L’Autorità Garante per la protezione dei dati personali ha sanzionato la società Foodinho S.r.l., società del gruppo Glovo, al pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider attraverso la piattaforma digitale.

A seguito di una complessa istruttoria avviata d’ufficio dall’Autorità, è emerso che la società, già sanzionata nel 2021 per trattamenti illeciti e violazioni delle disposizioni previste dalla normativa privacy, effettuava “numerose e gravi violazioni” del GDPR.

Tra le altre, infatti, la società:

1. nel disattivare o bloccare l’account del rider inviava automaticamente un unico messaggio standard che però non informava il destinatario della possibilità di contestare la decisione e chiedere il ripristino dell’account;
2. effettuava trattamenti automatizzati dei dati personali dei rider senza aver adottato le misure previste dalla normativa per l’utilizzo di sistemi automatizzati. Non era infatti prevista, per il rider, la possibilità di esercitare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema (n.b. sul punto anche c.d. “Decreto Trasparenza”);
3. inviava, in assenza di preventiva informativa, i dati personali dei rider, compresa la posizione geografica, a società terze. I dati di geolocalizzazione venivano raccolti e trattati anche quando il rider non prestava attività lavorative e anche quando l’app era in background ovvero non era attiva.
4. Oltre alle numerose violazioni della normativa privacy rilevate dall’Autorità e qui parzialmente riportate, vale la pena segnalare che il Garante ha voluto sottolineare che nel caso in esame, la società “pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), […], non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro)”.
5. In altre parole, la società oltre ad implementare misure di sicurezza tecniche ed organizzative atte a eliminare le violazioni poste in essere e cessare i trattamenti illeciti di dati personali effettuati dovrà dotarsi di misure appropriate per adempiere anche a quanto previsto dallo Statuto dei Lavoratori in materia di controlli da distanza.

Altri insights correlati:

• Le paure riguardo al futuro del lavoro: l’impatto dell’intelligenza artificiale (Guida al Lavoro de Il Sole 24 Ore)

Le FAQ hanno l’obiettivo di supportare i datori di lavoro nella corretta applicazione della normativa in vigore derivante dal combinato disposto delle disposizioni in materia di protezione dei dati personali, della disciplina in materia di salute e sicurezza all’interno dei luoghi di lavoro e della normativa emergenziale.

Il 17 febbraio 2021 l’Autorità Garante per la protezione dei dati personali (l’“Autorità”) ha pubblicato sul proprio sito istituzionale le FAQ (“Frequently Asked Questions”) riguardanti il trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo.

L’Autorità ha innanzitutto chiarito che il datore di lavoro non rientra tra i soggetti legittimati a chiedere ai dipendenti di fornire informazioni sul proprio stato vaccinale o comunque una copia dei documenti che comprovino l’avvenuta vaccinazione anti Covid-19.

Secondo l’Autorità un siffatto trattamento di dati personali sanitari da parte del datore di lavoro non sarebbe consentito né dalle vigenti disposizioni emergenziali né dalla normativa applicabile in materia di salute e sicurezza nei luoghi lavoro, ad oggi contenuta nel “Testo Unico Sulla Salute e Sicurezza Sul Lavoro” (“D.Lgs. 81/2008”).

Le FAQ chiariscono che nel contesto lavorativo neppure il consenso dello stesso lavoratore legittima tale trattamento; il consenso, in tal caso, non può costituire una valida condizione di liceità. Ciò in ragione dello squilibrio e dell’assenza di parità nel rapporto tra il datore di lavoro, titolare del trattamento, e il lavoratore, interessato, i quali non assicurano la libertà di espressione del consenso eventualmente prestato dal lavoratore stesso (sul punto cfr. considerando 43 del Regolamento UE 2016/679 in materia di protezione dei dati personali).

Allo stesso modo, a parere dell’Autorità, il datore di lavoro non può chiedere al Medico Competente di condividere l’elenco dei nominativi dei dipendenti che abbiano aderito alla campagna vaccinale in corso.

E’ il Medico Competente il solo soggetto legittimato a trattare i dati sanitari dei lavoratori, tra i quali rientrano, nell’ambito della sorveglianza sanitaria e in sede di verifica dell’idoneità alla mansione specifica, anche le eventuali informazioni relative alla vaccinazione dei lavoratori medesimi.

Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore