Il provvedimento n. 675 del 13 novembre 2024 del Garante per la Protezione dei Dati Personali, reso pubblico nella giornata di oggi, analizza in profondità i trattamenti di dati personali effettuati da Foodinho S.r.l. attraverso la piattaforma Glovo. Esso si focalizza sull’adeguatezza delle pratiche adottate rispetto alle normative europee e nazionali in materia di privacy, alla luce di un’indagine complessa avviata a seguito di segnalazioni e accertamenti ispettivi.
Contesto del provvedimento
L’indagine si è concentrata su pratiche relative alla gestione dei dati personali dei rider, in particolare l’utilizzo della piattaforma Glovo Courier per monitorare e regolare le attività dei corrieri. Tra i profili emersi:
- disattivazione degli account: una questione sollevata è stata la gestione dell’account di un rider deceduto, con l’invio di comunicazioni automatizzate inappropriate;
- trattamenti automatizzati: rilevati in strumenti come il punteggio di eccellenza e la geolocalizzazione;
- conservazione dei dati: il periodo eccessivamente lungo di conservazione, inclusi dati biometrici e di geolocalizzazione.
Punti Principali
1. Conformità Normativa
Il Garante ha evidenziato che Foodinho S.r.l., in qualità di titolare del trattamento, non ha adeguatamente rispettato il principio di trasparenza (art. 5 GDPR), omettendo informazioni chiare e accessibili nei confronti dei rider. Questo deficit si è manifestato:
- nelle informative incomplete o obsolete;
- nei “link interrotti” che impedivano l’accesso ai documenti aggiornati.
2. Trattamenti Biometrici
Foodinho ha ripreso il trattamento di dati biometrici attraverso riconoscimento facciale senza aver fornito basi giuridiche solide e proporzionate. Il Garante ha sottolineato la necessità di un rigoroso rispetto dell’art. 9 GDPR, in particolare per trattamenti sensibili.
3. Geolocalizzazione
Il monitoraggio continuo dei rider tramite GPS e la conservazione dei dati fino a 10 anni sono stati giudicati sproporzionati rispetto alle finalità dichiarate. Tali prassi sono risultate incoerenti con il principio di minimizzazione dei dati (art. 5 GDPR).
4. Automatizzazione delle decisioni
Foodinho ha utilizzato il sistema del “punteggio di eccellenza” per valutare i rider, il che ha sollevato dubbi circa possibili decisioni completamente automatizzate in violazione dell’art. 22 GDPR. Il Garante ha richiesto maggiore trasparenza sulle logiche utilizzate e l’introduzione di un controllo umano significativo.
Azioni correttive imposte
Il Garante ha disposto che Foodinho adotti una serie di misure, tra cui:
- revisione delle informative per garantire chiarezza e accessibilità in linea con l’art. 13 GDPR;
- riduzione dei tempi di conservazione dei dati, specialmente biometrici e di geolocalizzazione, per rispettare il principio di proporzionalità;
- adozione di DPIA (Data Protection Impact Assessment) dettagliate per i trattamenti ad alto rischio, come geolocalizzazione e punteggio di eccellenza;
- eliminazione di categorie non rilevanti (es. “Bad rating”) dal sistema di gestione degli account dei rider.
Implicazioni pratiche
Il caso rappresenta un precedente significativo per il settore della gig economy, sottolineando l’importanza della protezione dei dati personali in contesti lavorativi non tradizionali. I titolari del trattamento che operano su piattaforme digitali devono:
- integrare solide misure di governance dei dati;
- assicurarsi che i processi automatizzati rispettino i diritti degli interessati, garantendo supervisione umana.
Il provvedimento n. 675/2024 del Garante rappresenta quindi un monito per tutte le aziende che gestiscono grandi quantità di dati personali in contesti digitali. La tutela della privacy non è solo un obbligo normativo, ma un elemento essenziale per preservare la fiducia degli utenti e dei lavoratori. La conformità richiede un impegno costante per adeguare pratiche operative e strumenti tecnologici alle evoluzioni normative e ai principi fondamentali del GDPR.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024