loader image

Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Consulenza d’Impresa, Diritto Digitale

Perché il Garante della Protezione dei Dati Personali ha sanzionato Foodinho per Violazione Privacy?

La sanzione per Violazione Privacy da 2,6 milioni di Euro a Foodinho, nota società di Food Delivery, comminata recentemente dal Garante della Privacy, è frutto di un provvedimento che possiamo definire storico. Ponendosi come nuovo punto di riferimento per le aziende che offrono servizi interamente digitalizzati nel rapporto con i propri dipendenti, qui rappresentati dalla categoria dei Rider.

È infatti necessario specificare che l’attività ispettiva si è soffermata esclusivamente sul trattamento dei dati personali e della privacy dei Rider per mezzo di applicativi e algoritmi utilizzati da Foodinho dei quali avremo modo di parlare nel prosieguo.

In questo articolo, proveremo dunque ad elencare alcuni spunti utili per comprendere il provvedimento (potete scaricarlo qui), in un’ottica di conformità normativa, analizzando gli elementi che il Garante della Privacy ha investigato con maggiore attenzione oltre ad approfondire le maggiori criticità da esso riscontrate.

L’obiettivo è quello di fornire un quadro chiaro circa lo standard richiesto dall’Autorità in relazione alle violazioni accertate.

 

Violazione Privacy: perché l’Informativa sui Dati Personali non è una mera formalità

Il Garante della Protezione dei Dati Personali si dimostra molto attento al contenuto dell’Informativa Privacy, analizzando punto su punto la presenza dei requisiti richiesti dall’art. 13 e 14 della Normativa Europea sulla Privacy (GDPR), a partire dalla tipologia di dati raccolti.

Foodinho aveva infatti omesso di informare i Rider sull’uso di alcuni dati personali, peraltro molto invasivi. Fra questi: dati relativi alla loro posizione geografica (aggiornata ogni 15 secondi nel corso della fase di consegna dell’ordine); dati riguardanti le comunicazioni via chat, email e telefono con il call center; i feedback da parte di esercenti e clienti sul loro operato.

Ma non è tutto. Grandi carenze sono state riscontrate anche sull’indicazione dei tempi di conservazione dei dati personali (cosiddetta Data Retention).

Frasi generiche (purtroppo ancora diffuse) del tipo: «I dati saranno conservati per il tempo strettamente necessario», non sono più ammesse. Foodinho avrebbe dovuto indicare, per ogni tipologia di dato, il termine finale di conservazione specificando le ragioni a sostegno del periodo di conservazione scelto.

Il Garante della Privacy rileva infatti che «Il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee», accorpando dati di natura diversa sotto uno stesso periodo di conservazione (per esempio: una generica prescrizione decennale per diverse tipologie di dati).

Per evitare una sanzione per Violazione Privacy è necessario scendere nel dettaglio di ogni singolo dato personale, nessuno escluso.

violazione privacy foodinho sanzione garante rider food delivery

 

Violazione Privacy: massima coerenza tra Registro del Trattamento e Informativa

Il Garante della Privacy si è profuso in un lavoro di raffronto tra Informativa e Registro, per accertare una coerenza generale fra i documenti perno del concetto di accountability.

Dalle righe del provvedimento per Violazione Privacy traspare un messaggio chiaro a tutti i titolari: occorre partire dal registro del trattamento (art. 30 GDPR), da compilare dopo una attenta ricognizione dei dati personali presenti in azienda. Soltanto in un secondo momento si può procedere con la redazione degli altri documenti, informative incluse.

Invece, come molti consulenti accertano quotidianamente, è ancora diffusa la prassi inversa, con la stesura di informative “alla cieca”, senza l’esistenza di un registro che testimoni un’indagine dettagliata sulle attività di trattamento della privacy effettuate in azienda.

Non a caso, nel caso di specie, sono numerose le incongruenze che tradiscono un approccio poco sistemico, anzi a compartimenti stagni: dalle tipologie di dati elencati nel registro e non presenti all’interno delle informative, ai diversi periodi di conservazione fino alle incoerenze accertate sulle ragioni poste a sostegno dell’utilizzo di certi dati.

 

Violazione Privacy: la valutazione di impatto non può mancare!

Sorprende e non poco l’assenza di una valutazione di impatto sui rischi di Violazione Privacy della piattaforma utilizzata da Foodinho per gestire il rapporto lavorativo con i Rider.

Ricordiamo infatti, che la piattaforma – come ha accertato il Garante della Privacy – effettua complesse attività di profilazione volte ad analizzare la performance lavorativa dei Rider che autorizza o nega il loro inserimento in determinate fasce d’orario ad alta domanda, in cui sono maggiori le richieste di consegna.

Vedremo, poi, che il punteggio viene calcolato per mezzo di un algoritmo (denominato “Sistema d’Eccellenza”), ma qui il punto centrale da rimarcare è la profilazione dei Rider, che di per sé fa scattare l’obbligo della redazione di una valutazione di impatto ai sensi dell’art. 35 GDPR pgf. 3, trattandosi di una «valutazione sistematica e globale di aspetti personali» riguardante il rendimento professionale dei Rider.

Non può essere certo accolta, invece, la difesa di Foodinho contro la Violazione Privacy che, su un punto, si dimostra davvero inconsistente sostenendo che, la valutazione di impatto non sarebbe necessaria in quanto la piattaforma e la profilazione non potrebbero definirsi “nuove tecnologie”.

Il Garante ha giustamente respinto questa tesi, affermando che «il carattere innovativo della tecnologia utilizzata risulta evidente […] tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della cosiddetta “Gig economy”».

 

Gli Algoritmi e Violazione Privacy: le possibili discriminazioni

Gli accertamenti del Garante Privacy hanno portato alla luce un sistema di valutazione dei Rider fortemente discriminatorio, perché basato su una logica che tiene conto esclusivamente dei feedback negativi degli utenti.

Nel video qui allegato, l’Avvocato Andrea Baldrati spiega con un esempio quale può essere la portata discriminatoria di un tale sistema di scoring. Sul punto l’Autorità è molto chiara quando dice che «il punteggio, variato solo a seguito di feedback negativi e non incrementato a seguito di feedback positivi, subisce un effetto penalizzante derivante da un maggior peso assegnato al feedback negativo».

Parlando di Violazione Privacy, c’è poi il tema legato alle tutele previste dal GDPR nel caso in cui si faccia uso di algoritmi che generano decisioni automatizzate (lo scoring del Rider) con effetti giuridici rilevanti (maggiori o minori occasioni di lavoro a seconda della fascia di lavoro assegnata).

In via generale, infatti, l’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato. Una regola generale che dovrebbe dunque applicarsi anche alle decisioni effettuate dal Sistema di Eccellenza utilizzato da Foodinho.

Alla regola generale sono previste però delle eccezioni, come nell’ipotesi in cui la decisione dell’algoritmo sia necessaria per la conclusione o esecuzione di un contratto tra titolare e interessato.

Foodinho ha infatti precisato che il SIstema di Eccellenza rientrerebbe in tale eccezione costituendo un elemento funzionale all’esecuzione del contratto di lavoro del Rider, che, con il punteggio ottenuto, viene così assegnato ad una determinata fascia di orario in cui è abilitato alle consegne.

Se si applica una delle eccezioni previste, il legislatore europeo richiede però – come contrappeso – una serie di tutele a favore dell’interessato per arginare possibili derive discriminatorie. Fra queste, il diritto di ottenere l’intervento umano, di esprimere una opinione o di contestare la decisione algoritmica.

Il Garante Privacy non ha rilevato l’esistenza di nessuno tra i meccanismi di tutela previsti dalla normativa, che ha l’obiettivo di porre l’interessato nelle condizioni di opporsi o, quantomeno, di mettere in discussione la decisione automatizzata dall’algoritmo.

 

Violazione Privacy e l’importanza di avere un DPO competente

Se qualche imprenditore ha la pazienza di leggersi l’intero provvedimento in materia di Violazione Privacy si renderà conto di quanto sia importante avere un DPO competente e una squadra di consulenti privacy all’altezza del compito. In alcune aziende, giungere ad una situazione di conformità richiede tempo, investimenti e grandi competenze.

Il provvedimento del Garante Privacy ce lo ricorda quando approfondisce anche il singolo trattamento di dati personali, quando si ferma su un singolo requisito.

La profondità di questa materia non può essere lasciata all’improvvisazione e il consulente o il DPO deve essere messo nelle condizioni di sapere tutto dell’azienda. Solo così potrà fornire la consulenza necessaria per raggiungere gli alti standard richiesti dal Garante Privacy in sede ispettiva.

Vorresti una consulenza legale?

Programma la tua Videocall

Articoli recenti

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia