L’Autorità garante per la protezione dei dati personali – con l’ordinanza n. 285 del 22 luglio 2021 – ha ingiunto alla società Deliveroo Italy S.r.l. il pagamento di una sanzione pari a 2 milioni e 500 mila euro per aver trattato in modo illecito i dati personali di circa 8.000 rider.
In particolare, l’Autorità ha accertato numerose violazioni della normativa sia nazionale sia europea e, nello specifico, del Regolamento UE 679/2016 (cosiddetto “GDPR”) e dello Statuto dei lavoratori.
Le violazioni accertate
A seguito di un accertamento presso i locali della Società, il 20 febbraio 2020 l’Autorità ha notificato a Deliveroo numerose violazioni della normativa data protection poste in essere in qualità di titolare del trattamento dei dati personali relativi ai rider.
Nello specifico, l’Autorità ha contestato – inter alia – le seguenti violazioni del GDPR.
Principio di trasparenza e inadeguatezza delle informazioni rese agli interessati
La Società ha innanzitutto omesso di fornire un’idonea informativa al sensi dell’art. 13, GDPR, nello specifico non indicando alcune informazioni essenziali quali, ad esempio:
- le concrete modalità di trattamento dei dati relativi alla posizione geografica dei rider[1];
- le indicazioni precise in merito ai tempi di conservazione dei dati;
- con riferimento all’attività di profilazione meglio dettagliata di seguito, le informazioni significative sulla logica utilizzata e sull’importanza e le conseguenze previste di tale trattamento per l’interessato.
Principio di limitazione della conservazione dei dati
Con riferimento alla individuazione dei tempi di conservazione, è emerso che la Società ha previsto un unico termine di conservazione – pari a 6 anni dopo la cessazione del rapporto di lavoro – di diverse tipologie di dati (alcuni, tra l’altro, non censiti all’interno del registro dei trattamenti[2]) per una pluralità di scopi.
Sul punto, l’Autorità – chiarendo la necessità di individuare tempi di conservazione congrui in relazione a ciascuno degli scopi perseguiti – non ha condiviso quanto asserito dalla Società in relazione al fatto che “la previsione di una clausola generale […sia il] miglior strumento per fornire agli interessati elementi informativi a fronte di complessità e mutevolezza […] delle disposizioni in tema di conservazione dei dati”.
Principio di minimizzazione e misure di sicurezza
Dall’attività ispettiva e dalle dichiarazioni della Società sono altresì emerse numerose criticità relative ai sistemi utilizzati da Deliveroo per la gestione degli ordini e dei pagamenti.
In particolare, l’Autorità ha accertato che detti sistemi sono configurati in modo da:
- raccogliere e memorizzare una pluralità di dati relativi alla gestione dell’ordine (tra cui, ad esempio, la posizione geografica dei rider rilevata ogni 12 secondi tramite l’applicativo in uso a quest’ultimi);
- consentire agli operatori della Società di passare – attraverso semplici funzionalità – da un sistema all’altro, con conseguente condivisione dei dati raccolti nei diversi sistemi, nonché di accedere direttamente al contenuto di chat ed e-mail scambiate dal customer care della Società con i rider;
- consentire agli operatori l’accesso ai dati di tutti i rider che operano sia in territorio UE che extra UE.
Il tutto, in assenza di specifiche ragioni in base alle quali le summenzionate circostanze sarebbero necessarie al fine di erogare i servizi offerti da Deliveroo, nonché di misure di sicurezza idonee ad assicurare la riservatezza e l’integrità dei sistemi.
Trattamenti automatizzati e profilazione
Sempre con riferimento ai sistemi utilizzati da Deliveroo, l’Autorità si è soffermata sulle tecnologie preordinate alla valutazione dell’affidabilità e disponibilità dei rider, nonché all’assegnazione degli ordini agli stessi.
Sul punto, il Garante ha evidenziato che non solo i trattamenti effettuati tramite i suddetti sistemi presuppongono una profilazione dei rider volta a valutare determinati aspetti, ma soprattutto producono un effetto significativo su l’interessato, consentendo o negando l’accesso ad occasioni di lavoro.
In particolare, il sistema di prenotazione utilizzato dalla Società sarebbe configurato in modo da garantire maggiori opportunità lavorative (per esempio, in termini di scelta di turni di lavoro) a coloro che hanno acquisito un punteggio maggiore, calcolato in base:
- all’affidabilità del rider, valutata sulla base della partecipazione effettiva ai turni prenotati o della cancellazione precedente all’inizio del turno; e
- alla disponibilità, ossia l’effettiva partecipazione a determinati turni che presentano un maggior numero di ordini.
In tale contesto, l’Autorità ha accertato sia una mancanza di chiarezza in merito ai sistemi utilizzati sia, soprattutto, l’assenza di idonee misure tecniche e organizzative atte a verificare la correttezza e l’accuratezza dei punteggi assegnati e, di conseguenza, evitare che l’utilizzo della piattaforma di Deliveroo determini effetti discriminatori sui lavoratori[3].
Le misure in materia trattamento di dati personali nell’ambito lavorativo
L’Autorità ha infine accertato la violazione dell’art. 114 del D.lgs 196/2003[4] e s.m.i. (il cosiddetto “Codice privacy”) che nell’ambito dei trattamenti effettuati nel contesto lavorativo assicura l’applicabilità delle specifiche tutele di cui alla L. 300/1970 (lo “Statuto dei lavoratori”)[5].
Nello specifico, la Società opera un minuzioso controllo sulla prestazione lavorativa svolta dai rider, mediante la conservazione di numerosi dati personali raccolti nel corso della prestazione lavorativa, tra cui – inter alia – i dati di geolocalizzazione dei dispositivi e quelli relativi alle comunicazioni intercorse con il customer care di Deliveroo.
Il tutto in violazione dell’art. 4 dello Statuto dei lavoratori – richiamato dal citato art. 114 del Codice privacy – che prevede delle specifiche garanzie in materia di controllo a distanza e, in particolare, che gli impianti da cui derivi detto controllo “possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale”, nonché “possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”.
La sanzione irrogata dall’Autorità
Come anticipato, a valle delle violazioni accertate, l’Autorità ha disposto l’applicazione nei confronti di Deliveroo di una sanzione pecuniaria pari a 22,5 milioni di euro, assegnando alla Società un termine per conformare i trattamenti esaminati alle previsioni di cui al GDPR.
Una sanzione sicuramente severa ma certamente non inaspettata.
Infatti, il settore del food delivery, infatti, era già entrato nel “mirino” di attenzione del Garante che – nel piano adottato con la deliberazione del 1° ottobre 2020 – aveva annunciato che l’attività ispettiva relativa al periodo luglio – dicembre 2020 avrebbe riguardato i trattamenti di dati personali effettuati da società rientranti in detto settore.
Tra l’altro, il delivery in generale è già da tempo oggetto di attenzione sia del legislatore sia delle autorità nazionali ed europee, che stanno cercando di far chiarezza su un nuovo settore in rapida crescita, anche grazie alla pandemia.
[1] Sul punto, la Società forniva informazioni eccessivamente generiche, indicando esclusivamente che “quando il tuo stato è impostato su “online” […], raccogliamo in maniera discontinua i dati relativi alla tua posizione geografica”.
[2] In merito al registro delle attività di trattamento, si segnala che l’Autorità ha altresì accertato che il registro della Società è risultato carente sotto numerosi aspetti, quali: (i) la descrizione generale delle misure di sicurezza, tecniche ed organizzative di cui all’art. 32 GDPR; (ii) la data di adozione, dell’ultimo aggiornamento e di sottoscrizione (elementi idonei a conferire al documento piena attendibilità); (iii) genericità dei tempi di conservazione indicati.
[3] Sempre con riferimento ai sistemi in commento, l’Autorità ha altresì evidenziato che la Società avrebbe dovuto effettuare una valutazione di impatto ai sensi dell’art. 35, GDPR: ciò soprattutto alla luce del fatto che i trattamenti vengono posti in essere attraverso l’utilizzo innovativo di una piattaforma digitale e che, in generale, dette attività di trattamento certamente presentano un rischio elevato per i diritti e le libertà delle persone fisiche.
[4] Si segnala che l’articolo in commento è stato adottato dal legislatore nazionale alla luce di quanto sancito dall’art. 88 del GDPR, che consente al diritto nazionale di prevedere misure “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.
[5] Tra l’altro, si noti che i trattamenti di dati personali oggetto del provvedimento sono effettuati da Deliveroo nell’ambito di un rapporto di lavoro ora normato D.lgs. n. 81/2015 e s.m.i. che prevede specifiche tutele per i lavoratori (tra cui i rider) che svolgono la loro attività attraverso piattaforme digitali.
