PRIVACY: SANZIONE DA 5 MILIONI DI EURO PER UNA SOCIETÀ DI RIDER

Il Garante per la protezione dei dati personali ha inflitto la penale ad un’azienda che aveva trattato illecitamente i dati di oltre 35mila rider attraverso una piattaforma digitale. 

Rider geolocalizzati anche fuori dall’orario di lavoro, riconoscimento facciale per la verifica dell’identità, impossibilità per i lavoratori di contestare l’algoritmo, sono queste le diverse le violazioni commesse da una società del settore del food che gestisce una piattaforma digitale per il delivery di cibo. 

A seguito dell’emersione delle citate condotte, il Garante per la protezione dei dati personali ha ordinato alla società il pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale ed ha vietato l’ulteriore trattamento dei dati biometrici dei lavoratori. L’adozione del provvedimento del Garante coincide con la pubblicazione sulla GUCE (l’11/11/2024) della Dir. UE 2024/2831, relativa al miglioramento delle condizioni di lavoro mediante piattaforme digitali.

I FATTI

La complessa istruttoria è stata avviata d’ufficio a seguito di notizie pervenute dalla stampa in merito alla disattivazione dell’account di un rider morto in un incidente stradale nel 2022 durante una consegna, nonché a seguito delle segnalazioni di un gruppo di esperti informaticidalle quali sono emerse gravi violazioni del Regolamento (Gdpr), nonostante la società fosse già stata sanzionata dal Garante nel 2021.

LE VIOLAZIONI DELLA SOCIETÀ

Il Garante, anche in seguito alle ispezioni effettuate con il Nucleo speciale della GdF, ha accertato che la piattaforma utilizzata dalla società, quando disattiva o blocca l’account, invia automaticamente un unico messaggio standard, che però non informa della possibilità di contestare la decisione e chiedere il ripristino dell’account.

Inoltre, attraverso l’accesso diretto ai sistemi, l’Autorità ha verificato che la società effettuava anche altri trattamenti automatizzati dei dati dei rider, come il c.d. sistema di eccellenza (punteggio che consente di prenotare con priorità il turno di lavoro) e il sistema di assegnazione degli ordini all’interno del turno. Questo senza aver adottato le misure previste dal Gdpr per l’utilizzo di sistemi automatizzati, in particolare il diritto dei rider di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema.

Dagli accertamenti è anche emerso anche che la società, senza informare i lavoratori, inviava i dati personali dei rider a società terze. I dati sulla geolocalizzazione, in particolare, erano inviati anche quando il rider non lavorava e, fino ad agosto 2023, anche quando l’app non era attiva.

LE PRESCRIZIONI DEL GARANTE

La società dovrà:

• riformulare i messaggi inviati ai rider in caso di disattivazione o blocco dell’account;
• assicurare che le decisioni adottate dall’algoritmo siano verificate da operatori adeguatamente formati;
• attivare sul dispositivo dei rider una icona che indichi che il Gps è attivo e disattivarlo quando l’app è in background.
• infine, dovrà adottare misure appropriate per evitare usi impropri e discriminatori dei meccanismi reputazionali basati sui feedback dei clienti e adempiere a quanto previsto dallo Statuto dei lavoratori in materia di controlli a distanza.

LEGGI ANCHE QUI