Lo scorso 22 luglio l’Autorità Garante, all’esito di una complessa istruttoria, dopo aver riscontrato numerose violazioni nell’ambito del trattamento dei dati personali dei lavoratori, ha ingiunto a Deliveroo Italy S.r.l. (“Deliveroo”) il pagamento della sanzione di euro 2.500.000,00.
Deliveroo svolge, per mezzo di una piattaforma digitale, un’attività consistente nella consegna, a seguito di ordini effettuati dai clienti, di pietanze o altri beni forniti da diverse tipologie di esercenti, avvalendosi di personale a ciò specificamente preposto (c.d. rider).
L’attività di controllo svolta dall’Autorità Garante ha riguardato il trattamento dei dati personali dei rider e ha riscontrato quanto segue.
- In primo luogo, l’Autorità ha rilevato come i rider non siano stati adeguatamente informati in merito al trattamento dei propri dati personali.
L’Autorità, in particolare, ha ravvisato:
- La mancata indicazione delle modalità di trattamento dei dati personali relativi alla posizione geografica (raccolti sistematicamente ogni 12 secondi), con conseguente violazione del principio di trasparenza (art. 5, par. 1, lett. a) del Regolamento Europeo 679/2016 “GDPR”).
- L’insufficienza delle indicazioni in merito ai tempi di conservazione, da cui discende la violazione dell’art. 13, par. 2, let. a) del GDPR.
- La mancata comunicazione dell’esistenza di trattamenti automatizzati, compresa la profilazione, con conseguente violazione dell’art. 13, par. 2, let. f) del GDPR).
- In secondo luogo, l’Autorità ha contestato alla società la mancata individuazione dei tempi di conservazione dei dati trattati e, a tal riguardo, ha precisato che il titolare non può limitarsi a stabilire blocchi di fasce temporali omogenee, ma deve individuare tempi di conservazione ritenuti congrui in relazione a ciascuno degli scopi in concreto perseguiti con il trattamento delle diverse tipologie di dati personali.
- Con particolare riferimento alle misure di sicurezza (art. 32 del GDPR), l’Autorità ha rilevato la mancata implementazione di misure tecniche atte ad impedire la segregazione dei dati dei rider italiani, in quanto l’accesso ai dati dei rider italiani attraverso la piattaforma risultava possibile da parte degli operatori di altre società del gruppo con sede sia all’interno dell’Unione Europea sia all’esterno dell’Unione Europea.
- L’Autorità ha, inoltre, riscontrato l’utilizzo da parte della società di trattamenti automatizzati, volti alla valutazione dell’affidabilità dei rider e finalizzati a consentire agli stessi di acquisire una prelazione nella scelta delle fasce orarie di lavoro. Secondo l’Autorità tale trattamento produce un effetto significativo sulla persona dell’interessato, consistente nella possibilità di accedere a determinate fasce orario e dunque di offrire o negare una possibilità di impiego. Da ciò sarebbe dovuta conseguire l’adozione, da parte della società, di misure tecniche e organizzative adeguate a tutelare gli interessati, tramite la verifica periodica della correttezza e accuratezza dei sistemi algoritmici, dell’esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite e a ridurre al massimo il rischio di effetti discriminatori.
- Dopodiché, l’Autorità ha contestato il mancato svolgimento della Valutazione d’Impatto ai sensi dell’art. 35, par. 1, del GDPR. L’attività di trattamento è, infatti, caratterizzata dall’utilizzo innovativo di una piattaforma digitale, attraverso la quale sono raccolti una pluralità di dati personali, compresa la localizzazione geografica e le comunicazioni avvenute tramite chat o email tra i rider ed il call center, nonché tutti i dettagli relativi a ogni fase di gestione degli ordini, compresa la rilevazione di anomalie e la conseguente attività di profilazione, conseguente da trattamenti automatizzati svolti nei confronti di soggetti vulnerabili in quanto parti di un rapporto di lavoro. L’Autorità alla luce di questi elementi e in considerazione dell’uso di nuove tecnologie, ha ritenuto che la società avrebbe dovuto svolgere la Valutazione d’Impatto ai sensi dell’art. 35, par. 1 GDPR.
- L’Autorità ha, inoltre, rilevato numerose irregolarità nel Registro dei trattamenti, tra cui: (i) la mancata indicazione di alcune tipologie di dati trattati dalla società; (ii) l’indicazione di tempi di conservazione del tutto generici; (iii) la mancata indicazione delle misure di sicurezza.
- Da ultimo, l’Autorità ha rilevato, in considerazione del fatto che i dati personali dei rider sono trattati nell’ambito di un rapporto di lavoro, la carenza della condizione di liceità del trattamento di cui all’art. 114 del D. Lgs. 196/2003, che prevede che venga rispettato quanto prescritto dall’art. 4 della Legge 300 del 1970 (“Statuto dei Lavoratori”), secondo il quale “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, previo accordo collettivo con le rappresentanze sindacali o previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro. Sul punto, l’Autorità ha precisato che la società effettuando un minuzioso controllo sulla prestazione lavorativa, tramite una pluralità di strumenti tecnologici (la piattaforma digitale, le app e il customer care), dal quale deriva la possibilità di un controllo a distanza dei lavoratori, ha violato le prescrizioni del richiamato art. 4. Tale circostanza configura, secondo quanto chiarito dall’Autorità, violazione del principio di liceità del trattamento (art. 5, par. let. a) GDPR) in relazione all’art. 114 del D. Lgs. 196/2003.
Alla luce di quanto esposto, l’Autorità Garante, accertata l’illiceità del trattamento, ha ingiunto alla società di conformare i propri trattamenti alle prescrizioni del Regolamento Europeo 2016/679 e ha disposto l’applicazione della sanzione amministrativa di euro 2.500.000,00