Non può essere utilizzato un algoritimo incontestabile dai lavoratori.

Nota a Provv. GPDP 13 novembre 2024, n. 675

Fabrizio Girolami

Il Garante per la privacy, con provvedimento n. 675 del 13.11.2024, ha ingiunto a Foodinho S.r.l. (del gruppo Glovo, operante nel settore delle consegne a domicilio) il pagamento di una pesante sanzione amministrativa pecuniaria (Euro 5.000.000) per numerose e gravi attività di trattamento di dati personali, in violazione del Regolamento (UE) 2016/679. Si tratta della seconda sanzione inflitta alla società, dopo quella da Euro 2,6 milioni, inflitta dal Garante con l’ordinanza ingiunzione n. 234 del 10 giugno 2021 (in q. sito, con nota di F. GIROLAMI).

L’attività istruttoria del Garante era stata avviata d’ufficio, a seguito di notizie di stampa relative al grave episodio avvenuto a Firenze il 1° ottobre 2022 relativo al rider Sebastian Galassi, spirato in un incidente stradale, mentre stava effettuando un’operazione di consegna. Tre giorni dopo, sul telefono del lavoratore deceduto era comparso un “sms” comunicante la disattivazione dell’account.

Il Garante, anche a seguito delle ispezioni effettuate con il Nucleo speciale della Guardia di Finanza, aveva accertato che la piattaforma – in caso di disattivazione o blocco dell’account – inviava automaticamente un unico messaggio standard, senza però informare il lavoratore sulla possibilità di contestare la decisione e chiedere il ripristino dell’account.

Il Garante aveva altresì verificato l’effettuazione, da parte di Foodinho, di altri trattamenti automatizzati dei dati dei rider, ad es., attraverso il c.d. “sistema di eccellenza” (punteggio che consente di prenotare con priorità il turno di lavoro) e il “sistema di assegnazione degli ordini all’interno del turno”, senza attuare le misure previste dal Regolamento (UE) 2016/679 per l’utilizzo di sistemi automatizzati, in particolare senza garantire il diritto dei rider di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema.

Inoltre, era emerso che Foodinho, senza informare gli interessati, aveva comunicato i dati personali dei rider (compresa la posizione geografica) a società terze. I dati sulla geolocalizzazione, in particolare, venivano inviati anche quando il rider non prestava attività lavorativa, quando l’app era in background e, fino ad agosto 2023, persino quando non era attiva.

Alla luce di quanto sopra, il Garante ha prescritto a Foodinho di conformare i propri trattamenti al Regolamento (UE) 2016/679 con riferimento, in particolare:

  • alla riformulazione dei messaggi inviati ai rider a seguito della disattivazione e/o blocco dell’account;
  • all’individuazione di misure appropriate: a) per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, con particolare riguardo al “diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma”. In particolare, è necessario garantire un’adeguata formazione degli operatori addetti nonché la possibilità per gli operatori “di ignorare, se del caso, l’output del processo algoritmico, per evitare la possibile tendenza a farvi automaticamente affidamento”; b) volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici “anche al fine di garantire che sia minimizzato il rischio di errori nonché l’utilizzo di dati eccedenti, non aggiornati o inesatti”; c) finalizzate ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback (verifica da ripetere ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio);
  • all’applicazione dei principi di “minimizzazione” e di “privacy by design” e “by default” in relazione all’invio a terze parti di dati personali riferiti ai rider;
  • alla disattivazione della localizzazione GPS quando l’app è in background e, comunque, l’attivazione sul dispositivo del rider di una icona che indichi che il GPS è attivo.

GPDP 13 novembre 2024, n. 675

Lavoro mediante piattaforme digitali, uso di algoritmi e sistemi di geolocalizzione
%d blogger hanno fatto clic su Mi Piace per questo: