Il Garante privacy sanziona Deliveroo ritenendo illecito il trattamento dei dati personali dei rider

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. del 22 luglio 2021

Premessa.

Nell’ambito di una complessa attività istruttoria, avviata d’ufficio dall’Autorità Garante per la protezione dei dati personali, e svoltasi tramite accessi diretti ai sistemi informatici, è stato effettuato un accertamento in loco presso Deliveroo Italy s.r.l., società esercente, per mezzo di una piattaforma digitale, attività di consegna di cibo o di altri beni forniti da molteplici esercenti nel campo della ristorazione, a seguito degli ordini effettuati dai clienti.

L’attività di controllo dell’Autorità, a cui ha fatto seguito il provvedimento oggetto di commento, riguarda il trattamento dei dati personali dei rider, termine con cui si indica il personale specificamente dedicato alle consegne.

All’esito dell’attività ispettiva svolta nei confronti della società dall’Autorità Garante (sia dall’esame del registro dei trattamenti predisposto dalla società, nonché dall’accesso ai sistemi sviluppati da Deliveroo Italy s.r.l. per “gestire i rider giornalmente” e dall’esame di un apposito documento informativo denominato “Privacy policy del Rider per l’Italia”)  è emerso che Deliveroo Italy s.r.l. determina le finalità e i mezzi del trattamento dei dati relativi ai rider e che detta società ha posto in essere importanti e svariate violazioni della normativa dettata in materia di protezione dei dati personali dal Regolamento europeo 679/2016.

Approfondisci con il volume  I Ricorsi al garante della privacy 

La decisione.

Circa le osservazioni compiute dal Garante sul rispetto della normativa in materia di protezione dei dati personali è emerso in primo luogo che la società, in qualità di titolare del trattamento, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati, circa 8.000 rider, che risultano non conformi alla disciplina in materia di protezione dei dati personali, poiché in violazione di principi sanciti dalla normativa europea.

Nello specifico:

(1) L’Autorità ha ritenuto che il documento informativo reso disponibile dalla società non risulti conforme al principio di trasparenza e di adeguatezza delle informazioni rese agli interessati.

In primo luogo, poiché la società ha omesso di indicare le concrete modalità di trattamento dei dati relativi alla posizione geografica dei rider, fornendo un’indicazione del tutto generica e fuorviante sul punto. In secondo luogo, poiché ha fornito informazioni relativamente ai tempi di conservazione di tali dati del tutto generiche che assolutamente mal si conciliano con la normativa in materia: poiché la particolare incisività del trattamento in esame impone la necessità di fornire precise indicazioni circa le specifiche modalità del trattamento e la cadenza temporale della rilevazione geografica, in assenza delle quali l’interessato non può avere adeguata consapevolezza del trattamento dei propri dati.

La predetta informativa, dunque, secondo l’Autorità, non può considerarsi conforme alla disciplina di protezione dei dati anche per quanto riguarda la mancata indicazione dei criteri utilizzati per determinare il periodo di conservazione dei dati, e per effettuare attività di profilazione, in merito alla quale non sono state fornite informazioni circa la logica utilizzata, nonostante l’importanza e le conseguenze di tale trattamento per l’interessato.

(2) Con riferimento specifico alla individuazione dei tempi di conservazione dei dati trattati, è emerso che la società ha previsto, attraverso l’indicazione di una clausola generale, la conservazione per sei anni, dopo la cessazione del rapporto di lavoro, di diverse tipologie di dati raccolti per una pluralità di scopi, in alcuni casi riferiti anche al contenuto di comunicazioni (via chat ed e-mail, non comunicazioni telefoniche per le quali il termine di conservazione è fissato a 28 giorni) sebbene protette dall’ordinamento con particolari garanzie.

In materia, l’Autorità Garante ritiene che non possa condividersi il punto di vista della società, la quale ritiene che l’introduzione di una clausola generale sia il migliore strumento per fornire agli interessati elementi informativi necessari e sufficienti a fronte della complessità e mutevolezza del contesto normativo. Infatti, secondo il Garante, non è sufficiente individuare blocchi di fasce temporali omogenee, essendo necessario dettare una disciplina maggiormente rispettosa del principio di limitazione della conservazione dei dati al tempo minimo necessario.

(3) Anche con riguardo al principio di minimizzazione dei dati, l’Autorità rileva una grave violazione, poiché emerge dall’attività istruttoria che i sistemi operativi attraverso cui si organizza l’attività della società Deliveroo italy s.r.l. sono configurati di modo tale da raccogliere e memorizzare tutti i dati relativi alla gestione dell’ordine per ciascuna fase dell’ordine, lo storico degli ordini relativi a ciascun rider, dell’ultima connessione effettuata, ecc. Inoltre, il sistema è configurato di modo tale da consentire agli operatori autorizzati di passare da un sistema all’altro attraverso semplici funzionalità, con la significativa conseguenza di determinare la condivisione dei dati raccolti nei diversi sistemi.

Tale meccanismo comporta, secondo l’Autorità, la violazione del principio di minimizzazione dei dati, anche in considerazione del fatto che la società non ha indicato specifiche ragioni in base alle quali risulterebbe necessario raccogliere e conservare tutti i dati di cui sopra e consentire un accesso di questo genere, ossia contestuale da parte degli operatori ai distinti sistemi.

(4) In relazione alla predisposizione di adeguate misure di sicurezza, il Garante ha rilevato che, almeno fino alla data del 10 luglio 2020, tutti i sistemi consentivano agli operatori l’accesso ai dati di tutti i rider che operano sia in territorio UE che extra UE, in violazione del principio di segregazione per singola giurisdizione, che consentirebbe eccezioni per un numero limitato di supervisori, solo se e laddove necessario.

(5) Dall’attività di accertamento, inoltre, è emerso che la società ha effettuato trattamenti automatizzati, compresa la profilazione, per la valutazione dell’affidabilità e disponibilità del singolo rider ad accettare turni di servizio nei giorni di picchi di frequenza, e per l’assegnazione degli ordini all’interno dei turni prenotati, attraverso un sistema algoritmico che tiene conto anche dei dati relativi alla posizione geografica e al tipo di mezzo di trasporto utilizzato.

Secondo il Garante, i trattamenti effettuati dalla società in questo ambito producono un effetto significativo sulla persona dell’interessato consistente nella possibilità di consentire o negare l’accesso a occasioni di lavoro, e quindi offrendo o negando una opportunità di impiego.

Tale sistema garantisce la prenotazione del rider con priorità in base al fattore definito “affidabilità”, cioè la partecipazione effettiva ai turni prenotati o cancellazione precedente all’inizio del turno, e al fattore “disponibilità”, ossia l’effettiva partecipazione ai turni di picco. Tale sistema, dunque, presenta la scelta dei turni di lavoro a coloro che hanno acquisito un punteggio maggiore e penalizza direttamente gli altri rider, ai quali si riduce progressivamente la possibilità di accedere ai turni.

Il suddetto sistema registra una scarsa trasparenza dei meccanismi di funzionamento, e anche a seguito della modifica intervenuta il 3 novembre 2020 non sono stati risolti i problemi relativi alla precisa individuazione di criteri con i quali l’ordine è assegnato anche all’interno del singolo turno. È emerso, inoltre, che la società non ha adottato idonee misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente correttezza e accuratezza dei risultati dei sistemi algoritmici, né esattezza, pertinenza e adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite.

Per queste ragioni l’Autorità ritiene che sia stato violato l’art. 22 del Regolamento 679/2016, secondo cui l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

(6) Con riferimento alla necessità per la società di effettuare una valutazione di impatto, il Garante ha ritenuto di non poter condividere la ricostruzione presentata dalla società nelle memorie difensive, per cui non sarebbe necessaria tale valutazione, poiché la società italiana svolge direttamente i trattamenti di dati personali dei rider avvalendosi della piattaforma digitale, provvedendo al suo utilizzo per la gestione di tutte le fasi di consegna degli ordini affidata ai rider. Infatti, secondo il Garante, tale attività di trattamento svolta da Deliveroo Italy s.r.l. rientra certamente tra quelle che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, e che necessitano di effettuare, prima dell’inizio del trattamento, una valutazione di impatto secondo quanto disposto dal Regolamento all’art. 35 del GDPR, poiché tale trattamento si svolge attraverso l’uso di nuove tecnologie e determina una valutazione globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione.

(7) Secondo l’Autorità, sussiste inoltre la violazione dell’art. 37 del Regolamento europeo, in ragione della mancata designazione da parte della società Deliveroo Italy s.r.l. di un responsabile per la protezione dei dati personali e della mancata comunicazione della suddetta designazione all’Autorità di controllo competente, avvenuta solo in data 31 maggio 2019.

(8) Un ulteriore profilo di censura a carico della società, emersa dall’attività istruttoria svolta dall’Autorità, riguarda l’inesattezza e il mancato aggiornamento del registro delle attività di trattamento, in cui non risultano indicate alcune tipologie di dati personali riferiti ai rider e in particolare i dati relativi alla posizione geografica raccolti mediante GPS.

Il suddetto registro è risultato inoltre carente circa la descrizione generale delle misure di sicurezza, tecniche e organizzative, poiché il documento si limita a rinviare a una generica “security policy” non meglio specificata, senza alcuna indicazione più precisa e senza indicare le misure concretamente adottate come richiesto invece dall’art. 30 del Regolamento europeo.

