Multa di 5 milioni a Foodinho: Dettagli della sanzione
Il Garante per la protezione dei dati personali ha inflitto a Foodinho, appartenente al gruppo Glovo, una sanzione pecuniaria di 5 milioni di euro. Questa decisione è il risultato di gravi violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR), in particolare per l’illecito trattamento dei dati personali di oltre 35.000 rider che operano attraverso la piattaforma digitale della società. È da notare che questa non è la prima volta che Foodinho si trova di fronte a provvedimenti sanzionatori; già nel 2021, infatti, l’azienda aveva ricevuto una multa di 2,6 milioni di euro per motivazioni simili.
Le irregolarità rilevate si riferiscono all’assenza di trasparenza in merito al trattamento dei dati, nonché alla mancanza di misure appropriate per garantire i diritti dei lavoratori, inclusi il diritto di contestazione delle decisioni prese in modo automatizzato e il diritto all’intervento umano. Infatti, il Garante ha accertato che, nel caso di disattivazione o blocco degli account dei rider, veniva inviato un messaggio standard senza alcuna informazione riguardo alla possibilità di contestare tale decisione e chiedere un eventuale ripristino.
A causa della gravità delle violazioni e del numero significativamente alto di rider coinvolti, il Garante ha deciso di infliggere una sanzione che, oltre a rappresentare un duro colpo economico per Foodinho, serve anche come monito per altre aziende che operano nel settore della gig economy. Questo intervento normativa sottolinea l’importanza del rispetto delle regole sulla protezione dei dati e la necessità di adottare pratiche più trasparenti e rispettose nei confronti dei lavoratori.
Tracciamento continuo dei rider
Il Garante per la protezione dei dati ha identificato pratiche inquietanti adottate da Foodinho, in particolare in relazione al monitoraggio continuo dei rider. Durante le indagini, è emerso che la piattaforma digitale utilizzata dall’azienda era in grado di raccogliere, elaborare e trasmettere dati sulla posizione geografica dei rider anche nei momenti in cui questi ultimi non erano attivi. Tale raccolta di dati avveniva non solo mentre i rider erano in funzione, ma anche quando l’applicazione era in background e, paesi in considerazione, fino a agosto 2023, anche quando l’app non era aperta. Questa operazione costituisce una forma di sorveglianza praticamente ininterrotta, sollevando preoccupazioni significative sia per la privacy degli individui che per il rispetto della legislazione vigente.
After a detailed examination, la Guardia di Finanza ha constatato che i dati, inclusi quelli relativi alla posizione, venivano condivisi con terze parti senza il consenso necessario. La preoccupazione non risiede solo nell’illecito trasferimento di informazioni sensibili, ma anche nella mancanza di trasparenza con cui i rider sono stati trattati. In effetti, non è stata fornita alcuna notifica preventiva su che modalità di tracciamento venissero applicate quando l’app era in uso, né sono state chiarite le eventuali misure di sicurezza adottate per proteggere questi dati.
Questa nota metodologia riflette un’approccio aziendale che non solo ignora i diritti fondamentali dei lavoratori, ma esprime anche una carenza di rispetto nei confronti delle normative come il GDPR, che stabilisce regole rigorose riguardo alla raccolta e al trattamento dei dati personali. Le disposizioni imposte dal Garante richiedono che Foodinho modifichi le modalità con cui vengono gestiti i dati dei rider e che adotti misure significative per garantire che la geolocalizzazione possa essere disattivata durante momenti di inattività. Tale approccio non solo è essenziale per ottemperare al rispetto delle normative, ma rappresenta anche un passo cruciale verso la costruzione di un ambiente lavorativo più giusto e rispettoso.
Motivi dell’istruttoria e accertamenti
L’istruttoria da parte del Garante per la protezione dei dati personali è stata avviata in modo autonomo, scaturita da notizie di stampa riguardanti la disattivazione dell’account di un rider deceduto in un incidente stradale mentre era in servizio nel 2022. Tale situazione ha sollevato interrogativi sulla gestione dei dati personali da parte di Foodinho, portando l’autorità a voler esaminare da vicino le pratiche dell’azienda in relazione alla protezione dei dati dei collaboratori. Per condurre la propria indagine, il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza ha effettuato una serie di accertamenti ispettivi tra il 13 dicembre 2022 e il 1 marzo 2023, con il compito di raccogliere documentazione e verificare l’accesso a banche dati aziendali.
Durante queste ispezioni iniziali, sono emersi elementi di criticità anche da ulteriori segnalazioni ricevute dagli stessi rider, che hanno portato a un incremento delle verifiche, culminando in ulteriori ispezioni avvenute a fine luglio 2023. Gli ispettori hanno potuto accertare, tra l’altro, che il sistema adottato da Foodinho presentava gravi lacune in termini di trasparenza e di rispetto delle normative vigenti. Le procedure automatizzate di disattivazione degli account risultavano prive di informazioni sui diritti dei rider, come il diritto di contestare le decisioni che impattavano sulla loro operatività.
