All’esito di un primo ciclo ispettivo sulle modalità di gestione dei lavoratori di alcune delle principali società di food delivery che operano in Italia, il Garante ha deciso che la società Foodinho, controllata da GlovoApp23, dovrà modificare il trattamento dei dati dei propri rider, effettuato tramite l’utilizzo di una piattaforma digitale, e verificare che gli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti non producano forme di discriminazione. Il Garante italiano ha anche attivato, per la prima volta, una operazione congiunta di cooperazione europea, ai sensi del Gdpr, con il Garante spagnolo (AEPD) al fine di verificare il funzionamento della piattaforma digitale di proprietà della capogruppo (Comunicato 5 luglio 2021). Arriva, così, la prima decisione del Garante per la privacy in materia di rider, al termine di un complesso ciclo ispettivo sulla gestione dei lavoratori nelle principali società di food delivery operanti in Italia. La complessa attività istruttoria ha riguardato anche la società italiana Foodinho, presso la quale sono state riscontrate numerose violazioni della normativa privacy, dello statuto dei lavoratori e della recente normativa a tutela di chi lavora con le piattaforme digitali. All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, è emerso che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati – pari a 18.684 rider al tempo dell’ispezione, secondo quanto dichiarato – che risultano non conformi alla disciplina in materia di protezione dei dati personali.
Dopo la conclusione dell’attività ispettiva, avendo riscontrato l’esistenza di alcuni trattamenti aventi natura transfrontaliera, l’Autorità ha informato l’Agencia Española de Protección de Datos (AEPD) che si è dichiarata autorità di controllo capofila all’esito della procedura di cooperazione avviata ai sensi dell’art. 56, par. 1, del Regolamento in relazione ai trattamenti transfrontalieri effettuati da GlovoApp23, società capogruppo che ha il suo stabilimento principale in Spagna. Nell’ambito della procedura di assistenza reciproca, le autorità di controllo di Italia e Spagna si sono quindi scambiate informazioni relative alle ispezioni effettuate nei rispettivi ambiti di competenza.
La società, ad esempio, non aveva adeguatamente informato i lavoratori sul funzionamento del sistema e non assicurava garanzie sull’esattezza e la correttezza dei risultati dei sistemi algoritmici utilizzati per la valutazione dei rider. Non garantiva procedure per tutelare il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare le decisioni adottate mediante l’utilizzo degli algoritmi in questione, compresa l’esclusione di una parte dei rider dalle occasioni di lavoro.
In ragione di quanto accertato, il Garante della privacy ha quindi prescritto alla società di individuare misure in grado di tutelare i diritti e le libertà dei rider a fronte di decisioni automatizzate, compresa la profilazione e ha imposto di verificare l’esattezza e la pertinenza dei dati utilizzati dal sistema (chat, email e telefonate intercorse tra i rider e il customer care, geolocalizzazione ogni 15 secondi e visualizzazione su mappa del percorso, tempi di consegna stimati ed effettivi, dettagli sulla gestione dell’ordine in corso e di quelli già effettuati, feedback di clienti e partner, livello della batteria rimanente del dispositivo etc.), anche allo scopo di minimizzare il rischio di errori e di distorsioni che potrebbero, ad esempio, portare alla limitazione delle consegne assegnate a ciascun rider o all’esclusione stessa dalla piattaforma. Tali rischi derivano anche dal sistema di assegnazione del punteggio, basato sull’applicazione di una formula matematica che penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano favorendo invece i rider che accettano nei termini stabiliti o consegnano il maggior numero di ordini (il punteggio prende in considerazione gli ordini effettivamente consegnati, l’effettuazione del check-in all’interno dello slot prenotato pochi minuti dopo l’inizio della fascia oraria, l’accettazione entro 30 secondi dell’ordine assegnato).
La società dovrà anche individuare misure che impediscano utilizzi impropri o discriminatori dei meccanismi reputazionali basati sul feedback dei clienti e dei partner commerciali.
Nel calcolare la sanzione di 2,6 milioni di euro alla società italiana per i trattamenti illeciti effettuati, l’Autorità ha tenuto conto anche della limitata collaborazione offerta dalla società nel corso dell’istruttoria e dell’elevato numero di rider coinvolti in Italia, circa 19.000 al tempo dell’ispezione. La società spagnola GlovoApp23 è invece oggetto di un autonomo procedimento condotto dall’AEPD, con la collaborazione del Garante italiano.