g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Foodinho s.r.l. - 10 giugno 2021 [9675440]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9675440]

Ordinanza ingiunzione nei confronti di Foodinho s.r.l. - 10 giugno 2021

Registro dei provvedimenti
n. 234 del 10 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli accertamenti ispettivi effettuati dall’Autorità presso la sede legale di Foodinho s.r.l. in data 16 e 17 luglio 2019;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività ispettiva nei confronti della società.

1.1. Nell’ambito di un’attività di controllo avviata d’ufficio dall’Autorità, in data 16 e 17 luglio 2019 è stato effettuato un accertamento in loco presso Foodinho s.r.l. (di seguito, la società), con sede legale in Italia, che svolge, per mezzo di una piattaforma digitale, attività consistente nella consegna, a seguito degli ordini effettuati dai clienti, di cibo o altri beni forniti da esercenti, avvalendosi di personale a ciò specificamente dedicato (c.d. rider). L’attività di controllo dell’Autorità ha riguardato i trattamenti dei dati personali dei rider.

In sede di accertamento, al quale ha partecipato, mediante collegamento telefonico da Barcellona, anche un membro dell’ufficio legale di GlovoApp23 SL (società che controlla al 100% Foodinho s.r.l.) e nel corso del quale sono stati effettuati accessi diretti ai sistemi informatici, è stato dichiarato che:

a. “il DPO è stato nominato a livello di gruppo, individuato nella persona del dott. Maria Asuncion Rance Gimenez Salinas, ma ancora non è stato comunicato all’Autorità. La società effettuerà tale comunicazione nel più breve tempo possibile” (v. verbale di operazioni compiute 16.7.2019, p. 3);

b. l’ufficio legale della capogruppo, con riferimento alla valutazione di impatto privacy relativa al trattamento dei dati dei riders, ha dichiarato che “la capogruppo non ha ritenuto di predisporre tale documento, sebbene si stia svolgendo, a distanza di un anno dall’entrata in vigore del Regolamento, una complessiva attività di due diligence finalizzata a verificare la compliance delle procedure aziendali al GDPR. […] non è disponibile documentazione a supporto della decisione di non predisporre la DPIA” (v. verbale cit., p. 4);

c. con riferimento alle modalità con cui i dipendenti e i collaboratori della società possono esercitare i diritti previsti dagli artt. 15-22 del Regolamento (Ue) 2016/679 la società ha specificato che “tali modalità sono riportate al paragrafo 10 dell’informativa” rilasciata da Foodinho s.r.l. ai collaboratori (riders) e ai dipendenti (v. verbale cit., p. 4);

d. “il titolare del trattamento dei riders (c.d. glovers) è Foodinho s.r.l. mentre la piattaforma informatica di gestione degli ordini è sviluppata da GlovoApp23, che ne ha la proprietà. […] Foodinho s.r.l. e GlovoApp23 hanno sottoscritto un data processing agreement, in cui la società, per questa tipologia di trattamento, ha nominato GlovoApp23 come responsabile esterno del trattamento” (v. verbale cit., p. 4);

e. “in caso si concluda il contratto [con il rider] la società fornisce l’attrezzatura (kit) che comprende lo zaino e altre attrezzature opzionali. Per tale attrezzatura il rider rilascia una cauzione di circa 65 euro. […] Per prendere in consegna gli ordini i riders devono installare un’apposita app (Glover) […]. Tramite l’app i riders danno la propria disponibilità a effettuare consegne in determinati slot temporali (di un’ora ciascuno), per ciascun giorno della settimana e sulla base della disponibilità di slot. Una volta che lo slot è stato prenotato, il rider può aprire l’app e confermare la disponibilità per iniziare a ricevere ordini da consegnare” (v. verbale cit., p. 5);

f. “l’ordine proposto al rider non presenta tutti i dettagli relativi al punto di ritiro e al punto di consegna […]. Una volta che il rider accetta l’ordine, l’app fornisce l’indirizzo preciso del punto di ritiro e lo comunica tramite l’app, e con il codice dell’ordine, ritira la merce dall’esercente. Quando il rider conferma di aver ritirato la merce, riceve l’indirizzo di consegna preciso e ha la facoltà di decidere di farsi consigliare il percorso migliore. […] tale proposta di percorso è effettuata, al di fuori dell’app Glover, tramite Google Maps o programmi analoghi […]” (v. verbale cit., p. 5);

g. “il mezzo di trasporto utilizzato dai riders è in genere la bicicletta o il ciclomotore e […] tale informazione è utilizzata dall’app per individuare il rider a cui assegnare la consegna […]. L’individuazione delle zone con particolare situazione del traffico, sconsigliate per esempio ai ciclisti, è in capo a Foodinho” (v. verbale cit., p.6);

h. “l’algoritmo di assegnazione delle consegne ai riders è sviluppato e gestito direttamente dalla capogruppo. Foodinho s.r.l. non può in alcun modo modificare l’algoritmo di assegnazione, ma può inserire dei parametri sulla base di una personalizzazione locale. In linea di massima, tale algoritmo tende ad assegnare l’ordine al rider più vicino alla zona di ritiro, salvo aggiustamenti sulla base delle caratteristiche della consegna e altri parametri inseriti dalla stessa Foodinho” (v. verbale cit., p.6);

i. “quando viene proposto l’ordine al rider, gli viene proposto anche l’importo di massima che gli verrà corrisposto. Tale importo è un valore variabile, a discrezione di Foodinho, basato su tre elementi: una quota base, che varia per città, una retribuzione a chilometro, 5 centesimi per ogni minuto di attesa dopo i primi 10/15 presso il ristorante” (v. verbale cit., p.6);

j. “ci sono casi in cui vengono assegnati, a discrezione di Foodinho s.r.l., oltre alla quota descritta, dei bonus, in genere in forma percentuale del corrispettivo, ad esempio in caso di pioggia o in particolari circostanze. L’applicazione dei bonus può essere effettuata da Glovoapp23 su indicazione di Foodinho o direttamente da Foodinho s.r.l.” (v. verbale cit., p.6);

k. “i riders sono pagati ogni 15 giorni, sulla base dei calcoli effettuati in automatico dal sistema di GlovoApp23 in base ai parametri decisi da Foodinho. La fattura e il mandato di pagamento sono predisposti da Foodinho s.r.l.” (v. verbale cit., p.6);

l. “una volta sottoscritto il contratto, il rider viene convocato per un colloquio, durante il quale vengono consegnati i materiali e la password per il primo accesso all’app Glover, da modificare obbligatoriamente” (v. verbale cit., p.7);

m. con riferimento alle modalità con cui viene assegnato ai riders il punteggio, la società ha specificato che “il punteggio dei riders inizialmente è un valore di default, assegnato a tutti i riders di nuovo reclutamento. Successivamente tale valore viene incrementato sulla base dei feedback dati dai clienti (15%) (pollice alto o pollice basso), dagli esercenti (5%), ore di alta richiesta stabiliti dai partners (35%), ordini consegnati (10%), produttività della piattaforma (35%). Tali parametri vengono indicati da Foodinho s.r.l.. A chi fornisce un feedback negativo viene chiesto di indicare le motivazioni di tale valutazione. […] non tutte le motivazioni fornite concorrono al punteggio del rider” (v. verbale cit., p.7, 8);

n. la società ha fornito l’elenco delle motivazioni “stabilite da Foodinho, relative ad una valutazione negativa (pollice basso) da parte dei clienti, [precisando che] solo le prime due concorrono al punteggio del rider: corriere poco professionale; i prodotti non sono stati trasportati correttamente; ordine non consegnato; la consegna ha impiegato troppo tempo; problema con il pagamento; campo libero”; la società ha altresì fornito l’elenco delle motivazioni relative “ad una valutazione negativa (pollice basso) da parte degli esercenti [precisando che] solo le prime due concorrono al punteggio del rider: rider senza zaino; rider non professionale; rider non ha fatto la foto dello scontrino prima di partire; altro” (v. verbale cit., p. 8);

