Con un comunicato stampa del 5 luglio scorso, il Garante privacy ha comunicato di aver sanzionato per 2,6 milioni di euro una società (Foodinho Srl) del gruppo Glovo, uno dei maggiori player del settore della instant delivery.
Il provvedimento trova fondamento nelle numerose inadempienze da parte del gruppo e della sua succursale italiana, che in particolare coinvolgono carenze nell’informativa rivolta ai rider, nonché l’omissione della valutazione di impatto sul complesso trattamento dati relativo alla valutazione delle loro prestazioni e, soprattutto, discriminazioni connesse all’algoritmo utilizzato per assegnare le consegne senza che fossero previste garanzie sulla correttezza ed esattezza dei risultati nonché la possibilità di un intervento correttivo umano.
Indice degli argomenti
La cooperazione con l’Autorità spagnola
Il provvedimento è frutto della cooperazione fra l’Autorità Garante Spagnola (AEPD) e quella italiana ai sensi dell’art. 61 Reg. UE 2016/679 (che disciplina le procedure per l’assistenza reciproca fra autorità) ed è la prima volta che il Garante privacy italiano fa uso di questa procedura.
Questo provvedimento si intreccia inoltre con un’indagine iniziata nel 2019, sfociata in un riparto di competenze fra l’Autorità spagnola e quella italiana, con la prima che è stata individuata come capofila per i trattamenti dati effettuati dalla azienda spagnola Glovo (l’azienda è stata fondata a Barcellona nel 2015) e la seconda che invece ha indagato (cooperando con l’AEPD) sulla filiale italiana dell’azienda (in quanto i trattamenti dati effettuati da quest’ultima “incidono in modo sostanziale sui rider che operano unicamente in Italia in base ad un contratto di lavoro stipulato con la società”).
Mentre l’Autorità spagnola deve ancora rendere il proprio provvedimento, il Garante privacy nostrano ha già emanato il proprio verdetto, comminando una sanzione milionaria a carico della filiale italiana di Glovo.
Va evidenziato come l’estensione della sanzione trovi giustificazione, oltre che nei parametri di cui al GDPR, anche nell’atteggiamento dell’azienda sanzionata e della sua controllante, che hanno dimostrato poca collaborazione nel corso dell’indagine.
Adempimenti di compliance GDPR: cosa devono sapere le aziende
Le carenze nell’informativa
In primo luogo, il Garante censura le carenze nell’informativa sottoposta ai rider, in particolare con riguardo alla localizzazione cui venivano sottoposti i rider e alle tipologie dei dati raccolti.
Il Garante segnala, inoltre, che l’informativa manca delle informazioni significative sulla logica del trattamento basato su un processo decisionale automatizzato cui sono sottoposti i rider, nonché sull’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Manca, inoltre, l’indicazione dei dati di contatto del DPO (pur designato dal gruppo) e l’informativa, infine, non precisa adeguatamente il tempo di conservazione dei dati.
Questo è un campanello d’allarme importante per tutti coloro che all’atto dell’entrata in vigore del GDPR hanno utilizzato formule standard per indicare il tempo di conservazione dei dati raccolti, come quella inserita nell’informativa dell’azienda sanzionata dal Garante, ovvero: “I dati sono trattati per il solo tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti e, in ogni caso, non oltre la cessazione del rapporto di collaborazione”.
Questa informazione è stata considerata troppo generica dal Garante (oltre che inesatta alla luce dei risultati dell’istruttoria, che hanno evidenziato trattamenti dati anche successivamente alla chiusura del rapporto di collaborazione con il rider).
Altro importante elemento che possiamo trarre dal provvedimento del Garante è quello di datare l’informativa, per consentire di dimostrare la sua adozione in data antecedente rispetto a quella in cui si è iniziato il trattamento (nel caso delle informative online, oltre alla datazione, sarebbe utile pensare ad uno strumento di datacertazione informatica come l’inserimento della pagina sull’archivio Wayback Machine).
Glovo ha infatti sottoposto al Garante (tra le altre) anche l’informativa presente sul portale web dedicato ai rider, ma esaminandola il Garante ha evidenziato che la stessa risulta priva di data e che comunque l’azienda sottoposta a controllo non ha fornito informazioni circa il periodo della sua realizzazione.
