Il 10 giugno 2021 il Garante per la protezione dei dati personali (di seguito, per brevità, il “Garante”) ha prescritto alla società Foodinho s.r.l., in qualità di titolare del trattamento dei dati personali dei rider, di conformare i propri trattamenti al Reg. (UE) 2016/679[1], ingiungendo di pagare la sanzione amministrativa di euro 2,6 milioni.
Foodinho s.r.l. (di seguito, per brevità, la “società”) è una società con sede legale in Italia – controllata al 100% dalla società spagnola GlovoApp23 SL[2] (di seguito, per brevità, la “capogruppo”) – la cui principale attività è quella di erogare servizi di instant delivery di cibo o altri beni servendosi di collaboratori (c.d. rider o glover) che consegnano la merce richiesta dai clienti utilizzando mezzi di trasporto quali la biciletta o il ciclomotore.
Per prendere in consegna gli ordini, i rider devono prenotare uno slot temporale di circa un’ora avvalendosi dell’App Glover che, sulla base di un algoritmo, comunica a questi l’indirizzo del punto di ritiro e quello di consegna della merce, proponendo contestualmente l’importo di massima che verrà corrisposto. L’efficace erogazione del servizio si fonda sul funzionamento di due sistemi: l’uno si occupa della gestione degli ordini in tempo reale e della visualizzazione dello storico degli ordini stessi (Admin); l’altro è diretto a controllare i problemi che possono eventualmente verificarsi nel corso dell’ordine o quelli relativi al rapporto con i rider (Kustomer).
Dopo circa due anni dall’avvio dell’attività istruttoria concernente il trattamento dei dati personali dei rider da parte della società, il Garante ha rilevato una molteplicità di aspetti controversi che non riguardano solamente i trattamenti automatizzati, inclusa l’attività di profilazione, volti all’assegnazione di punteggi e ordini ai rider, ma anche il trattamento dei dati relativi alla posizione geografica dei rider attraverso GPS[3] e il trattamento transfrontaliero dei dati personali dei rider[4], nonché il trattamento dei dati biometrici per integrare il processo di autenticazione dei rider all’App Glover con un processo di autenticazione biometrica tramite riconoscimento facciale.
Le principali criticità riscontrare dal Garante
L’articolato provvedimento del Garante affronta numerosi profili del trattamento dei dati personali svolto dalla società, soffermandosi sulle modalità di trattamento automatizzato, compresa la profilazione, in riferimento al sistema di assegnazione di punteggi ai rider (c.d. “sistema di eccellenza”) e a quello di assegnazione degli ordini (denominato Jarvis), dal momento che meccanismi reputazionali basati su rating hanno rilevanti implicazioni non solo in materia di protezione dei dati personali, ma anche di disciplina antidiscriminatoria[5] e di controllo a distanza sui lavoratori[6].
Nel prosieguo ci si soffermerà su alcuni dei principali rilievi contestati dal Garante.
In primo luogo, il Garante ha evidenziato come l’utilizzo di nuove tecnologie, quali l’App Glover da installare sullo smartphone dei rider, il sistema di geolocalizzazione e il funzionamento stesso della piattaforma, richiedono una valutazione di impatto[7] ai sensi dell’art. 35 del Reg. (UE) 2016/679. Tale valutazione è ritenuta necessaria anche in ragione dell’effettuazione di trattamenti automatizzati, incluse attività di profilazione, che possono comportare rischi per i diritti dei rider, poiché concernenti la “valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, […], l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali”[8].
Con specifico riferimento al “sistema di eccellenza”, questo attribuisce ai rider un punteggio (“score”) che influisce sulla possibilità di scegliere prioritariamente rispetto ad altri rider gli slot di consegne. Se, da un lato, il punteggio attribuito ai rider corrisponde essenzialmente ad un valore di default uguale per tutti i nuovi rider, dall’altro lato tale valore cresce sulla base di una serie di parametri individuati ex ante dalla capogruppo e rimodulati dalla società sulla base di esigenze locali, tra cui i feedback dei clienti e degli esercenti, e gli ordini consegnati[9]. Secondo il Garante, un siffatto sistema porta a penalizzare chi non accetta in maniera tempestiva l’ordine, lo rifiuta o non porta a termine un certo numero di consegne, favorendo all’opposto coloro che accettano nei termini stabiliti e consegnano il maggior numero di ordini. Così facendo, prosegue il Garante, la società, avvalendosi del “sistema di eccellenza”, pone in essere delle attività di profilazione che influiscono in maniera significativa sulla vita degli interessati, concedendo o negando loro, oltre all’accesso a determinate fasce orarie, anche la possibilità stessa di ricevere ordini e, pertanto, di ottenere un impiego[10].
In secondo luogo, per quanto attiene al sistema Jarvis con cui la società attribuisce ai rider gli ordini, è stato sottolineato come il funzionamento di tale sistema dipenda essenzialmente da un algoritmo che si serve di informazioni quali la posizione geografica del rider tratta dal GPS del dispositivo; posizione del punto vendita dove ritirare il prodotto da consegnare; indirizzo di consegna; requisiti specifici dell’ordine e altri parametri quali il tipo di veicolo utilizzato dal rider[11].
Le caratteristiche dei predetti trattamenti effettuati dalla società hanno indotto il Garante a ritenere effettivo il rischio di effetti distorsivi e discriminatori[12] per i rider che, in base allo score ottenuto, possono subire una significativa riduzione delle occasioni di lavoro, sino a venire esclusi dalla piattaforma stessa. Ne consegue che, sebbene al caso di specie si applichi l’esenzione di cui all’art. 22, 2° comma, lett. a) del Reg. (UE) 2016/679, è stato sottolineato come la società avrebbe comunque dovuto attuare misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano […], di esprimere la propria opinione e di contestare la decisione”[13], e adottare “misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, la esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale, compresi il sistema di punteggio e il sistema di assegnazione degli ordini”[14].
Inoltre, essendo ormai pacifica la qualificazione del rapporto di lavoro intercorrente tra le parti alla stregua di contratto di prestazione d’opera ex art. 2222 c.c.[15], muovendo da un’analisi dell’art. 88 del Reg. (UE) 2016/679 e dell’art. 114 del d.lgs. 30 giugno 2003, n. 196 diretti ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, il Garante ha rilevato che la società violerebbe quanto disposto dall’art. 4, 1° comma, della l. 300/1970, effettuando un minuzioso controllo sulla prestazione lavorativa svolta dai rider tramite sistemi di geolocalizzazione, attuando trattamenti che permettono di controllare i rider, raccogliendo e conservando una molteplicità di dati nel corso dell’esecuzione dell’ordine[16].
Dall’esame del provvedimento in commento emerge la preoccupazione del Garante di “coniugare progresso tecno-scientifico e sociale e sviluppo integrale della persona”[17], fronte di un crescente impego di sistemi reputazionali, come quelli utilizzati da Foodinho s.r.l., nell’ambito della c.d. “Scored Society”[18].
La società aveva naturalmente difeso il proprio assetto privacy sotteso ai trattamenti esaminati dal Garante. Spetterà al Tribunale ordinario eventualmente adito da Foodinho confermare o riformare il provvedimento in esame.
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
[2] Tramite la sottoscrizione di un data processing agreement, la capogruppo è stata nominata responsabile esterno del trattamento.
[3] Tale attività di geolocalizzazione dei rider, ritenuta da Foodinho s.r.l. essenziale per la fornitura del servizio e per gestire eventuali problematiche durante la consegna degli ordini, consente, grazie alla funzionalità di live map, di visualizzare non solo gli ordini in corso in un determinato luogo, ma anche i rider attivi in un certo slot temporale.
[4] I sistemi Admin e Kustomer ammettono la possibilità per gli operatori autorizzati ad accedere ai sistemi di prendere visione dei dati dei rider di qualunque città, UE e extra UE, in cui l’App Glover è attiva, al fine – a detta della società – di consentire alle figure apicali (General Manager e Head of Operation) di elaborare analisi complessive sul servizio e ammettere “l’interscambiabilità dei dati dei rider nell’ambito di eventuali opportunità di mobilità degli stessi tra i diversi paesi in cui operano le società del gruppo”. Cfr. Garante per la protezione dei dati personali (GPDP), Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 25 e seg.
[5] Il d. lgs. 15 giugno 2015, n. 81 “Disciplina organica dei contratti di lavoro e revisione della normativa in tema di mansioni, a norma dell’articolo 1, comma 7, della legge 10 dicembre 2014, n. 183”, all’art. 47-quinquies, rubricato “Divieto di discriminazione”, estende l’applicabilità della disciplina antidiscriminatoria e di quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, anche ai rider.
[6] Cfr. art. 4 della l. 20 maggio 1970, n. 300 “Norme sulla tutela della libertà e della dignità dei lavoratori, della libertà sindacale e dell’attività sindacale, nei luoghi di lavoro e norme sul collocamento”.
[7] A questo proposito, si osservi che la capogruppo non ha ritenuto necessario effettuare la valutazione di impatto, ritenendo sufficiente predisporre una mera attività di due diligence volta a controllare la compliance delle procedure aziendali alla normativa privacy.
[8] Considerando 75 del Reg. (UE) 2016/679.
[9] GPDP, Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 28.
[10] GPDP, Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 29. Sul punto, si veda anche: European Parliamentary Research Service, Data subjects, digital surveillance, AI and the future of work, 2020, p. 27.
[11] GPDP, Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 29.
[12] Tra i numerosi contributi che affrontano i profili discriminatori connessi alle c.d. decisioni automatizzate algoritmiche, si segnalano: Borgesius, Strengthening legal protection against discrimination by algorithms and artificial intelligence, in International Journal of Humnan Right, 2020, p. 1572 e seg; Mann-Matzner, Challenging algorithmic profiling: The limits of data protection and anti-discrimination in responding to emergent discrimination, in Big Data and Society, 2019; Resta, Governare l’innovazione tecnologica: decisioni algoritmiche, diritti digitali e principio di uguaglianza, in Politica del diritto, 2019, p. 211 e seg.; Sartor-Lagioia, Le decisioni algoritmiche tra etica e diritto, in Ruffolo (a cura di), Intelligenza artificiale. Il diritto, i diritti, l’etica, Milano 2020, p. 77 e seg. Si veda, altresì, Gruppo di lavoro articolo 29 per la protezione dei dati nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, 2017, p. 11.
[13] Art. 22, 3° comma, Reg. (UE) 2016/679 e considerando 71 dello stesso.
[14] Cfr. GPDP, Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 30.
[15] Art. 2 del d. lgs. n. 81/2015. A questo proposito, il Garante ha richiamato il recente arresto dei giudici di legittimità, nell’ambito del caso Foodora, ove si è affermato che: “Ai fattorini che effettuano consegna dei pasti a domicilio a seguito di un contratto di collaborazione stipulato con un’impresa che ne gestisce il rapporto attraverso una piattaforma digitale può trovare applicazione l’art. 2, 1° comma, d.lgs. n. 81/2015, laddove l’eterorganizzazione, accompagnata dalla personalità e dalla continuità della prestazione, è marcata al punto da rendere il collaboratore comparabile ad un lavoratore dipendente. L’art. 2 rappresenta infatti non un tertium genus compreso tra subordinazione e autonomia, ma una norma di disciplina volta ad assicurare al lavoratore la stessa protezione di cui gode il lavoratore subordinato” (Cass. civ., Sez. lav., 24 gennaio 2020, n. 1663).
[16] Cfr. GPDP, Ordinanza ingiunzione nei confronti di Foodinho s.r.l., 10 giugno 2021, p. 39.
[17] GPDP, Relazione annuale 2020, 2 luglio 2021, p. 12. Si veda, inter alia, Finocchiaro, Diritto di Internet, Torino, 2020, p. 52 e seg. Danaher, The Threat of Algocracy: Reality, Resistance and Accommodation, in Philosophy & Technology, vol. 29(3), 2016. Cfr. Puato, I signori dei cavalli che ci bloccano. Dopo lo stallo del green pass sull’app IO, le critiche alla burocrazia dei dati che frena la ripresa, in Il Corriere della sera, 20 giugno 2021.
[18] Pasquale-Citron, The Scored Society: Due Process for Automated Predictions, in Wash. L. Rev., vol. 89(1), 2014.