o. nel corso dell’accesso alla piattaforma Admin - che consente alla società la gestione degli esercenti e dei rider - con le credenziali di profilo del General Counsel e di un addetto di Operations, costituite da un userid, corrispondente all’email aziendale, e da una password, è stato accertato che “con il profilo General Counsel è possibile inserire nuove città e nuovi esercizi commerciali, definendone le caratteristiche. È stato verificato che la piattaforma consente di visualizzare i dati dei riders di tutti i paesi in cui Glovo è attiva (anche extra UE), selezionando il Paese di interesse da un menu a tendina, potendo accedere agli stessi dettagli con cui sono visualizzati i riders del proprio Paese. È stata visualizzata la funzionalità di live map che consente di vedere posizionati sulla mappa di interesse gli ordini in corso e i riders attivi nello slot attuale. È stato verificato che tale mappa si aggiorna con il posizionamento aggiornato dei riders. [La società] ha precisato che tale funzionalità è necessaria per la gestione di eventuali problematiche nel corso della consegna di un ordine” (v. verbale cit., p. 8, 9);

p. la società ha precisato che “la geolocalizzazione dei riders si attiva quando il rider è attivo nel turno prescelto, al fine di individuare il rider più vicino alla posizione del ritiro, mentre la memorizzazione della posizione si attiva solo durante un ordine in corso, ovvero fra l’accettazione dell’ordine e la consegna dello stesso” (v. verbale cit., p. 9);

q. nel corso dell’accesso diretto alla piattaforma Admin “è stata visualizzata anche la scheda di una consegna in corso, che riporta la mappa del percorso effettuato dal rider” (v. verbale cit., p. 9);

r. con riferimento alle finalità del punteggio assegnato ai riders la società ha dichiarato che “il punteggio «di eccellenza» serve al rider ad avere priorità nella scelta degli slot. Infatti Foodinho, sulla base dell’analisi dello storico degli ordini e dei tassi di abbandono (riders che non si presentano nello slot o rifiutano l’ordine) è in grado, in linea di massima, di prevedere il numero di rider necessari in ogni slot. Quindi, in base a tali stime, vengono aperte nel calendario settimanale un certo numero di disponibilità per ogni slot. Un punteggio più alto dà al rider la possibilità di visualizzare il calendario, con le relative disponibilità, in anticipo rispetto agli altri” (v. verbale di operazioni compiute 17.7.2019, p. 2);

s. “in Italia, per non penalizzare troppo i riders di nuovo reclutamento, è stato deciso di lasciare una parte delle disponibilità per ogni slot liberamente prenotabile dai rider, indipendentemente dal punteggio, prevedendo quindi due momenti distinti di prenotazione: la prima, con più slot prenotabili con priorità basata sul punteggio e la seconda successiva, con gli slot residui, senza priorità basata sul punteggio e quindi aperta a tutti” (v. verbale cit., p. 2);

t. “l’assegnazione del punteggio è generalmente automatizzata, una volta stabiliti i relativi parametri stabiliti da Foodinho manualmente, ferma la possibilità da parte di Foodinho di intervenire manualmente (ad esempio in caso di segnalazione da parte di un rider in seguito ad una valutazione negativa). Il sistema effettua il calcolo a partire da almeno 50 ordini effettuati e si basa solo sugli ultimi 50 ordini consegnati dal rider. Il rider ha accesso al punteggio con uno spaccato tra le componenti anche per eventuali contestazioni, e in nessun modo ha accesso al soggetto che ha espresso un giudizio” (v. verbale cit., p. 3);

u. “è stato verificato che con il profilo assegnato alla General Manager non è possibile accedere al punteggio dei rider, che è conservato in un file Excel memorizzato su Google docs e predisposto sui dati conservati nella piattaforma Admin. A tale file si può accedere con le credenziali dell’Head of Operations” (v. verbale cit., p. 3);

v.nel corso dell’accesso diretto a Google docs per verificare le modalità con cui vengono visualizzati i punteggi dei riders e i tempi di conservazione delle valutazioni e dei punteggi relativi ad un rider “è stato verificato che tale file presenta punteggi su una scala da 0 a 100 e mostra i feedback degli ultimi 50 ordini” (v. verbale cit., p. 3);

