Lo scorso 21 giugno l’Autorità Garante all’esito dell’attività di controllo effettuata nei confronti di Foodinho S.r.l., ha comminato alla società una sanzione di euro 2.600.000,00.
Foodhino svolge, per mezzo di una piattaforma digitale, un’attività consistente nella consegna, in seguito ad ordini effettuati dai clienti, di pietanze o altri beni forniti dagli esercenti, avvalendosi di personale a ciò appositamente dedicato (c.d. rider).
L’attività di controllo svolta dall’Autorità Garante ha riguardato i dati personali dei rider e ha riscontrato quanto segue.
- Trasparenza verso gli interessati
In primo luogo, l’Autorità ha rilevato come i rider non siano stati adeguatamente informati in merito al trattamento dei propri dati personali.
Da un lato, non è stato chiarito come il documento informativo sia stato reso noto ai rider; dall’altro lato, il documento prodotto dalla società nel corso dei controlli è risultato non in linea con quanto prescritto dal GDPR.
L’Autorità, in particolare, ha ravvisato:
- La violazione del principio di trasparenza (art. 5, par. 1, let. a) del Regolamento Europeo 2016/679, di seguito anche “GDPR”), in assenza dell’indicazione delle modalità di trattamento dei dati relativi alla posizione geografica ed in assenza dell’indicazione della tipologia di dati raccolti, con riferimento ai dati delle comunicazioni intraprese via chat, email e telefono con il call center della società;
- La mancata indicazione di precisi tempi di conservazione (art. 13, par. 2, let. a) GDPR) (non essendo sufficiente l’indicazione “per il solo tempo strettamente necessario a conseguire le finalità per le quali i dati sono raccolti”);
- La mancata indicazione di un processo decisionale automatizzato (art. 13, par. 2, let. f) GDPR), volto all’assegnazione di un punteggio ai rider al fine di determinare una priorità nella scelta degli orari di lavoro;
- La mancata indicazione dei dati di contatto del Responsabile della Protezione dei Dati (art. 13, par. 1. let. a) GDPR).
- Valutazione di Impatto
In secondo luogo, l’Autorità ha contestato alla società il mancato svolgimento della Valutazione d’Impatto ai sensi dell’art. 35, par. 1, GDPR. L’attività di trattamento è, infatti, caratterizzata dall’utilizzo innovativo di una piattaforma digitale, attraverso la quale sono raccolti e memorizzati una molteplicità di dati personali relativi alla gestione degli ordini, tra cui: (i) la localizzazione geografica dei rider, (ii) le comunicazioni avvenute tramite chat e email tra i rider ed il call center, (iii) il contenuto delle telefonate tra i rider ed il customer care; inoltre, attraverso la piattaforma è effettuata un’attività di profilazione nei confronti di un numero rilevante di interessati. L’Autorità, pertanto, in considerazione dell’uso di nuove tecnologie, dell’attività di profilazione e della sussistenza un rischio elevato per i diritti e le libertà delle persone fisiche, ha dichiarato che la società avrebbe dovuto svolgere la Valutazione d’Impatto ai sensi dell’art. 35, par. 1 GDPR.
- Trattamento automatizzato
Con particolare riferimento al trattamento automatizzato, l’Autorità ha riscontrato l’utilizzo da parte della società di un sistema che consente di attribuire a ciascun rider un punteggio, che permette al rider di selezionare, con priorità rispetto agli altri rider, le fasce orarie stabilite dalla società, all’interno delle quali sono distribuiti gli ordini ricevuti. Ciò può comportare per i rider un vantaggio, in quanto alcune fasce orarie sono caratterizzate da un maggior numero di ordini e conseguentemente da maggiori possibilità di guadagno. Il punteggio assegnato ai rider deriva dall’applicazione di una formula matematica, basata su una serie di variabili (tra cui il punteggio assegnato dall’utente) e produce un effetto significativo sui rider incidendo direttamente sulla possibilità di ricevere ordini. L’Autorità ha rilavato che tale processo produce una decisione basata unicamente su un trattamento automatizzato che incide significativamente sugli interessati e si pone, pertanto, in contrasto con quanto disposto dall’art. 22 del GDPR. L’Autorità, peraltro, ha rilevato in tale frangente come in totale dispregio dei diritti degli interessati, non sia stato neppure garantito il diritto di poter contestare la decisione e di ottenere l’intervento umano.
- Registro delle attività di trattamento
L’Autorità ha, inoltre, rilevato numerose irregolarità nel Registro dei trattamenti, tra cui: (i) la mancanza dei dati di contatto del responsabile della protezione dei dati; (ii) la mancata distinzione tra le categorie di dati personali trattati e le categorie di interessati, (iii) la mancata indicazione di alcune delle categorie di dati trattate dalla società, (iv) la mancata indicazione di precisi termini di conservazione, (v) la mancata indicazione delle misure tecniche e organizzative di cui all’art. 32 del GDPR e cosa di particolare rilievo, in considerazione del fatto che tale informazione non risulta tra quelle indicate dall’art. 30 par. 1 del GDPR, ha rilevato la mancata indicazione di idonee basi giuridiche del trattamento.
- Privacy e Statuto dei lavoratori. Potenziale controllo a distanza dell’attività lavorativa
Da ultimo, l’Autorità ha rilevato, in considerazione del fatto che i dati personali dei rider sono trattati nell’ambito di un rapporto di lavoro, la carenza della condizione di liceità del trattamento di cui all’art. 114 del D. Lgs. 196/2003, che prevede che venga rispettato quanto prescritto dall’art. 4 della Legge 300 del 1970 (“Statuto dei Lavoratori”), secondo il quale “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, previo accordo collettivo con le rappresentanze sindacali o previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro. A riguardo, l’Autorità ha rilevato che la società pur effettuando un minuzioso controllo sulla prestazione lavorativa, tramite una pluralità di strumenti tecnologici (la piattaforma digitale, le app e il customer care), dal quale deriva la possibilità di un controllo a distanza dei lavoratori, ha violato le prescrizioni dal richiamato art. 4. Tale circostanza configura, secondo quanto chiarito dall’Autorità, violazione del principio di liceità del trattamento (art. 5, par. let. a) GDPR) in relazione all’art. 114 del D. Lgs. 196/2003.
- Sanzioni
Alla luce di quanto esposto, l’Autorità Garante, accertata l’illiceità del trattamento, ha ingiunto alla società di conformare i propri trattamenti alle prescrizioni del Regolamento Europeo 2016/679 e ha disposto l’applicazione della sanzione amministrativa di euro 2.600.000,00.