Non è stato approssimativo il Garante privacy nei confronti di Foodinho s.r.l., questo è poco ma sicuro: il provvedimento con cui la società del gruppo GlovoApp23 SL è stata sanzionata, tra l’altro, al pagamento di 2,6 milioni di euro è di fatto un manuale su come sbagliare tutto o quasi in ambito privacy.
Ma andiamo per ordine. In primis il garante evidenzia come Foodinho s.r.l. sia da considerare titolare del trattamento per quanto riguarda la raccolta, l’utilizzo e il processamento dei dati dei dipendenti e, in particolare dei c.d. rider.
Si parla di un numero elevato di interessati – pari a 18.684 – soggetti ad una serie di trattamenti ritenuti non conformi alla disciplina in materia di protezione dei dati personali.
Ma per quale motivo?
Intelligenza Artificiale e pregiudizio: quando a discriminare è l’algoritmo
I problemi dell’informativa privacy
In primo luogo, il Garante ha evidenziato un numero elevato di problemi afferenti all’informativa privacy. Documento che per molti è ancora quella cosa da copiare e incollare da un sito analogo ma che, in questo caso, l’Autorità presieduta da Pasquale Stanzione ha deciso giustamente di analizzare punto per punto.
Il documento in questione, secondo la decisione, risulta essere stato reso in violazione:
- dell’art. 5, par. 1, lett. a) del GDPR in quanto in violazione del principio di trasparenza essendo le indicazioni ivi presenti, sin troppo spesso generiche e poco attinenti al caso concreto. Insomma, al dipendente non è data la possibilità di capire cosa stia accadendo ai suoi dati personali;
- dell’art. 13, par. 2, lett. a) del GDPR in quanto i tempi di conservazione presenti nell’informativa, anche in questo caso, forniscono indicazioni troppo generiche;
- dell’art. 13, par. 2, lett. f) GDPR in quanto l’informativa non fa riferimento ai trattamenti automatizzati eseguiti nei confronti dei dipendenti
- mancano poi i dati di contatto del DPO, seppur trattasi di un data protection officer di gruppo
- dell’art. 5, par. 1, lett. a) del Regolamento in relazione al principio di correttezza,
considerato infine che, nell’ambito del rapporto di lavoro, come costantemente affermato dall’Autorità, l’obbligo di informare il lavoratore è, altresì, espressione del principio generale di correttezza dei trattamenti.
Insomma, tutto o quasi tutto da rifare secondo il Garante.
Non basta la conoscenza, serve un’informazione chiara
La società, a tal riguardo, con riferimento alle osservazioni dell’Autorità ha precisato che i rider sarebbero in realtà coscienti del fatto di essere tracciati costantemente e tale certezza deriverebbe dal fatto che “vedono loro stessi e il percorso suggerito sulla mappa dell’Applicazione”. Insomma “a che serve un’informativa se il dipendente di fatto sa che c’è un pallino con il suo nome nella mappa all’interno della app?
In realtà questa difesa è parsa quantomeno superficiale perché un conto è la conoscenza di un trattamento e un conto è essere stati ampiamente informati e avere una consapevole visione chiara di quello che sta succedendo. Per capirci, un conto è dire che la pizza (consegnata dai rider) è fatta con la farina, un conto è spiegare passo dopo passo la ricetta. È proprio questa spiegazione analitica dei trattamenti che manca secondo il Garante.
Indicazioni troppo generiche
In tal senso, l’Autorità ha evidenziato come l’informativa privacy fornita dalla società ai dipendenti sia troppo generica, divenendo quindi carente.
Si tratta di una importante presa di posizione che, una volta per tutte, pone fine alla prassi insopportabile che prevede l’utilizzo di espressioni come “utilizzeremo i tuoi dati per le finalità necessarie al trattamento” o “conserveremo i dati per il tempo necessario alla conservazione”. Insomma, queste espressioni, frequentissime nelle informative privacy che ci vengono fornite ogni giorno, non vanno bene. Un’informativa generica è come un’informativa non fornita.
Nel caso in esame, il garante ha evidenziato che, in almeno una delle due tipologie di informative fornite, l’indicazione dei dati raccolti è strutturata in modo dichiaratamente ed eccessivamente esemplificativo, non venendo menzionate analiticamente le tipologie di dati che Foodinho s.r.l. tratta.