w. la società ha precisato che “per quanto riguarda il punteggio relativo alla «Reliability», determinato dai parametri «Rejections Coefficient», «Reassignment Coefficient», Foodinho si riserva il diritto di penalizzare nel caso in cui un rider non sia disponibile nel turno autonomamente prenotato. Il punteggio relativo alla «Seniority» tiene conto dell’esperienza acquisita con la consegna degli ordini e si basa sul numero di ordini effettivamente consegnati. Tale voce, che vale il 10% del punteggio complessivo, stabilisce, in base ai parametri impostati da Foodinho, il numero di ordini che corrispondono al massimo del punteggio (il 15° percentile)” (v. verbale cit., p. 3);

x. “è stato verificato che i parametri relativi al punteggio di Seniority possono essere modificati, operando, nella piattaforma Admin, sulle impostazioni relative ad una specifica città, tramite la voce «Seniority threshold»” (v. verbale cit., p. 3);

y. la società ha dichiarato che “sul sistema Admin, i dati degli ordini sono conservati fino a 4 anni dalla chiusura del rapporto di lavoro con il rider” (v. verbale cit., p. 4);

z. “a partire dalla mappa degli ordini sulla piattaforma Admin, è stato visualizzato, con le credenziali [Operation], l’ordine in corso da parte di un rider, visualizzando il percorso effettuato, nonché la sua posizione istantanea, rilevata dal sistema. Sono state visualizzate le diverse informazioni relative all’ordine. È stato verificato che la mappa relativa al percorso effettuato è conservata per circa 10 mesi, trascorsi i quali vengono conservate solo le posizioni relative al punto di ritiro e di consegna” (v. verbale cit., p. 4);

aa. “la funzione «Wake up couriers» manda una notifica ai riders che hanno prenotato uno slot e non sono attivi ma non è utilizzata dagli operatori di Operations in Italia” (v. verbale cit., p. 4);

bb. “la posizione dei riders sulla mappa viene aggiornata circa ogni 15 secondi” (v. verbale cit., p. 4);

cc. la società ha specificato che “è visibile il punteggio solo se il rider è ancora attivo […]” (v. verbale cit., p. 4);

dd. “il rider, a seconda delle tematiche sulle quali chiede assistenza, ha a disposizione diversi canali di comunicazione. Ad esempio, per problematiche durante l’ordine, il rider ha a disposizione una chat con il customer service. Mentre per problemi che non sono relativi alle consegne in corso, ad esempio per il punteggio o le fatture, i rider possono inviare email a Foodinho o recarsi presso lo sportello dedicato” (v. verbale cit., p. 4, 5);

ee. “il customer service è gestito da GlovoApp23 che si occupa di interfacciare i riders nel corso dell’ordine e […] Foodinho ha accesso live alla chat per i riders. I costi del servizio di customer care sono sostenuti da Foodinho s.r.l.” (v. verbale cit., p. 5);

ff. “il customer care può telefonare ai rider, ad esempio per intervenire nella gestione di un ordine problematico, e […] le telefonate sono registrate e conservate da GlovoApp23. […] Nessun dipendente di Foodinho ha le credenziali per accedere a[lla] piattaforma [di conservazione delle telefonate], e un eventuale riascolto di una telefonata è possibile solo attraverso una procedura che prevede l’invio di una specifica richiesta a GlovoApp23 per email” (v. verbale cit., p. 5);

gg. con riferimento ai casi predefiniti in cui il customer care contatta telefonicamente il rider, la società ha specificato che “tali contatti telefonici possono avvenire solo per ordini in corso in caso di problematiche che non si riescono a definire via chat” (v. verbale cit., p. 5);

hh. “il tool di utilizzo per canali mail e chat è la piattaforma Kustomer” (v. verbale cit., p. 5);

ii. “è stato verificato che dalla scheda dell’ordine su Admin è possibile accedere all’eventuale conservazione in chat relativa all’ordine stesso [e] che dal sistema Kustomer, utilizzato da Foodinho per scambiare email con i rider, è possibile accedere anche alle conversazioni in chat” (v. verbale cit., p. 5);

jj. la società ha precisato che “i dati delle chat e delle email sono conservati per 4 anni dalla cessazione del rapporto di lavoro” (v. verbale cit., p. 6);

kk. “la società sta valutando quale può essere un lasso di tempo congruo di inattività del rider per considerare concluso il rapporto di lavoro […] al momento, infatti, a meno di un’azione positiva da parte del rider, il rapporto di lavoro si considera in corso per il sistema anche con lunghi periodi di inattività” (v. verbale cit., p. 6);

ll. con riferimento al termine di conservazione di quattro anni la società ha dichiarato che “tale termine è stato stabilito da Foodinho” (v. verbale cit., p. 6);

mm. l’ufficio legale della capogruppo, con riferimento alla possibilità che anche gli operatori degli altri Paesi in cui è attivo il servizio possano accedere ai dati dei riders di qualunque città, UE e extra UE, ha dichiarato che “alcuni specifici profili (ad esempio General Manager e Head of Operation) possono accedere ai dati dei diversi Paesi, anche per rendere possibili analisi complessive […] nel corso di specifiche riunioni fra le figure apicali dei diversi Paesi” (v. verbale cit., p. 6);

nn. l’ufficio legale della capogruppo ha altresì dichiarato che “GlovoApp23 utilizza clausole contrattuali standard nei confronti dei Paesi extra UE” (v. verbale cit., p. 6).

1.2. Nel corso dell’accertamento ispettivo è stata acquisita la seguente documentazione:

a. copia del contratto di “prestazione d’opera” stipulato tra Foodinho s.r.l. e un rider in data 22.5.2018;

b. fac-simile di un contratto di “prestazione d’opera”;

c. copia del documento denominato “Data Protection Information and Policy for Employees” in lingua inglese;

d. copia del documento denominato “Personal Data Treatment & Communications and Use of Equipment Policy” in lingua inglese;

e. copia del documento denominato “Record of Processing Activities” in lingua inglese;

f. copia dell’informativa relativa al trattamento dei dati personali per collaboratori di Foodinho s.r.l.;

g. copia del documento denominato “Software Licenze Agreement” in lingua inglese;

h. copia degli screenshot degli accessi effettuati sui sistemi il 16.7.2019 e il 17.7.2019.

1.3.1. In data 12 agosto 2019, sciogliendo la riserva effettuata in sede di accertamenti ispettivi, la società ha inviato all’Autorità la seguente documentazione:

a. copia della nomina del Data Protection Officer (All. 1);

b. “organigramma di GlovoApp23” (All. 2);

c. “organigramma di Foodinho s.r.l.” (All. 3);

d. descrizione dell’algoritmo implementato per stabilire l’assegnazione degli ordini ai riders (All. 4);

e. descrizione dell’algoritmo implementato per stabilire l’assegnazione del punteggio dei riders (All. 5);

f. informazioni sui contratti sottoscritti con i riders e sui riders attivi nei periodi di interesse (All. 6-7);

g. elenco dei profili di accesso e dei diritti dei dipendenti di Foodinho s.r.l. (All. 8);

h. clausole contrattuali standard per il trasferimento di dati all’estero sottoscritte dai soggetti a cui i dati personali dei riders sono trasferiti (All. 9);

i. architettura del sistema utilizzato da GlovoApp23 SL per la gestione dei riders (All. 10);

j. “informazioni relative alla piattaforma di gestione delle telefonate” (All. 11-12-14);

k. documentazione inerente al periodo di conservazione dei dati personali dei riders (All. 13);

l. valutazione preliminare dei rischi relativa al trattamento dei dati personali dei riders (All. 15).

1.3.2. È stata, altresì, fornita la traduzione dei documenti già consegnati all’Autorità in lingua inglese nel corso degli accertamenti ispettivi:

a. Data Protection Information and Policy for Employees – Informativa e politica sulla protezione dei dati dei dipendenti;

b. Data Processing Agreement – Accordo per il trattamento dei dati;

c. Personal Data treatment & communication and use of equipment policy – Politiche di trattamento e comunicazione dei dati personali e uso delle apparecchiature;

d. Record of processing activities – Registro delle attività di trattamento;

e. Software license agreement – Contratto di licenza software.

