PRIVACY: SANZIONE DI 2,6 MILIONI DI EURO A PIATTAFORMA DEL GRUPPO GLOVO

food-delivery-6070101_1920_900x400.png

Il Garante Privacy si esprime negativamente sulle discriminazioni, perpetrate ai danni dei rider, basate su algoritmi di sistema.

 

Il Garante per la protezione dei dati personali si esprime per la prima volta sul tema delle società di Food Delivery e sul rapporto contrattuale che queste intrattengono con i fattorini (cosiddetti rider). Dopo un primo ciclo ispettivo, il cui scopo era analizzare le modalità di gestione dei lavoratori di alcune delle principali società di Food Delivery operanti sul territorio italiano, il Garante privacy ha riscontrato diverse violazioni della normativa privacy nei confronti di Foodinho S.r.l. (società controllata da GlovoApp23).

In particolare l’Autorità Garante, oltre a ordinare alla società Foodinho S.r.l. di modificare il trattamento dei dati dei propri rider (effettuato tramite l’uso di una piattaforma digitale) e verificare che gli algoritmi non creino forme di discriminazione, ha comminato a questa una sanzione di 2,6 milioni di euro.

L’ordinanza di ingiunzione emanata nei confronti di Foodinho S.r.l. in data 10 giugno 2021 [doc. web n. 9675440] comprende:

  1. l’intera l’attività ispettiva iniziata nel luglio del 2019 nei confronti della società;
  2. la documentazione acquisita nel corso dell’accertamento;
  3. l’avvio del procedimento per l’adozione dei provvedimenti correttivi, notificata dall’Autorità Garante il 9 novembre 2020;
  4. l’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi;
  5. le violazioni accertate durante l’attività ispettiva;
  6. conclusioni relative all’illiceità del trattamento;
  7. ordinanza di ingiunzione.

Qui di seguito proveremo a sintetizzare le violazioni accertate in sede di ispezione:

  • trattamento dei dati personali dei rider sulla base di un’informativa non conforme su diversi punti (mancanza di trasparenza, errato periodo di conservazione, mancato riferimento a trattamenti automatizzati, mancanza di correttezza, ecc…). In sostanza le informative messe a disposizione ai lavoratori erano caratterizzate da disorganicità, imprecisione e vaghezza e quindi non idonee;
  • compilazione imprecisa del Registro delle attività di trattamento, riguardo ai tempi di conservazione delle diverse tipologie di dati trattati;
  • configurazione non corretta dei sistemi utilizzati dai rider nel corso della loro attività. Tali sistemi informatici raccolgono e memorizzano tutti i dati relativi alla gestione dell’ordine (ad esempio posizione geografica, punteggi giornalieri dei rider, dati riferiti a telefonate, ecc…) e sono configurati in modo da permettere agli operatori autorizzati di accedere direttamente al contenuto di chat e email scambiate con i rider senza ulteriori passaggi;
  • possibilità, per un account di Operation, di avere accesso diretto e incondizionato ai dati di tutti i rider che operano sia in territorio UE che extra UE, non preoccupandosi quindi di applicare un criterio quantomeno basato sull’ambito territoriale;
  • mancanza di una valutazione d’impatto sulla protezione dei dati, secondo l’art. 35 del GDPR. Foodinho S.r.l. pareva aver suggerito alla capogruppo GlovoApp23 della necessità di effettuare una valutazione d’impatto o DPIA, poiché sosteneva che tale operazione fossero di competenza della capogruppo, ma quest’ultima dopo aver valutato la proposta aveva escluso l’esigenza di procedere. Il GDPR però specifica che tale operazione ricade in capo al Titolare del trattamento (in questo caso Foodinho S.r.l.). Infine la società italiana esclude che tali trattamenti rientrino tra quelli per cui è obbligatorio effettuare una DPIA (ragionamento non corretto dato che tali sistemi, tra le altre cose, effettuano trattamenti automatizzati, compresa la profilazione);
  • discriminazione riguardo al sistema di punteggio assegnato ai rider, cosiddetto sistema di eccellenza. La discriminazione si basa ad esempio sulle tempestività di accettazione di un ordine, il maggior numero di ordini effettuati durante la fascia oraria di riferimento. Basandosi su questi parametri il sistema propone o nega l’accesso alle fasce orarie. Infine vengono presi in considerazione solo i feedback negativi forniti dai clienti, che penalizzano il punteggio del rider;
  • ritardo nella designazione del Responsabile della protezione dei dati o DPO, avvenuta in data 1° luglio 2020: mentre la nomina del DPO di gruppo è avvenuta in data 23 maggio 2019. Pertanto i trattamenti effettuati dalla società fino al 1° luglio 2020 risultano illeciti;
  • Redazione imprecisa del Registro delle attività di trattamento, nello specifico ad esempio: modalità che non consentono di distinguere in modo chiaro le categorie di interessati dalle categorie di dati trattati, descrizione troppo generica delle finalità relative i rider, mancanza di indicazione delle misure di sicurezza tecniche e organizzative, mancanza di una data di redazione, ecc…;
  • Non liceità del trattamento, relativamente al rapporto di lavoro in essere con i rider. Effettuando trattamenti di dati che consentono un controllo puntuale sulla prestazione lavorativa del soggetto, ha omesso di applicare quanto stabilisce l’art. 4, comma 1 delle Legge 300/1970 (anche Statuto dei lavoratori).

A conclusione di tutto l’esposto il Garante per la protezione dei dati personali, visti i poteri correttivi che l’art. 58, paragrafo 2 del GDPR gli fornisce, ingiunge alla società di conformare al GDPR i propri trattamenti con riferimento:

  1. alla corretta predisposizioni dei documenti quali informativa, Registro delle attività di trattamento e DPIA;
  2. ai tempi di conservazione dei dati;
  3. all’individuazione di misure utili alla verifica periodica dei risultati dei sistemi algoritmici in uso, per minimizzare il rischio di errori;
  4. all’implementazione di strumenti che evitino usi impropri e discriminatori dei meccanismi reputazionali basati su feedback;
  5. all’applicazione, relativamente ai trattamenti effettuati sui dati dei rider, dei principi di minimizzazione e di privacy by design e by default, individuando nello specifico soggetti e profili autorizzati all’accesso di diversi tipologie di dati rispetto alle mansioni svolte;
  6. all’adempimento previsto dall’art.4, comma 1 della Legge 300/1970 (Statuto dei lavoratori).

Viene, come già accennato, disposta una sanzione amministrativa pecuniaria del valore di 2,6 milioni di €.

Infine vengono indicati i seguenti tempi attuativi dal ricevimento del provvedimento:

  • 30 giorni invece per pagare la predetta somma di denaro
  • 60 giorni per porre rimedio alle violazioni
  • 90 giorni per completare gli interventi sugli algoritmi

Quest’azione, portata avanti dal Garante italiano (GPDP), ha addirittura attivato un’operazione congiunta di cooperazione europea ai sensi del GDPR con il Garante spagnolo (AEPD).

La società capogruppo, GlovoApp23, è invece oggetto di un procedimento autonomo condotto proprio dal Garante spagnolo, con la collaborazione del Garante italiano.

 

Ricordiamo che PrivaCycura fornisce consulenza in materia di GDPR e protezione dei dati: per maggiori informazioni contattateci utilizzando l’indirizzo di posta Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy