L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.
A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.
Tra le altre, infatti, la società:
- nel disattivare o bloccare l’account del rider inviava automaticamente un unico messaggio standard che però non informava il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account;
- effettuava trattamenti automatizzati dei dati personali dei rider senza aver adottato le misure previste dalla normativa per l’utilizzo di sistemi automatizzati. Non era infatti prevista, per il rider, la possibilità di esercitare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema (n.b. sul punto anche c.d. “Decreto Trasparenza”);
- inviava, in assenza di preventiva informativa, i dati personali dei rider, compresa la posizione geografica, a società terze. I dati di geolocalizzazione venivano raccolti e trattati anche quando il rider non prestava attività lavorative e anche quando l’app era in background ovvero non era attiva.
- Oltre alle numerose violazioni della normativa privacy rilevate dall’Autorità e qui parzialmente riportate, vale la pena segnalare che il Garante ha voluto sottolineare che nel caso in esame, la società “pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), […], non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro)”.
- In altre parole, la società oltre ad implementare misure di sicurezza tecniche ed organizzative atte a eliminare le violazioni poste in essere e cessare i trattamenti illeciti di dati personali effettuati dovrà dotarsi di misure appropriate per adempiere anche a quanto previsto dallo Statuto dei Lavoratori in materia di controlli da distanza.
Altri insights correlati:
