Con il provvedimento n. 675/2024 il Garante della Privacy ha condannato una nota società di food delivery al pagamento di un sanzione pari a 5 milioni di euro.
Alla base del provvedimento, diverse infrazioni attinenti al trattamento dei dati personali di oltre 35mila riders. Attraverso la piattaforma, la società poneva in essere comportamenti illegittimi consistenti :
- nell’adozione di processi decisionali interamente automatizzati per la valutazione della prestazioni lavorative con conseguente profilazione priva di idonea informativa ai lavoratori;
- nell’ utilizzo illegittimo di sistemi di geolocalizzazione degli stessi, anche al di fuori della svolgimento di attività lavorativa con app disattiva.
L’ adozione del provvedimento coincide con la pubblicazione dell’ 11 novembre della Direttiva UE 2024 / 2831 che completa e rafforza le tutele dei lavoratori impiegati mediante piattaforme digitali.
La complessa istruttoria, avviata d’ufficio dal Garante, trae origine dalle notizie stampa relative alla disattivazione dell’account di un rider dopo la sua morte in un incidente stradale avvenuto nel 2022 durante una consegna.
A fronte delle ispezioni effettuate dal Nucleo speciale della Guardia di Finanza, la Società è risultata recidiva per le numerose e gravi violazioni del Regolamento GDPR emerse nonostante fosse già stata sanzionata nel corso del 2021.
Idonea informativa - Una prima violazione contestata dopo la disattivazione dell’account era l’assenza di un’idonea informativa ai lavoratori, in merito all’esistenza e il funzionamento di sistemi decisionali integralmente automatizzati ( in violazione dell’ art. 12 GDPR e art. 1-bis del D.Lgs. 26 maggio 1997, n. 152 ). In virtù di tali disposizioni :
- Le informazioni sul trattamento devono essere fornite agli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro: solo laddove l’interessato lo richieda, le informazioni sul trattamento possono essere fornite oralmente, ma anche in questo caso grava sul titolare del trattamento l’obbligo di dimostrare di avere posto in essere condotte conformemente alla disciplina di protezione dei dati ( art. 12 del GDPR ) .
Per adempiere a tale obbligo la società avrebbe dovuto indicare le informazioni previste dal comma 2 dell’art. 1-bis del D.Lgs. 152/1997, ossia :
- informazioni sulla logica e il funzionamento dei sistemi decisionali o di monitoraggio integralmente automatizzati (lett. c)
- sulle categorie di dati e sui parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio integralmente automatizzati, inclusi i meccanismi di valutazione delle prestazioni (lett. d)
- sulle misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione qualità (lett. e)
- sul livello di accuratezza, robustezza e cybersicurezza (trasparenza circa il numero e la tipologia di operatori della Società che possono accedere ai dati trattati, protezione da accessi abusivi o illeciti ai dati, comunicazione dei dati a terze parti) dei sistemi decisionali o di monitoraggio integralmente automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse (lett. f).
Profilazione - Attraverso l’accesso diretto ai sistemi, il Garante ha poi verificato che la società svolgeva attività di profilazione in modalità automatizzata, con l’attribuzione di un “ punteggio di eccellenza “ al lavoratore in grado di incidere in modo significativo sull’attività lavorativa, mediante l’incremento delle possibilità di assegnazione degli ordini e la possibilità di prenotare in anticipo il turno di lavoro. Gli stessi parametri che componevano il sistema di valutazione, sono risultati preordinati a ridurre le occasioni di lavoro ai rider che non accettano la prestazione offerta.
Tutto ciò senza aver adottato le dovute tutele previste all’ art. 22 del GDPR per l’utilizzo di sistemi automatizzati secondo il quale è previsto il diritto del lavoratore a ottenere l’intervento umano, di esprimere la propria opinione e contestare se necessario la decisione assunta attraverso il sistema decisionale automatizzato che si avvale della profilazione.
Come sottolineato dal Garante, la prassi ha comportato altresì la violazione di quanto stabilito dall’art. 47-quinquies, D. Lgs. n. 81/2015, col quale vengono stabilite specifiche tutele, nell’ambito del lavoro tramite piattaforme digitali, con l’espresso divieto di disporre l’esclusione dalla piattaforma e la riduzione delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione, con il venir meno della condizione di liceità del trattamento richiesta dall’art. 5, par. 1, lett. a) GDPR).
Il provvedimento fa espresso richiamo alle Linee guida sul processo decisionale automatizzato, adottate dal Gruppo di lavoro Articolo 29 in seno all’EDPB, che chiariscono l’ambito del coinvolgimento umano ritenuto significativo. “Il titolare del trattamento deve garantire che qualsiasi controllo della decisione sia significativo e non costituisca un semplice gesto simbolico. Il controllo dovrebbe essere effettuato da una persona che dispone dell’autorità e della competenza per modificare la decisione. Nel contesto dell’analisi, tale persona dovrebbe prendere in considerazione tutti i dati pertinenti. Nell’ambito della valutazione d’impatto sulla protezione dei dati, il titolare del trattamento dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo”.
Geolocalizzazione – Dagli accertamenti è anche emerso che la Società , senza informare gli interessati, inviava dati personali dei rider, compresa la posizione geografica, a società terze. I dati sulla geolocalizzazione, in particolare, venivano inviati anche quando il rider non lavora, con app in background o non attiva. Ad essere violata in questo caso, oltre che le norme del GDPR, anche l’ art. 4 Legge 300/1970 e il regime autorizzatorio in caso di uso di strumenti di controllo indiretto a distanza dei lavoratori.
Sulla base delle prescrizioni del Garante, la società è stata obbligata a porre in essere le seguenti azioni :
- riformulare i messaggi inviati ai rider in caso di disattivazione o blocco dell’account ;
- fornire ai lavoratori idonea informativa;
- assicurare che le decisioni adottate dall’algoritmo siano verificate da operatori adeguatamente formati;
- attivare sul dispositivo dei lavoratori una icona che indichi che il Gps è attivo e disattivarlo quando l’app è in background o disattiva ;
- adottare misure appropriate per evitare usi impropri e discriminatori dei meccanismi reputazionali ;
- adempiere a quanto previsto dallo Statuto dei lavoratori in materia di controlli a distanza.
l provvedimento del Garante è stato reso con specifico riferimento a un’impresa del food delivery, ma gli stessi principi risultano applicabili ai datori di lavoro che, in altri settori merceologici e produttivi, fanno ricorso a sistemi decisionali e di monitoraggio automatizzati per la gestione dei rapporti di lavoro.