Non viene ad esempio menzionato il trattamento di dati relativi alle comunicazioni con i rider effettuato mediante chat e email. Inoltre, la descrizione del trattamento di dati relativi alla posizione geografica è del tutto generica. Sul punto, ci si limita difatti ad affermare che Foodinho “potrà […] ricevere informazioni relative alla posizione geografica del dispositivo mobile utilizzato”. Quel “potrà” lascia legittimamente intendere che si tratta di un trattamento meramente eventuale, mentre, in realtà il Garante ha rilevato che la geolocalizzazione viene effettuata sistematicamente ogni 15 secondi. Non è quindi una mera possibilità ma un dato di fatto. Un dato di fatto che si verifica continuamente.
Non solo, in quella che viene qualificata come “nuova informativa” di Foodinho si afferma che la funzione di geolocalizzazione dei rider è necessaria per poter portare a termine il servizio e che attivandola si fornisce di fatto il consenso. Delle due l’una: o è necessaria, oppure abbiamo un consenso libero. Non possono difatti coesistere queste situazioni. Se la funzione è necessaria, il consenso è coattivo, motivo per cui la base giuridica dovrà rinvenirsi altrove.
In definitiva, secondo il Garante “i documenti informativi predisposti dalla società in tempi diversi ed, in ogni caso, caratterizzati da disorganicità, imprecisione e vaghezza, non sono idonei, per i suesposti motivi, a fornire con chiarezza agli interessati le informazioni relative agli elementi essenziali dei complessi trattamenti effettuati”.
Ma non ci si ferma qui.
Il Garante ha difatti evidenziato la possibile presenza di un trattamento biometrico del viso dei dipendenti per il quale si è espressamente riservato di avviare un ulteriore procedura sanzionatoria.
Non solo, il sistema delle email tra rider e backoffice è configurato in modo tale da consentire ad ogni operatore di accedere direttamente al contenuto di chat ed email scambiate con i rider. Insomma, esistono 600 dipendenti che hanno libero accesso a ogni comunicazione diretta ai rider. Questo è risultato quantomeno eccessivo e non funzionale al servizio.
La (mancata) valutazione d’impatto
L’art. 35, par. 1 stabilisce che quando un trattamento che prevede “l’uso di nuove tecnologie, considerati la natura, l’oggetto il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” si debba procedere alla effettuazione della valutazione di impatto.
Foodinho non ha provveduto in tal senso ritenendo la DPIA superflua. Anche questo aspetto non è passato inosservato al Garante che ha quindi deciso di evidenziare la necessità di una valutazione di impatto.
Del resto. in base a quanto stabilito dal GDPR nonché dalle Linee guida WP 248 rev.01 del 4.4.2017 e dal provvedimento del Garante 11 ottobre 2018, n. 467 è evidente che, l’attività di trattamento svolta da Foodinho s.r.l., in quanto “caratterizzata dall’utilizzo innovativo di una piattaforma digitale, dalla raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati”.
Il sistema Jarvis
La nota di colore è poi data dal sistema denominato Jarvis. Il nome a qualcuno potrebbe comunicare poco, ma per molti è invece significativo dell’intento di Foodinho. Jarvis è difatti l’intelligenza artificiale/assistente personale di Tony Stark, personaggio dei fumetti nonché alterego di Iron Man, il quale si affida proprio a questo algoritmo per chiedere qualsiasi cosa e per farsi aiutare nelle circostanze più disparate.
Non è quindi un caso che la società abbia scelto questo nome per una serie di trattamenti automatizzati predisposti per processare: posizione geografica del rider tratta dal GPS del dispositivo; posizione del punto vendita dove ritirare il prodotto da consegnare; indirizzo di consegna; requisiti specifici dell’ordine e altri parametri quali il tipo di veicolo utilizzato dal rider.
Jarvis di fatto presiede al funzionamento della piattaforma di proprietà di GlovoApp23, utilizzata (anche) da Foodinho s.r.l. e adotta quindi decisioni basate unicamente su trattamenti automatizzati, senza che ciò venga peraltro menzionato nell’informativa privacy comportando, oltre alla violazione dell’art 13 una potenziale violazione dell’art 22 GDPR in quanto la poca trasparenza impedisce evidentemente la possibilità di esercitare i diritti ivi indicati.
Conclusioni
Insomma, non è andata molto bene a Foodinho s.r.l., ma ciò è molto utile per tutti gli imprenditori e i consulenti perché, ancora una volta viene evidenziata la necessità di non fare le cose in modo approssimativo. È finito il tempo del copia incolla, e delle frasi generiche, è questo che dobbiamo imparare da questa importante decisione del Garante.
