Il Garante Privacy multa Foodinho, società del gruppo Glovo, per 5 milioni di euro per aver trattato illecitamente i dati personali di oltre 35mila rider. La decisione arriva a conclusione dell’istruttoria avviata d’ufficio dopo la morte di un rider in un incidente stradale nel 2022, durante una consegna. In quell’occasione un gruppo di informatici aveva denunciato sui mezzi d’informazione una serie di violazioni del Gdpr legate alla disattivazione dell’account della vittima, dalle quali l’inchiesta è partita d’ufficio. Foodinho era già stata multata nel 2021 dal Garante. Con il suo pronunciamento l’authority ha anche vietato “l’ulteriore trattamento dei dati biometrici dei rider utilizzati per la verifica dell’identità”, a partire dal riconoscimento facciale.
Gli esiti dell’istruttoria
Dalle indagini e dalle ispezioni effettuate con il supporto del nucleo speciale della Guardia di Finanza è emerso, tra l’altro, che fino ad agosto la piattaforma geolocalizzava i rider anche fuori dal loro orario di lavoro. “La piattaforma utilizzata dalla società, quando disattiva o blocca l’account – spiega l’authority – invia automaticamente un unico messaggio standard, che però non informa della possibilità di contestare la decisione e chiedere il ripristino dell’account”.
I trattamenti automatizzati dei dati
I Garante ha contestato inoltre alla società i trattamenti automatizzati dei dati dei rider, come nel caso del “sistema di eccellenza”, un punteggio che consente di prenotare con priorità il turno di lavoro, e il sistema di assegnazione degli ordini all’interno del turno. La piattaforma, sottolinea il Garante, non avrebbe adottato le misure previste dal Gdpr per l’utilizzo di sistemi automatizzati, “in particolare il diritto dei rider di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta attraverso il sistema”.
L’invio a terzi dei dati dei rider
L’istruttoria ha inoltre evidenziato come Foodinho, senza informare gli interessati, abbia inviato i dati personali dei rider, compresa la posizione geografica, a società terze. “I dati sulla geolocalizzazione, in particolare, sono inviati anche quando il rider non lavora, l’app è in background e, fino ad agosto 2023, anche quando l’app non era attiva”, si legge nella nota dell’authority.
Le prescrizioni
A conclusione delle indagini il Garante ha disposto che Foodinho riformuli i messaggi inviati ai rider in caso di disattivazione o blocco dell’account, e assicuri che le decisioni adottate dall’algoritmo siano verificate da operatori adeguatamente formati. Inoltre, la società dovrà attivare sul dispositivo dei rider una icona che indichi che il Gps è attivo e disattivarlo quando l’app è in background.
“Foodinho, infine – conclude il garante – dovrà adottare misure appropriate per evitare usi impropri e discriminatori dei meccanismi reputazionali basati sui feedback dei clienti e adempiere a quanto previsto dallo Statuto dei lavoratori in materia di controlli a distanza”.