Il Garante contesta inoltre il fatto che la configurazione dei sistemi informatici in uso alla filiale italiana di Glovo (qualificata come titolare, mentre Glovo è stato qualificato -nelle stesse informative dell’azienda sanzionata- come responsabile esterno nell’attività di fornitura dei software del gruppo) permette, da parte della controllante, accesso a livello globale ai dati dei rider e questo non solo alle figure apicali, bensì ad ogni operatore autorizzato ad accedere al sistema.
La discriminazione dell’algoritmo
Una volta esaminate le carenze dell’informativa, il Garante passa in rassegna le carenze del sistema informatico con cui Glovo assegna ai rider il loro “punteggio”, elemento essenziale per ricevere nuove consegne da effettuare.
La filiale italiana di Glovo ha spiegato che inizialmente il punteggio del rider ha un valore neutro di default, quindi mano a mano che vengono assegnate consegne al collaboratore il valore viene incrementato sulla base di determinati fattori (ad ognuno dei quali viene attribuito un “peso” percentuale nel punteggio del rider), ovvero:
- feedback dati dai clienti (15%);
- feedback (pollice alto o pollice basso) degli esercenti (5%);
- ore di alta richiesta stabilite dai partners (35%);
- ordini consegnati (10%);
- produttività della piattaforma (35%).
Quest’ultimo elemento del punteggio merita un approfondimento in quanto lo stesso consiste in una valutazione basata sul numero di ordini proposti al rider e “raccolti” dallo stesso (che può anche scegliere di vederseli assegnati automaticamente, così da aumentare il proprio punteggio, perdendo però la possibilità di rifiutare la consegna).
Più è veloce il rider ad accettare l’ordine (il Garante riporta la “soglia” di 30 secondi) più verrà premiato a livello di punteggio.
Per quanto riguarda i feedback (che concorrono a formare il 20% del punteggio totale) la società sanzionata, nel corso dell’istruttoria, ha precisato che mentre il feedback positivo non richiede necessariamente una motivazione, un feedback negativo deve necessariamente essere motivato e che “non tutte le motivazioni fornite concorrono al punteggio del rider”.
In particolare, secondo i dati raccolti dal Garante, quando è il cliente a fornire un feedback solamente queste due selezioni abbassano il punteggio del rider:
- corriere poco professionale;
- i prodotti non sono stati trasportati correttamente;
Mentre gli ulteriori feedback negativi (ordine non consegnato, la consegna ha impiegato troppo tempo, problema con il pagamento, campo libero compilato dal cliente) non concorrono ad abbassare il punteggio del rider.
Se invece è il gestore a fornire il feedback negativo viene registrato solo se questi indica che il rider era senza zaino o che non è stato professionale, mentre le ulteriori voci non concorrono al punteggio.
Stando alle informazioni raccolte dal Garante, inoltre, i feedback positivi non concorrono ad alzare il punteggio (creando così una situazione di squilibrio in cui pesano maggiormente i feedback negativi), punteggio che quindi “cresce” soprattutto in relazione alla tempestività del rider nella risposta agli ordini (specie nelle ore di alta richiesta).
In buona sostanza dall’accertamento del Garante è emerso che molta della vita lavorativa dei rider è condizionata da questo c.d. “sistema d’eccellenza” che attribuisce un punteggio che consente di accedere prioritariamente al “sistema di selezione delle fasce orarie (slot)” stabilite dalla società.
Più è alto il punteggio, maggiore è la probabilità di ottenere altri ordini.
Quale destino per i lavoratori delle piattaforme digitali? Scenari futuri in Ue e Usa
La società sanzionata afferma che vi è la possibilità di intervenire manualmente sul sistema in caso di “segnalazione” di un rider a seguito di un feedback negativo, il problema è che questo correttivo (che non esclude comunque la possibilità che il sistema di feedback sia utilizzato in maniera distorta) riguarda solo uno dei numerosi dati personali trattati attraverso il sistema (e che concorrono a formare il punteggio).
Inoltre, non risulta che i rider fossero stati adeguatamente informati di tale possibilità di intervento e l’istruttoria non ha evidenziato l’adozione di misure atte a favorire l’esercizio del diritto all’intervento manuale (es. l’attivazione di canali do comunicazione dedicati).
Ne discende la violazione dell’art. 22 co. 3 GDPR, che prescrive, in caso di trattamento automatizzato (lecito nel caso in quanto tale trattamento è necessario nell’ambito di un contratto fra le parti), il diritto dell’interessato di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Il Garante afferma quindi che siamo di fronte ad un’attività di profilazione che incide in modo significativo sugli interessati determinando la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere o meno una opportunità di impiego.
Il sistema per l’assegnazione degli ordini ai rider (chiamato Jarvis) assegna gli ordini sulla base di una serie di altri fattori oltre al punteggio, collegati alla posizione del rider rispetto ai luoghi di ritiro e consegna, ad eventuali requisiti specifici dell’ordine ed al mezzo utilizzato dal rider.
Il Garante ha chiesto a Glovo maggiori informazioni sul funzionamento dell’algoritmo Jarvis, senza però ottenere un chiarimento risolutivo.
Oltre a non garantire (compiutamente) l’intervento umano a correzione degli errori del sistema, l’azienda sanzionata non risulta aver provveduto ad attuare “misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato” come prescritto dall’art. 22 par. 3 GDPR per il caso di trattamento dati automatizzato.
Nel caso, in particolare con riguardo al “punteggio” derivante dai feedback negativi ricevuti, non risulta che l’azienda del gruppo Glovo abbia adottato misure tese a ridurre al massimo il rischio di effetti distorsivi o discriminatori del sistema di punteggio o di assegnazione degli ordini (es. revisioni o verifiche periodiche circa il funzionamento del sistema, canali di raccolta di segnalazioni, etc.).
L’azienda sanzionata, poi, oltre a non aver adeguatamente informato i propri lavoratori sul funzionamento del sistema, non si assumeva alcuna garanzia circa “l’esattezza e la correttezza dei risultati dei sistemi algoritmici utilizzati per la valutazione dei rider. Non garantiva nemmeno procedure per tutelare il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare le decisioni adottate mediante l’utilizzo degli algoritmi in questione, compresa l’esclusione di una parte dei rider dalle occasioni di lavoro”.
Nel sanzionare Foodinho (la filiale italiana di Glovo), il Garante le ha imposto di verificare l’esattezza e la pertinenza dei dati utilizzati dal proprio sistema informatico (che includono, a secondo quanto affermato dal Garante: “chat, email e telefonate intercorse tra i rider e il customer care, geolocalizzazione ogni 15 secondi e visualizzazione su mappa del percorso, tempi di consegna stimati ed effettivi, dettagli sulla gestione dell’ordine in corso e di quelli già effettuati, feedback di clienti e partner, livello della batteria rimanente del dispositivo ecc.”).
L’obiettivo, imposto, è quello di ridurre al minimo il rischio di errori e distorsioni che potrebbero impattare sul ride da un punto di vista economico (limitando le consegne a cui può accedere)
Tali rischi, a detta del Garante, sono insiti nell’utilizzo di un sistema di punteggi basato su un algoritmo il cui obiettivo è penalizzare i rider che non accettano tempestivamente l’ordine o lo rifiutano, favorendo invece al contrario i rider che accettano nei termini stabiliti o consegnano il maggior numero di ordini. Nell’intervenire la società dovrà inoltre individuare (e documentare) misure che impediscano utilizzi impropri o discriminatori dei meccanismi reputazionali basati sul feedback dei clienti e dei gestori.
La mancanza di una valutazione di impatto
Vista l’estensione dei trattamenti automatizzati a cui sono sottoposti i rider, il Garante ha chiesto alla filiale italiana di Glovo di produrre la valutazione d’impatto relativa a tale trattamento dati, in quanto l’art. 35 GDPR prescrive l’adozione di tale documento in tutti quei casi in cui il trattamento prevede “l’uso di nuove tecnologie” e che “considerati la natura, l’oggetto il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
In particolare, una simile valutazione è richiesta in caso di: “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.
L’azienda ha affermato (ancora nel 2019) che “la capogruppo non ha ritenuto di predisporre tale documento, sebbene si stia svolgendo, a distanza di un anno dall’entrata in vigore del Regolamento, una complessiva attività di due diligence finalizzata a verificare la compliance delle procedure aziendali al GDPR. […] non è disponibile documentazione a supporto della decisione di non predisporre la DPIA”.
Anche con riferimento a questo aspetto il Garante fornisce quindi informazioni utili a tutti i titolari in quanto evidenzia come Foodinho s.r.l. abbia dichiarato di non aver ritenuto di predisporre la valutazione, senza produrre documentazione relativa alla predetta decisione.
Il Garante in sostanza ci ricorda che anche una decisione di negativa di non procedere ad un determinato adempimento prescritto dalla normativa in tema di protezione dei dati, va adeguatamente documentata (quantomeno in tutti quei casi in cui la scelta sulla necessità o meno di tale adempimento sia dubbia).
L’azienda nel corso dell’istruttoria ha poi fornito un documento al Garante, denominato “Valutazione preliminare dei rischi relativa al trattamento dei dati personali dei riders” che però non soddisfa tutti i requisiti di cui alla valutazione di impatto prevista dal GDPR.
Sul punto, l’azienda si difende affermando che il trattamento di cui si discute non comporterebbe “l’uso di nuove tecnologie”, in quanto la geolocalizzazione è una tecnologia già nota e da tempo in uso nel settore dei trasporti e che quindi la valutazione d’impatto non sarebbe di per sé necessaria.
La replica del Garante poggia sulla considerazione che l’innovazione tecnologica nel trattamento effettuato da Foodinho non consiste nel semplice utilizzo di dati di geolocalizzazione in tempo reale dei rider, ma coinvolge tutta la gestione dell’attività lavorativa basata su una piattaforma digitale il cui funzionamento si basa su complessi algoritmi (il cui meccanismo di funzionamento è stato reso noto solo in parte nel corso dell’istruttoria condotta dall’Autorità).
In secondo luogo, il Garante ricorda che stiamo parlando di trattamenti automatizzati, compresa la profilazione, che incidono in modo significativo sugli interessati, perché l’azienda sanzionata utilizza i dati raccolti per creare un “profilo” del rider (a cui assegna un punteggio) e fa dipendere da tale profilo la possibilità per il collaboratore di accedere o meno ad occasioni di lavoro.
Il controllo da remoto
Con diffusa argomentazione, il Garante supera infine le eccezioni di Foodinho circa il rapporto intercorrente fra l’azienda ed i rider (qualificato come prestazione d’opera dall’azienda). In sintonia con vari recenti arresti giurisprudenziali il Garante riqualifica il rapporto come lavoro subordinato, con l’importante conseguenza, dal punto di vista privacy, dell’applicabilità dell’art. 4 dello Statuto dei Lavoratori che prescrive in caso di utilizzo di “strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori” la necessità di ottenere un accordo sindacale che legittimi (e circoscriva) tale controllo ovvero l’autorizzazione da parte della sede territoriale dell’Ispettorato nazionale del lavoro.
Il sistema utilizzato dall’azienda del gruppo Glovo costituisce sicuramente uno strumento di controllo a distanza dei lavoratori (non foss’altro per il fatto che questi sono geolocalizzati attraverso i loro dispositivi cellulari su cui è installata l’app Glover) e quindi l’applicazione dell’art. 4 dello Statuto dei Lavoratori comporta l’obbligo di ottenere un’apposita autorizzazione prima di effettuare un simile trattamento dati, trattamento che, se comunque effettuato, non consente il legittimo utilizzo dei dati del lavoratore ai fini connessi con il rapporto di lavoro stesso.
Da questa violazione discende la violazione del principio di liceità del trattamento (di cui all’art. 5, par. 1, lett. a) GDPR) e dell’art. 88 GDPR (relativo al trattamento dei dati nell’ambito dei rapporti di lavoro, che consente l’adozione di norme più specifiche a tutela dei lavoratori dipendenti contenute in norme di legge i in contratti collettivi).
La sanzione
Nel calcolare la sanzione di 2,6 milioni di euro alla società italiana Foodinho per i trattamenti illeciti effettuati, l’Autorità ha tenuto conto anche della limitata collaborazione offerta dalla società nel corso dell’istruttoria, oltre che dell’elevato numero di interessati coinvolti sul territorio nazionale (circa 19.000 rider).
Il Garante ha concesso a Foodinho 60 giorni di tempo per avviare le misure necessarie per correggere le gravi violazioni rilevate e ulteriori 90 giorni per completare gli interventi sugli algoritmi.
Questo provvedimento, al di là della misura e dell’impatto diretto nel settore dell’instant delivery, apre nuovi scenari sul trattamento dati effettuato con modalità automatizzate e contiene prese di posizione destinate a fare scuola ed a cambiare l’adeguamento privacy di aziende ed enti, evitando comode scappatoie come l’adozione di formule generiche nell’informativa o la mancata predisposizione di documentazione a sostegno e giustificazione delle scelte di “non fare” in tema di adeguamento privacy.