In particolare, l’analisi del Garante ha messo in luce che i messaggi standard di disattivazione degli account non fornivano ai rider l’opportunità di esprimere le proprie contestazioni o di richiedere il ripristino del proprio account. Inoltre, è emerso che il trattamento dei dati personali avveniva in modo automatizzato, senza che fossero state adottate le misure previste dal GDPR, come la garanzia di un intervento umano o il diritto di esprimere la propria opinione. Questi accertamenti hanno rivelato una gestione dei dati lontana dagli standard richiesti dalla normativa europea, ponendo sotto un’ulteriore lente di ingrandimento le pratiche di Foodinho.
Contestazioni di Foodinho e risposta del Garante
Foodinho ha reagito con fermezza all’avvio dell’istruttoria, presentando contestazioni legali al Garante per la protezione dei dati. Secondo l’azienda, l’istruttoria attuale sarebbe simile a quella che si era conclusa nel 2021, con la conseguente multa di 2,6 milioni di euro, invocando quindi il principio del “ne bis in idem”, che vieta di essere giudicati due volte per lo stesso fatto. Inoltre, Foodinho ha sollevato questioni di competenza, sostenendo che, essendo Glovo la sua controllante e avente sede legale in Spagna, le autorità italiane non avrebbero giurisdizione sulla questione.
Tuttavia, il Garante ha risposto a queste obiezioni con fermezza, puntualizzando che la gestione dei dati personali dei rider di Foodinho avviene in Italia. L’autorità ha chiarito che, nonostante la sede legale dell’azienda fosse all’estero, le operazioni di trattamento dei dati risiedevano nel contesto giuridico italiano, il che le conferiva competenza per intervenire. Pertanto, l’autorità ha ribadito che il procedimento in corso era distinto dal precedente, potendo considerare violazioni specifiche e diverse dalla situazione passata.
Inoltre, il Garante ha espresso preoccupazione per le pratiche operative attuate da Foodinho, evidenziando la mancanza di trasparenza e di tempistiche adeguate nell’informare i propri rider circa le modalità di disattivazione degli account. La decisione di inviare solo messaggi standardizzati, privi di chiare indicazioni circa il diritto di contestare le decisioni operative, è stata ritenuta inaccettabile. Questo non solo ha minato la fiducia dei lavoratori nei confronti dell’azienda, ma ha anche violato chiaramente i diritti previsti dal GDPR, segnando una chiara negligenza nella protezione dei dati.
La risposta del Garante ha sottolineato l’importanza di adottare sistemi che possano garantire l’intervento umano nelle decisioni automatizzate e la necessità di informare i rider sui loro diritti, confermando così l’impegno dell’autorità nel proteggere i diritti fondamentali dei lavoratori del settore. La situazione rimane sotto monitoraggio, con la società ora obbligata a riesaminare le proprie pratiche in conformità con le normative vigenti.
Implicazioni future e normativa europea
La sanzione di 5 milioni di euro inflitta a Foodinho dal Garante per la protezione dei dati rappresenta non solo un’importante misura punitiva, ma funge anche da chiaro segnale per tutte le aziende operanti nella gig economy riguardo alla necessità di adeguarsi rigorosamente alle normative europee sulla protezione dei dati. Le aziende che utilizzano piattaforme digitali per la gestione dei propri dipendenti o collaboratori devono garantire una robusta protezione dei dati personali, specialmente in un contesto segnato da crescente attenzione per la privacy degli utenti.
In particolare, il GDPR impone requisiti rigorosi in termini di trasparenza, diritto di accesso e modalità di trattamento dei dati. La questione di Foodinho sottolinea l’importanza di adottare procedure chiare e trasparenti nella gestione dei dati dei lavoratori, e l’assenza di tali pratiche è stata centrale nel determinare la gravità delle violazioni accertate. Questo caso evidenzia, quindi, un necessario ripensamento da parte delle aziende sulle loro politiche di trattamento e gestione dei dati, affinché non si verifichino situazioni analoghe in futuro.
Le implicazioni future sono molteplici. Non solo altri operatori del settore potranno essere sottoposti a controlli più severi, ma potrebbero anche essere attese sperimentazioni normative e l’introduzione di regolamenti specifici a livello europeo che chiariscano ulteriormente gli obblighi delle piattaforme digitali. In tale contesto, l’approvazione delle nuove direttive dell’Unione Europea per il miglioramento delle condizioni di lavoro sulle piattaforme digitali rappresenta un passo significativo. Queste normative intendono garantire migliori diritti ai lavoratori, inclusi quelli del settore delle consegne e del food delivery.
La vigilanza da parte degli organismi di protezione dei dati, come dimostrato dal caso di Foodinho, non farà che aumentare. Le aziende saranno chiamate a rendere conto delle loro pratiche e, in caso di inadempienze, potranno incorrere in sanzioni anche più severe, rendendo essenziale la conformità alle normative esistenti. Il rispetto della privacy e dei diritti dei lavoratori non è solo un obbligo legale, ma un elemento chiave per costruire una relazione di fiducia tra le imprese e i loro collaboratori.
