Skip to content Skip to sidebar Skip to footer
RPLT RP legalitax
RPLT RP legalitax
Close
Privacy & Data Protection

Rider: il Garante si oppone alle discriminazioni basate sugli algoritmi

Il Garante privacy, con il provvedimento n. 234 del 10 giugno 2021, ha comminato alla società Foodinho del gruppo Glovo, una sanzione di 2,6 milioni di euro per il trattamento illecito dei dati personali dei propri rider.

Le principali violazioni

A seguito di una lunga istruttoria durata quasi 2 anni, il Garante Privacy ha riscontrato diverse violazioni della normativa in materia di protezione dei dati personali da parte di Foodinho, società controllata da Glovo, con riferimento all’utilizzo di un algoritmo di gestione del personale che assegnava le consegne ai rider essenzialmente in base al giudizio dei clienti e degli esercenti sui rider, al numero di consegne effettuate dagli stessi e al loro tasso di produttività, senza però che i rider fossero pienamente a conoscenza del meccanismo di funzionamento di tale algoritmo e senza assicurare l’esattezza e la correttezza dei suoi risultati. Diversamente da quanto previsto dalla normativa vigente, inoltre, è stato accertato che tale algoritmo non garantiva nemmeno procedure per tutelare il diritto di intervento umano ossia per consentire al rider di esprimere la propria opinione e/o contestare le decisioni adottate mediante l’utilizzo dell’algoritmo.

In particolare, il Garante Privacy ha rilevato, inter alia, che Foodinho:

  • non ha indicato nell’informativa privacy resa ai propri rider la tipologia dei dati raccolti (ossia che Foodinho raccoglieva, ad esempio, informazioni sulle comunicazioni intraprese via chat, e-mail e telefono con il call center e i giudizi espressi sul loro conto da clienti ed esercenti e la differenza tra i tempi di consegna stimati e quelli effettivi), le concrete modalità di trattamento dei dati relativi alla posizione geografica (consistente in una rilevazione ogni 15 sec del percorso del rider sulla mappa), i precisi tempi di conservazione di alcune tipologie di dati raccolti e i dati di contatto del RPD;
  • ha individuato un unico termine di conservazione in relazione ad una pluralità di trattamenti effettuati per scopi diversi nonché in relazione a distinte tipologie di dati;
  • ha permesso al proprio personale l’accesso indiscriminato all’algoritmo senza operare distinzioni in base al ruolo da loro rivestito in azienda o alle mansioni a loro assegnate;
  • non ha effettuato una valutazione di impatto sulla protezione dei dati, nonostante l’utilizzo innovativo di una piattaforma digitale e l’effettuazione di attività di profilazione su soggetti vulnerabili tramite algoritmo;
  • non ha adottato misure tecniche e organizzative volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici;
  • non ha comunicato i dati di contatto del RPD, nominato a livello di gruppo, all’Autorità di controllo competente;
  • ha redatto un registro del trattamento con modalità che non consentono di distinguere le categorie di interessati dalle categorie di dati trattati e con finalità descritte in modo generico;
  • ha effettuato attività di controllo sulla prestazione lavorativa, attraverso la geolocalizzazione del dispositivo di lavoro, in mancanza di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

La Sanzione e i criteri utilizzati

Il Garante Privacy, nel determinare in 2,6 milioni di euro l’ammontare della sanzione pecuniaria nei confronti di Foodinho, ha tenuto conto dei seguenti fattori:

  • la natura della violazione, che ha riguardato i principi generali del trattamento;
  • la negligente condotta della società e il grado di responsabilità della stessa;
  • l’adozione di misure volte a mitigare le conseguenze della violazione;
  • l’assenza di precedenti specifici a carico della società;
  • la parziale cooperazione con l’Autorità nel corso del procedimento.

Il Garante ha, inoltre, assegnato alla società un termine di 60 giorni per individuare misure per correggere le gravi violazioni accertate ed un ulteriore termine di 90 giorni per modificare l’algoritmo in conformità alle nuove misure adottate, nel rispetto dei diritti fondamentali dei rider e dei principi fondanti della normativa privacy.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9675440

 

 

 

Hide comments

Leave a comment

You May Also Like

Privacy & Data Protection
Coronavirus: il Garante Privacy vieta la raccolta di dati sanitari da parte delle aziende
Privacy & Data Protection
GDPR: approvato il testo definitivo del decreto di adeguamento alla normativa europea in materia di privacy
Privacy & Data Protection
Corte UE: il “Safe-Harbour” non garantisce la sicurezza dei dati personali