ad hoc per il Procurement

8 Giu
Leggi tutto

Ultimi aggiornamenti

registrazione marchio guadagnare licenza

Marchio Registrato: Valorizza e tutela il brand

La tutela del marchio costituisce un passaggio fondamentale per far crescere la tua attività economica. Preservare la propria immagine e la propria reputazione online migliora la relazione azienda-cliente e consolida il posizionamento diventando un efficientissimo strumento di brand enforcement essendo in grado di eliminare la concorrenza […]
giugno 5, 2023
Leggi tutto
furto dati aziendali data breach

Cosa fare in caso di Data Breach?

Riconoscere e prevenire furto o cancellazione di dati aziendali La curva degli attacchi informatici subiti dalle aziende sale vertiginosamente di anno in anno. Spesso si riescono a prevenire e bloccare, ma a volte possono raggiungere il loro obiettivo. Quindi, quali accorgimenti possiamo adottare per prevenirli, o alla peggio, […]
aprile 26, 2023
Leggi tutto
chatgpt italia bloccato garante

ChatGPT bloccato in Italia dal Garante Privacy: Chi ha ragione?

ChatGPT, il software di intelligenza artificiale più popolare e più amato nel nostro Paese – ma forse, potremmo dire, nel mondo – ha temporaneamente dovuto salutare gli utenti italiani, su impulso del recente provvedimento del Garante Privacy. La decisione del Garante ha sollevato diverse polemiche, ed […]
aprile 24, 2023
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2023 dirittodellinformatica.it