(9) Infine, il Garante ha considerato perfettamente applicabile al caso di specie l’art. 114 del Codice privacy, relativo alle Garanzie in materia di controllo a distanza del lavoratore (il quale rinvia all’articolo 4 della legge 20 maggio 1970, n.300, sugli impianti audiovisivi per il controllo dei lavoratori e mantiene fermo quanto ivi disposto), in ragione del fatto che Deliveroo Italy s.r.l. stipula con i rider un contratto-tipo predisposto dalla società, definito come contratto di collaborazione, il cui oggetto consiste nella prestazione di servizi relativi al prelievo da parte del rider presso ristoranti o altri partner di cibo e/o bevande proposti al rider per mezzo della apposita App, e la consegna di tali ordini per mezzo di bicicletta, motoveicolo, autoveicolo o motociclo.

I trattamenti di dati personali riferiti ai rider hanno caratteristiche e modalità di effettuazione del tutto peculiari, poiché, come già sopra detto, Deliveroo fornisce un servizio di prenotazione self-service attraverso cui il rider indica la propria disponibilità a svolgere la prestazione lavorativa, e che però si basa su dati raccolti con sistemi di Deliveroo o di terza parte, pertanto l’organizzazione dei turni avviene attraverso l’elaborazione di valori effettuata dalla piattaforma digitale e dal relativo algoritmo.

L’Autorità Garante ha quindi ritenuto che, secondo quanto previsto dall’art. 88 del GDPR (secondo cui gli Stati membri possono prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro), al caso di specie si possa applicare e quindi chiedere alla società il rispetto di quanto prescritto dall’art. 4, l. n. 300/1970, circa i limiti del controllo a distanza dell’attività del lavoratore, come stabilito dall’art. 114 del Codice privacy.

Secondo il Garante, inoltre, il legislatore nazionale ha adottato disposizioni volte a disciplinare l’ambito delle prestazioni di lavoro effettuate mediante l’operatività di piattaforme digitali e ha esteso la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione, come quelli dei rider, che si svolgono in modo continuativo e comportano prestazioni di lavoro esclusivamente o prevalentemente personali.

Nei confronti dei rider sono stati inoltre estesi i livelli minimi di tutela in merito alla disciplina antidiscriminatoria e quella di tutela della libertà e dignità del lavoratore prevista già per i lavoratori subordinati.

Ebbene, dall’istruttoria effettuata dal Garante è emerso che la società Deliveroo Italy s.r.l. effettua, attraverso il sistema di prenotazione, un minuzioso controllo sulla prestazione lavorativa svolta dai rider tramite la continuativa geolocalizzazione del dispositivo e la raccolta e la conservazione di numerosi dati personali raccolti nel corso dell’esecuzione dell’ordine.

Ma in virtù della normativa sopra richiamata, e nello specifico l’art. 114 del Codice, è previsto che si possa ricorrere a tali forme di controllo a distanza esclusivamente per esigenze organizzative, di sicurezza e previo accordo sindacale.

In considerazione di ciò, il Garante ha ritenuto che anche la raccolta di tali dati attraverso la piattaforma digitale, violi la normativa specifica in materia di sorveglianza a distanza del lavoratore e quindi la normativa privacy (in particolare l’art. 114 del Codice privacy), che la richiama.

Le conclusioni del Garante.

Per i motivi sopra esplicitati, dunque, l’Autorità ha ritenuto che le dichiarazioni, la documentazione e le ricostruzioni offerte dalla società Deliveroo Italy s.r.l. non siano sufficienti per superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e non consentano l’archiviazione del procedimento introdotto nei suoi confronti.

Per tutte le violazioni sopra riepilogate, il Garante ha ritenuto che il trattamento dei dati personali effettuato dalla società nei confronti dei rider risulti illecito e, conseguentemente, ha ritenuto necessario assegnare alla società un termine per conformare al Regolamento i trattamenti di dati tutt’ora in essere. Nello specifico, Deliveroo dovrà conformarsi con riferimento:

  • alla corretta predisposizione dei documenti contenenti l’informativa;
  • all’individuazione dei tempi di conservazione dei dati trattati
  • all’individuazione di misure appropriate per tutelare diritti, libertà e legittimi interessi dell’interessato;
  • all’individuazione di misure volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici;
  • all’individuazione di misure appropriate volte a introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback.

All’esito del complesso procedimento e in considerazione delle violazioni riscontrate, inoltre, il Garante ha ritenuto necessario adottare un’ordinanza ingiunzione per l’applicazione di una sanzione amministrativa pecuniaria e delle sanzioni accessorie. In particolare, l’Autorità, prendendo in considerazione varie circostanze del caso concreto (tra cui la natura, la gravità e la durata della violazione che ha riguardato i principi generali del trattamento, il carattere doloso o colposo della violazione e il grado di responsabilità della società – che non si è spontaneamente conformata alla disciplina in materia di protezione dei dati – e l’assenza di precedenti specifici e della parziale cooperazione con l’Autorità nel corso del procedimento), ha disposto l’applicazione nei confronti di Deliveroo Italy s.r.l. della sanzione amministrativa del pagamento di una somma pari a € 2.500.000,00, oltre che la sanzione accessoria della pubblicazione del presente provvedimento sul sito del Garante.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento