Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo

Tempo di lettura stimato:2 Minuti, 48 Secondi

Il provvedimento n. 675 del 13 novembre 2024 del Garante per la Protezione dei Dati Personali, reso pubblico nella giornata di oggi, analizza in profondità i trattamenti di dati personali effettuati da Foodinho S.r.l. attraverso la piattaforma Glovo. Esso si focalizza sull’adeguatezza delle pratiche adottate rispetto alle normative europee e nazionali in materia di privacy, alla luce di un’indagine complessa avviata a seguito di segnalazioni e accertamenti ispettivi.

Contesto del provvedimento

L’indagine si è concentrata su pratiche relative alla gestione dei dati personali dei rider, in particolare l’utilizzo della piattaforma Glovo Courier per monitorare e regolare le attività dei corrieri. Tra i profili emersi:

disattivazione degli account: una questione sollevata è stata la gestione dell’account di un rider deceduto, con l’invio di comunicazioni automatizzate inappropriate;
trattamenti automatizzati: rilevati in strumenti come il punteggio di eccellenza e la geolocalizzazione;
conservazione dei dati: il periodo eccessivamente lungo di conservazione, inclusi dati biometrici e di geolocalizzazione.

Punti Principali

1. Conformità Normativa

Il Garante ha evidenziato che Foodinho S.r.l., in qualità di titolare del trattamento, non ha adeguatamente rispettato il principio di trasparenza (art. 5 GDPR), omettendo informazioni chiare e accessibili nei confronti dei rider. Questo deficit si è manifestato:

nelle informative incomplete o obsolete;
nei “link interrotti” che impedivano l’accesso ai documenti aggiornati.

2. Trattamenti Biometrici

Foodinho ha ripreso il trattamento di dati biometrici attraverso riconoscimento facciale senza aver fornito basi giuridiche solide e proporzionate. Il Garante ha sottolineato la necessità di un rigoroso rispetto dell’art. 9 GDPR, in particolare per trattamenti sensibili.

3. Geolocalizzazione

Il monitoraggio continuo dei rider tramite GPS e la conservazione dei dati fino a 10 anni sono stati giudicati sproporzionati rispetto alle finalità dichiarate. Tali prassi sono risultate incoerenti con il principio di minimizzazione dei dati (art. 5 GDPR).

4. Automatizzazione delle decisioni

Foodinho ha utilizzato il sistema del “punteggio di eccellenza” per valutare i rider, il che ha sollevato dubbi circa possibili decisioni completamente automatizzate in violazione dell’art. 22 GDPR. Il Garante ha richiesto maggiore trasparenza sulle logiche utilizzate e l’introduzione di un controllo umano significativo.

Azioni correttive imposte

Il Garante ha disposto che Foodinho adotti una serie di misure, tra cui:

revisione delle informative per garantire chiarezza e accessibilità in linea con l’art. 13 GDPR;
riduzione dei tempi di conservazione dei dati, specialmente biometrici e di geolocalizzazione, per rispettare il principio di proporzionalità;
adozione di DPIA (Data Protection Impact Assessment) dettagliate per i trattamenti ad alto rischio, come geolocalizzazione e punteggio di eccellenza;
eliminazione di categorie non rilevanti (es. “Bad rating”) dal sistema di gestione degli account dei rider.

Implicazioni pratiche

Il caso rappresenta un precedente significativo per il settore della gig economy, sottolineando l’importanza della protezione dei dati personali in contesti lavorativi non tradizionali. I titolari del trattamento che operano su piattaforme digitali devono:

integrare solide misure di governance dei dati;
assicurarsi che i processi automatizzati rispettino i diritti degli interessati, garantendo supervisione umana.

Il provvedimento n. 675/2024 del Garante rappresenta quindi un monito per tutte le aziende che gestiscono grandi quantità di dati personali in contesti digitali. La tutela della privacy non è solo un obbligo normativo, ma un elemento essenziale per preservare la fiducia degli utenti e dei lavoratori. La conformità richiede un impegno costante per adeguare pratiche operative e strumenti tecnologici alle evoluzioni normative e ai principi fondamentali del GDPR.

Bio
Ultimi Post

Daniele Giordano

⚖️ IT Law a Studio Legale Nappi

*Avvocato, PhD Law, Science and Technology

Ultimi post di Daniele Giordano (vedi tutti)

Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.