Con provvedimento n. 675 del 13 novembre 2024, diffuso con comunicato stampa del 22 novembre 2024, il Garante per la protezione dei dati personali ha ordinato ad una società del gruppo Glovo, il pagamento di una sanzione di 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila riders attraverso la piattaforma digitale, vietando l’ulteriore trattamento dei dati biometrici (attraverso il riconoscimento facciale) dei riders utilizzati per la verifica dell’identità. A tale ultimo proposito, il Garante ricorda che l’ordinamento vigente non consente il trattamento di dati biometrici dei lavoratori per finalità di identificazione degli stessi (effettuato dopo il primo riconoscimento e successivamente in modo casuale) al fine di scongiurare sostituzioni di persona nell’adempimento della prestazione.
Il provvedimento del Garante è stato adottato a seguito di una istruttoria avviata d’ufficio dopo un grave incidente nel quale era rimasto vittima un rider. All’esito di tale accertamento istruttorio sono emerse numerose e gravi violazioni del Regolamento (Gdpr), da parte della società, tra cui l’aver effettuato trattamenti automatizzati dei dati personali dei riders, ad es., attraverso il c.d. punteggio di eccellenza (punteggio che consente di prenotare con priorità il turno di lavoro) e il sistema di assegnazione degli ordini all’interno del turno. In tal modo, secondo il Garante, la Società effettua trattamenti consistenti nell’assunzione di decisioni, basate unicamente su trattamenti automatizzati, compresa la profilazione, relative all’assegnazione dei turni di lavoro e degli ordini di consegna, che incidono significativamente sull’interessato, mediante l’aumento o la riduzione delle occasioni lavorative, proprio per effetto delle decisioni assunte dal sistema. Tutto ciò, non solo senza aver fornito agli interessati le informazioni relative all’esistenza e alla specifica modalità di funzionamento dei sistemi, in violazione dell’art. 1-bis del D.Lgs. n. 152/1997 (introdotto dall’art. 4 comma 1 lett. b del D. Lgs. n. 104 del 2022 di attuazione della Direttiva UE 2019/1152, mod. con D.L. 4.5.2023, n. 48, conv. con L. 23.7.2023, n. 85, “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”), ma senza nemmeno aver adottato le misure previste dal Gdpr (art. 22) per l’utilizzo di sistemi automatizzati, in particolare il diritto di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema.
Dagli accertamenti era anche emerso che la società, senza informare gli interessati, aveva inviato i dati personali dei riders, compresa la posizione geografica, a società terze. I dati sulla geolocalizzazione, in particolare, erano stati inviati anche quando il rider non lavorava, l’app era in “background” e, fino ad una certa data, anche quando l’app non era attiva.
Il Garante ha, quindi, imposto alla società di riformulare i messaggi inviati ai riders in caso di disattivazione o blocco dell’account ed assicurare che le decisioni adottate dall’algoritmo siano verificate da operatori adeguatamente formati. Inoltre, la società dovrà attivare sul dispositivo dei riders una icona che indichi che il Gps è attivo e disattivarlo quando l’app è in “background”. Ancora la società dovrà individuare misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback dei clienti e ad adempiere a quanto previsto dallo Statuto dei lavoratori in materia di controlli a distanza (art. 4), richiamando all’uopo per i riders la disciplina relativa alle collaborazioni c.d. etero-organizzate di cui all’art. 2, comma 1, d.lgs. 81/2015, con conseguente applicazione integrale della normativa relativa al lavoro subordinato. Nel comunicato stampa viene, altresì, ricordato che l’adozione del provvedimento del Garante coincide con la pubblicazione sulla GUUE in data 11 novembre 2024 della Dir. UE 2024/2831, relativa al miglioramento delle condizioni di lavoro mediante piattaforme digitali (si veda ns. approfondimento del 19 novembre 2024).
A cura di Cristina Petrucci