Il Garante privacy, con il provvedimento n. 234 del 10 giugno 2021, ha comminato alla società Foodinho del gruppo Glovo, una sanzione di 2,6 milioni di euro per il trattamento illecito dei dati personali dei propri rider.

Le principali violazioni

A seguito di una lunga istruttoria durata quasi 2 anni, il Garante Privacy ha riscontrato diverse violazioni della normativa in materia di protezione dei dati personali da parte di Foodinho, società controllata da Glovo, con riferimento all’utilizzo di un algoritmo di gestione del personale che assegnava le consegne ai rider essenzialmente in base al giudizio dei clienti e degli esercenti sui rider, al numero di consegne effettuate dagli stessi e al loro tasso di produttività, senza però che i rider fossero pienamente a conoscenza del meccanismo di funzionamento di tale algoritmo e senza assicurare l’esattezza e la correttezza dei suoi risultati. Diversamente da quanto previsto dalla normativa vigente, inoltre, è stato accertato che tale algoritmo non garantiva nemmeno procedure per tutelare il diritto di intervento umano ossia per consentire al rider di esprimere la propria opinione e/o contestare le decisioni adottate mediante l’utilizzo dell’algoritmo.

In particolare, il Garante Privacy ha rilevato, inter alia, che Foodinho:

  • non ha indicato nell’informativa privacy resa ai propri rider la tipologia dei dati raccolti (ossia che Foodinho raccoglieva, ad esempio, informazioni sulle comunicazioni intraprese via chat, e-mail e telefono con il call center e i giudizi espressi sul loro conto da clienti ed esercenti e la differenza tra i tempi di consegna stimati e quelli effettivi), le concrete modalità di trattamento dei dati relativi alla posizione geografica (consistente in una rilevazione ogni 15 sec del percorso del rider sulla mappa), i precisi tempi di conservazione di alcune tipologie di dati raccolti e i dati di contatto del RPD;
  • ha individuato un unico termine di conservazione in relazione ad una pluralità di trattamenti effettuati per scopi diversi nonché in relazione a distinte tipologie di dati;
  • ha permesso al proprio personale l’accesso indiscriminato all’algoritmo senza operare distinzioni in base al ruolo da loro rivestito in azienda o alle mansioni a loro assegnate;
  • non ha effettuato una valutazione di impatto sulla protezione dei dati, nonostante l’utilizzo innovativo di una piattaforma digitale e l’effettuazione di attività di profilazione su soggetti vulnerabili tramite algoritmo;
  • non ha adottato misure tecniche e organizzative volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici;
  • non ha comunicato i dati di contatto del RPD, nominato a livello di gruppo, all’Autorità di controllo competente;
  • ha redatto un registro del trattamento con modalità che non consentono di distinguere le categorie di interessati dalle categorie di dati trattati e con finalità descritte in modo generico;
  • ha effettuato attività di controllo sulla prestazione lavorativa, attraverso la geolocalizzazione del dispositivo di lavoro, in mancanza di un accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali.

La Sanzione e i criteri utilizzati

Il Garante Privacy, nel determinare in 2,6 milioni di euro l’ammontare della sanzione pecuniaria nei confronti di Foodinho, ha tenuto conto dei seguenti fattori:

  • la natura della violazione, che ha riguardato i principi generali del trattamento;
  • la negligente condotta della società e il grado di responsabilità della stessa;
  • l’adozione di misure volte a mitigare le conseguenze della violazione;
  • l’assenza di precedenti specifici a carico della società;
  • la parziale cooperazione con l’Autorità nel corso del procedimento.

Il Garante ha, inoltre, assegnato alla società un termine di 60 giorni per individuare misure per correggere le gravi violazioni accertate ed un ulteriore termine di 90 giorni per modificare l’algoritmo in conformità alle nuove misure adottate, nel rispetto dei diritti fondamentali dei rider e dei principi fondanti della normativa privacy.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9675440