algoritmi e lavoro

Foodinho e la privacy violata dei rider: perché la multa del Garante è un monito per tutti

Con la multa da 2,6 milioni di euro a Foodinho, ancora una volta il Garante privacy stigmatizza l’abitudine di fare le cose in modo approssimativo e superficiale, sulla pelle dei lavoratori. È finito, insomma, il tempo del copia incolla, e delle frasi generiche nelle informative privacy

09 Lug 2021
Diego Dimalta

Studio Legale Dimalta e Associati

Rider contratto

Non è stato approssimativo il Garante privacy nei confronti di Foodinho s.r.l., questo è poco ma sicuro: il provvedimento con cui la società del gruppo GlovoApp23 SL è stata sanzionata, tra l’altro, al pagamento di 2,6 milioni di euro è di fatto un manuale su come sbagliare tutto o quasi in ambito privacy.

Ma andiamo per ordine. In primis il garante evidenzia come Foodinho s.r.l. sia da considerare titolare del trattamento per quanto riguarda la raccolta, l’utilizzo e il processamento dei dati dei dipendenti e, in particolare dei c.d. rider.

Si parla di un numero elevato di interessati – pari a 18.684 – soggetti ad una serie di trattamenti ritenuti non conformi alla disciplina in materia di protezione dei dati personali.

Ma per quale motivo?

Intelligenza Artificiale e pregiudizio: quando a discriminare è l’algoritmo

I problemi dell’informativa privacy

In primo luogo, il Garante ha evidenziato un numero elevato di problemi afferenti all’informativa privacy. Documento che per molti è ancora quella cosa da copiare e incollare da un sito analogo ma che, in questo caso, l’Autorità presieduta da Pasquale Stanzione ha deciso giustamente di analizzare punto per punto.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il documento in questione, secondo la decisione, risulta essere stato reso in violazione:

  • dell’art. 5, par. 1, lett. a) del GDPR in quanto in violazione del principio di trasparenza essendo le indicazioni ivi presenti, sin troppo spesso generiche e poco attinenti al caso concreto. Insomma, al dipendente non è data la possibilità di capire cosa stia accadendo ai suoi dati personali;
  • dell’art. 13, par. 2, lett. a) del GDPR in quanto i tempi di conservazione presenti nell’informativa, anche in questo caso, forniscono indicazioni troppo generiche;
  • dell’art. 13, par. 2, lett. f) GDPR in quanto l’informativa non fa riferimento ai trattamenti automatizzati eseguiti nei confronti dei dipendenti
  • mancano poi i dati di contatto del DPO, seppur trattasi di un data protection officer di gruppo
  • dell’art. 5, par. 1, lett. a) del Regolamento in relazione al principio di correttezza,

considerato infine che, nell’ambito del rapporto di lavoro, come costantemente affermato dall’Autorità, l’obbligo di informare il lavoratore è, altresì, espressione del principio generale di correttezza dei trattamenti.

Insomma, tutto o quasi tutto da rifare secondo il Garante.

Non basta la conoscenza, serve un’informazione chiara

La società, a tal riguardo, con riferimento alle osservazioni dell’Autorità ha precisato che i rider sarebbero in realtà coscienti del fatto di essere tracciati costantemente e tale certezza deriverebbe dal fatto che “vedono loro stessi e il percorso suggerito sulla mappa dell’Applicazione”. Insomma “a che serve un’informativa se il dipendente di fatto sa che c’è un pallino con il suo nome nella mappa all’interno della app?

In realtà questa difesa è parsa quantomeno superficiale perché un conto è la conoscenza di un trattamento e un conto è essere stati ampiamente informati e avere una consapevole visione chiara di quello che sta succedendo. Per capirci, un conto è dire che la pizza (consegnata dai rider) è fatta con la farina, un conto è spiegare passo dopo passo la ricetta. È proprio questa spiegazione analitica dei trattamenti che manca secondo il Garante.

Indicazioni troppo generiche

In tal senso, l’Autorità ha evidenziato come l’informativa privacy fornita dalla società ai dipendenti sia troppo generica, divenendo quindi carente.

Si tratta di una importante presa di posizione che, una volta per tutte, pone fine alla prassi insopportabile che prevede l’utilizzo di espressioni come “utilizzeremo i tuoi dati per le finalità necessarie al trattamento” o “conserveremo i dati per il tempo necessario alla conservazione”. Insomma, queste espressioni, frequentissime nelle informative privacy che ci vengono fornite ogni giorno, non vanno bene. Un’informativa generica è come un’informativa non fornita.

Nel caso in esame, il garante ha evidenziato che, in almeno una delle due tipologie di informative fornite, l’indicazione dei dati raccolti è strutturata in modo dichiaratamente ed eccessivamente esemplificativo, non venendo menzionate analiticamente le tipologie di dati che Foodinho s.r.l. tratta.

Non viene ad esempio menzionato il trattamento di dati relativi alle comunicazioni con i rider effettuato mediante chat e email. Inoltre, la descrizione del trattamento di dati relativi alla posizione geografica è del tutto generica. Sul punto, ci si limita difatti ad affermare che Foodinho “potrà […] ricevere informazioni relative alla posizione geografica del dispositivo mobile utilizzato”. Quel “potrà” lascia legittimamente intendere che si tratta di un trattamento meramente eventuale, mentre, in realtà il Garante ha rilevato che la geolocalizzazione viene effettuata sistematicamente ogni 15 secondi. Non è quindi una mera possibilità ma un dato di fatto. Un dato di fatto che si verifica continuamente.

Non solo, in quella che viene qualificata come “nuova informativa” di Foodinho si afferma che la funzione di geolocalizzazione dei rider è necessaria per poter portare a termine il servizio e che attivandola si fornisce di fatto il consenso. Delle due l’una: o è necessaria, oppure abbiamo un consenso libero. Non possono difatti coesistere queste situazioni. Se la funzione è necessaria, il consenso è coattivo, motivo per cui la base giuridica dovrà rinvenirsi altrove.

In definitiva, secondo il Garante “i documenti informativi predisposti dalla società in tempi diversi ed, in ogni caso, caratterizzati da disorganicità, imprecisione e vaghezza, non sono idonei, per i suesposti motivi, a fornire con chiarezza agli interessati le informazioni relative agli elementi essenziali dei complessi trattamenti effettuati”.

Ma non ci si ferma qui.

Il Garante ha difatti evidenziato la possibile presenza di un trattamento biometrico del viso dei dipendenti per il quale si è espressamente riservato di avviare un ulteriore procedura sanzionatoria.

Non solo, il sistema delle email tra rider e backoffice è configurato in modo tale da consentire ad ogni operatore di accedere direttamente al contenuto di chat ed email scambiate con i rider. Insomma, esistono 600 dipendenti che hanno libero accesso a ogni comunicazione diretta ai rider. Questo è risultato quantomeno eccessivo e non funzionale al servizio.

La (mancata) valutazione d’impatto

L’art. 35, par. 1 stabilisce che quando un trattamento che prevede “l’uso di nuove tecnologie, considerati la natura, l’oggetto il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” si debba procedere alla effettuazione della valutazione di impatto.

Foodinho non ha provveduto in tal senso ritenendo la DPIA superflua. Anche questo aspetto non è passato inosservato al Garante che ha quindi deciso di evidenziare la necessità di una valutazione di impatto.

Del resto. in base a quanto stabilito dal GDPR nonché dalle Linee guida WP 248 rev.01 del 4.4.2017 e dal provvedimento del Garante 11 ottobre 2018, n. 467 è evidente che, l’attività di trattamento svolta da Foodinho s.r.l., in quanto “caratterizzata dall’utilizzo innovativo di una piattaforma digitale, dalla raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati”.

Il sistema Jarvis

La nota di colore è poi data dal sistema denominato Jarvis. Il nome a qualcuno potrebbe comunicare poco, ma per molti è invece significativo dell’intento di Foodinho. Jarvis è difatti l’intelligenza artificiale/assistente personale di Tony Stark, personaggio dei fumetti nonché alterego di Iron Man, il quale si affida proprio a questo algoritmo per chiedere qualsiasi cosa e per farsi aiutare nelle circostanze più disparate.

Non è quindi un caso che la società abbia scelto questo nome per una serie di trattamenti automatizzati predisposti per processare: posizione geografica del rider tratta dal GPS del dispositivo; posizione del punto vendita dove ritirare il prodotto da consegnare; indirizzo di consegna; requisiti specifici dell’ordine e altri parametri quali il tipo di veicolo utilizzato dal rider.

Jarvis di fatto presiede al funzionamento della piattaforma di proprietà di GlovoApp23, utilizzata (anche) da Foodinho s.r.l. e adotta quindi decisioni basate unicamente su trattamenti automatizzati, senza che ciò venga peraltro menzionato nell’informativa privacy comportando, oltre alla violazione dell’art 13 una potenziale violazione dell’art 22 GDPR in quanto la poca trasparenza impedisce evidentemente la possibilità di esercitare i diritti ivi indicati.

Conclusioni

Insomma, non è andata molto bene a Foodinho s.r.l., ma ciò è molto utile per tutti gli imprenditori e i consulenti perché, ancora una volta viene evidenziata la necessità di non fare le cose in modo approssimativo. È finito il tempo del copia incolla, e delle frasi generiche, è questo che dobbiamo imparare da questa importante decisione del Garante.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati