L’Autorità per la Protezione dei Dati Personali Italiana ha stabilito una sanzione di 2,6 milioni di euro nei confronti della società Foodinho s.r.l., Società controllata dalla più nota GlovoApp23[1], prescrivendole di adeguarsi alla normativa con riferimento al trattamento dei dati che svolge sui rider. Il trattamento, effettuato tramite l’utilizzo di una piattaforma digitale, è stato ritenuto discriminatorio per come strutturato; inoltre, la Società avrebbe omesso la verifica degli algoritmi di assegnazione/prenotazione degli ordini, come da obbligo di legge.
Un’operazione congiunta di cooperazione europea
La suddetta decisione è stata adottata dal Garante privacy con l’Ordinanza ingiunzione nei confronti di Foodinho s.r.l. – 10 giugno 2021 – [doc. web n. 9675440] Registro dei provvedimenti n. 234 del 10 giugno 2021: si tratta della prima decisione sulle modalità di gestione dei lavoratori.
L’Autorità ha anche attivato, per la prima volta, un’operazione congiunta di cooperazione europea, ai sensi del GDPR, con il Garante spagnolo (AEPD) per verificare il funzionamento della piattaforma digitale della capogruppo Glovo. La società spagnola GlovoApp23 è infatti oggetto di un autonomo procedimento condotto dall’AEPD, con la collaborazione del Garante italiano.
In particolare, gli illeciti oggetto dell’ordinanza riguardano gli algoritmi utilizzati per la gestione dei lavoratori:
- la società non ha adeguatamente informato i lavoratori – ex art. 13 GDPR – sul loro funzionamento e dunque ai criteri sottesi alle decisioni relative al ranking e privilegi di assegnazione degli slot per i rider;
- l’algoritmo infatti, per come strutturato, non assicura a oggi quelle garanzie di esattezza e correttezza (legittimità) dei risultati dei sistemi algoritmici utilizzati per la valutazione dei rider, concretizzando così condotte discriminatorie in capo al Titolare/datore di lavoro;
- non sono state garantite nemmeno procedure per tutelare il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare le decisioni adottate mediante l’utilizzo degli algoritmi in questione, compresa l’esclusione di una parte dei rider dalle occasioni di lavoro (compresa la c.d. DPIA, art 35 GDPR).
Il Garante ha pertanto prescritto alla società di individuare misure idonee tese alla efficace e corretta tutela dei diritti e delle libertà degli interessati (i rider) a fronte di decisioni automatizzate, compresa la profilazione. In concreto, l’Autorità richiede di verificare l’esattezza e la pertinenza dei dati utilizzati dal sistema[2], allo scopo di minimizzare il rischio di errori e di distorsioni che potrebbero, ad esempio, portare alla limitazione delle consegne assegnate a ciascun Rider o all’esclusione stessa dalla piattaforma.
Un sistema di rating che penalizza i rider
Il sistema di assegnazione del punteggio (rating), basato sull’applicazione di una formula matematica che penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano favorendo invece i rider che accettano nei termini stabiliti o consegnano il maggior numero di ordini è proprio ciò che il Garante richiede sia programmato tenendo conto dei diritti e delle libertà degli interessati e che ne limiti la discriminazione. (Il punteggio prende in considerazione gli ordini effettivamente consegnati, l’effettuazione del check-in all’interno dello slot prenotato pochi minuti dopo l’inizio della fascia oraria, l’accettazione entro 30 secondi dell’ordine assegnato). Solo un monitoraggio periodico dell’algoritmo garantirebbe i rider da “errori automatizzati” (la loro esclusione tramite algoritmo).
La società dovrà anche individuare misure che impediscano utilizzi impropri o discriminatori dei meccanismi reputazionali basati sul feedback dei clienti e dei partner commerciali.
I rischi delle nuove modalità di fare impresa
La vicenda offre uno spunto di riflessione anche sulle nuove modalità di fare impresa: oggi molti operatori per massimizzare il profitto ed essere competitivi sul mercato analizzano i dati in modo automatizzato. Algoritmi e modelli di analisi dei dati, attraverso i quali può identificare le esigenze dei consumatori e organizzare al meglio l’offerta di beni e servizi, la diffusione dei Big Data Analytics, sono il futuro di molte imprese, ma come ogni rivoluzione esistono notevoli rischi, in particolare il rischio è quello che chi progetta l’algoritmo – o ne commissiona la realizzazione – non tenga in debita considerazione leggi e diritti dei singoli Stati. Basta chiedersi: chi controlla che l’algoritmo non escluda minoranze razziali o religiose? O altre categoria di persone?
Qui si comprende il ruolo chiave dell’Autorità Garante che con la sua attività ispettiva può sensibilizzare gli operatori ad applicare sin dall’inizio della progettazione di app e algoritmi le norme di legge, non solo in materia di privacy, ma anche in materia di diritto del lavoro, diritti umani, etc.
Il Garante durante l’attività ispettiva si è reso conto che le decisioni dell’algoritmo di Foodinho s.r.l. non erano state chiaramente illustrate ai rider, totalmente in balia delle arbitrarie impostazioni dell’impresa.
Come funziona l’algoritmo di Foodinho per i rider
Il rider scarica l’app sullo smartphone e sceglie quando effettuare le consegne, selezionando gli orari disponibili. Ogni rider ha un punteggio legato all’affidabilità e qualità determinate, tra gli altri parametri, dalla recensione del cliente, dall’accettazione tempestiva dell’ordine, dal numero di ordini accettati e dagli ordini effettivamente consegnati. Più il punteggio del lavoratore è alto, maggiore è la sua priorità nello scegliere la fascia oraria (slot), fra quelle indicate dalla Società, nella quale effettuare le consegne.
L’assegnazione del punteggio ai rider, così come l’assegnazione degli ordini agli stessi, si basa su trattamenti automatizzati, compresa la profilazione[3]
In base all’art. 22, GDPR, “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”, a meno che non sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato (in questo caso, il Rider) ed il Titolare del trattamento (Foodinho) ai sensi di quanto disposto dall’art. 22, c. 2, lett. a), GDPR. In tal caso, il Titolare del trattamento dovrà attuare misure idonee a tutelare i diritti, le libertà e i legittimi interessi dell’interessato, il quale avrà il diritto di ottenere l’intervento umano da parte del Titolare del trattamento (art. 22, c. 3, GDPR).
Tutte le accuse mosse dal Garante della Privacy
Da quanto risulta dal documento informativo consegnato da Foodinho al Garante della Privacy[4] in sede di ispezione, la Società ha omesso non solo la possibilità di rivolgersi al Titolare e richiedere un intervento umano, ma altresì di porsi – sin dall’inizio (in ossequio al principio della privacy by design) se i commenti degli utenti potessero avere impatti negativi sui rider e in che misura.
Non è infatti scontato l’impatto sulla vita degli interessati delle recensioni e del “bad rating”, tanto che sarebbe stato necessario predisporre con l’ausilio del DPO anche la c.d. PIA ex art. 35 GDPR e impostare in ogni caso dei meccanismi di tutela della privacy dei rider (principio privacy by default), considerata la circostanza che tramite nuove tecnologie era di fatto eseguita su soggetti contrattualmente “deboli” una profilazione.
Per di più, i rider non sono stati informati sulle modalità di trattamento di ulteriori loro dati personali non pertinenti all’esecuzione del contratto fra le parti: ad esempio dati relativi alla posizione geografica, utilizzo dispositivi e modalità di comunicazione (via chat, e-mail e telefono con il call center) in patente violazione dell’art. 5, par. 1, lett. a), GDPR e art. 12, c. 1, GDPR, che sul punto precisa che il Titolare del trattamento (art. 4 GDPR) deve adottare misure appropriate per fornire all’interessato tutte le informazioni relative al trattamento dei suoi dati personali in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Il tutto senza la corretta indicazione dei tempi di conservazione dei dati personali dei rider, come richiesto per legge, (il documento informativo predisposto da Foodinho s.r.l. fornisce un’indicazione del tutto generica ed imprecisa, facendo riferimento al tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti, per poi aggiungere che, una volta cessato il rapporto di lavoro, il Titolare del trattamento (art. 4 GDPR) potrà conservare i dati per un tempo stabilito dalla legislazione e, comunque, per un massimo di 10 anni). L’indicazione così come formulata potrebbe valere per i dati personali strettamente necessari a dare esecuzione al contratto di lavoro e ottemperare alle relative norme di legge applicabili (anche con riferimento alla prescrizione dei diritti del lavoratore nei confronti della società), ma di certo non può applicarsi al trattamento dei dati che non siano strettamente necessari e pertinenti alla suddetta finalità.
Le violazioni in tema di diritto del lavoro per i rider
Da ultimo le violazioni in tema di diritto del lavoro: indipendentemente dall’inquadramento del rider come lavoratore dipendente[5] o autonomo[6], l’art. 88 del GDPR prevede l’applicabilità delle norme nazionali “di maggior tutela” rispetto al Regolamento, al fine di assicurare un’elevata protezione dei diritti e delle libertà degli interessati. Si veda infatti, l’art. 114 del Codice della Privacy ed all’art. 4, l. 300/1970[7], richiamati anche dal Garante.
Tutto ciò considerato, unitamente ad altre violazioni relative al registro trattamenti e al DPO, Foodinho s.r.l. è stata condannata, oltre adeguare alla normativa privacy il trattamento dei dati personali dei rider[8], anche a pagare una sanzione piuttosto salata: di 2,6 milioni di euro.
Nel calcolare la sanzione per i trattamenti illeciti effettuati, l’Autorità ha tenuto conto anche della limitata collaborazione offerta dalla Società nel corso dell’istruttoria e dell’elevato numero di rider coinvolti in Italia, circa 19.000 al tempo dell’ispezione.
Conclusioni
Resta dunque importante per gli operatori adeguarsi alle prescrizioni normative e definire sin dall’inizio della progettazione della propria attività gli aspetti privacy coinvolgendo un professionista – anche il DPO qualora nominato – nella valutazione e verifica dei trattamenti al fine di rendicontare le scelte effettuate e le tutele apprestate.
Per molte società virtuose la privacy ha rappresentato un’opportunità per fare chiarezza all’interno dei propri processi aziendali efficientandoli. Inoltre, la sempre più diffusa sensibilità sul valore dei dati di ciascuno di noi rende un operatore privacy compliance preferibile fra i soggetti del mercato e infine essere compliance evita spiacevoli multe come quella che verrà presto irrogata a Glovo. In particolare, le start-up più innovative dovrebbero investire lato privacy affinché il loro futuro non subisca bruschi arresti economici.
- Foodinho è una startup italiana che si occupa della consegna di cibo a domicilio controllata, al 100%, dalla spagnola GlovoApp23, startup che opera nel business dell’anything delivered (consegna a domicilio di qualsiasi prodotto). Più precisamente, Foodinho srl si occupa della consegna, per mezzo di una piattaforma digitale, di cibi ed altri beni ordinati dai clienti avvalendosi dell’attività di lavoratori specifici: i rider. ↑
- chat, e-mail e telefonate intercorse tra i rider e il customer care, geolocalizzazione ogni 15 secondi e visualizzazione su mappa del percorso, tempi di consegna stimati ed effettivi, dettagli sulla gestione dell’ordine in corso e di quelli già effettuati, feedback di clienti e partner, livello della batteria rimanente del dispositivo etc. ↑
- Con profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali che consiste nel loro utilizzo per valutare aspetti personali di un soggetto (es.: rendimento professionale, affidabilità, ubicazione, comportamento, spostamenti…). ↑
- Precisa il Garante che i documenti informativi predisposti da Foodinho sono stati diversi, tutti imprecisi e vaghi. ↑
- S. n. 1663/2020, Cass., “1. A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione che si concretano in prestazioni di lavoro esclusivamente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro.” ↑
- Tribunale di Firenze, s. 21 febbraio 2021, secondo cui i rider sono lavoratori autonomi in quanto la tipologia della prestazione ha carattere spiccatamente autonomo, trattandosi di attività lavorativa caratterizzata dalla facoltà, attribuita al lavoratore, di decidere individualmente se e quando lavorare, senza dovere rendere giustificazione alcuna. ↑
- Art. 4, c. 1, L. 300/1970 “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi”. ↑
- Il Garante ha concesso a Foodinho s.r.l. 60 giorni di tempo per avviare le misure necessarie per correggere le gravi violazioni rilevate e ulteriori 90 giorni per completare gli interventi sugli algoritmi. ↑