2. Avvio del procedimento per l’adozione dei provvedimenti correttivi.

2.1. Il 9 novembre 2020 l’Ufficio ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c) e e) (principi di liceità, correttezza e trasparenza, principio di minimizzazione e principio di limitazione della conservazione); 13 (informativa); 22 (processo decisionale automatizzato compresa la profilazione); 25 (privacy by design e by default); 30 (registro delle attività di trattamento); 32 (sicurezza del trattamento); 35 (valutazione di impatto sulla protezione dei dati); 37 (responsabile della protezione dei dati); 88 (disposizioni più specifiche a livello nazionale) del Regolamento; art. 114 (garanzie in materia di controllo a distanza) del Codice.

Con memorie difensive dell’11 marzo 2021, la società, rappresentata e difesa dall’avvocato XX, ha dichiarato che:

a. “Foodinho è una società la cui attività principale consiste nello sviluppo e nella gestione di una piattaforma […]” (nota 11.3.2021, p. 1);

b. “Foodinho, pertanto, tramite l’utilizzo di tecnologie già note e utilizzate nel settore dei trasporti – quali, ad esempio, i sistemi di geolocalizzazione e i servizi di customer care istantaneo – gestisce (in modo innovativo) il c.d. “ultimo miglio” agevolando l’incontro tra domanda ed offerta nel settore della delivery – trasformata, pertanto, in “instant” delivery”” (nota cit., p. 1);

c. “La Società – attiva in Italia solo dal 2016 – è controllata dalla società spagnola GlovoApp23 S.L. (la “Capogruppo”) e svolge l’attività sopra descritta avvalendosi di una infrastruttura tecnologica (principalmente software) licenziata da quest’ultima e in costante aggiornamento” (nota cit., p. 2);

d. “premesso che durante l’Ispezione non è stata richiesta copia dell’informativa sottoscritta da un interessato, ma una “copia (ndr. standard) dell’informativa al trattamento dei dati personali per collaboratori (riders) di Foodinho”, va precisato che l’esigenza della sottoscrizione sussisterebbe solo nel caso in cui venisse adottata la base giuridica del consenso per legittimare il trattamento o, tutt’al più, al fine di provare di averla resa ad uno specifico interessato. Non essendo stato chiesto di fornire prova in tal senso e non avendo adottato – conformemente alle indicazioni del Garante – la base giuridica del consenso (trattandosi di trattamenti svolti nell’ambito di un rapporto contrattuale tra i rider e la Società), non si comprende il senso della contestazione e, quindi, della ravvisata violazione. Con riferimento poi alla contestazione […] relativa alla mancata indicazione delle modalità con cui era resa l’informativa agli interessati, va osservato che detta informazione non è stata richiesta alla Società nel corso dell’Ispezione” (nota cit., p. 3);

e. “si segnala che al tempo dell’Ispezione l’informativa era resa e messa a disposizione degli interessati nella pagina di registrazione all’applicazione utilizzata dai rider per lo svolgimento della loro attività” […] Per scrupolo di completezza, va osservato che attualmente l’informativa viene resa – oltre che nel suddetto form di registrazione all’Applicazione e attraverso diverse ulteriori fonti di informazione, come precisato nel prosieguo – sia al seguente link https://glovers.glovoapp.com/it/privacy, sia come allegato al contratto di prestazione d’opera dei rider” (nota cit., p. 3);

f. quanto alla contestata omessa indicazione delle concrete modalità del trattamento dei dati personali relativi alla posizione geografica, “la Società ha ritenuto che spiegare in modo dettagliato – nell’informativa resa digitalmente tramite l’Applicazione – le modalità di funzionamento della geolocalizzazione dei rider (e le indicazioni tecniche relative al trattamento dei dati derivanti dalle stesse) avrebbe reso l’informativa poco fruibile e difficilmente comprensibile per gli interessati, ponendosi in contrasto proprio con quel principio di trasparenza che il Garante ritiene essere stato violato, oltre all’esigenza di chiarezza” (nota cit., p. 4);

g. “le informazioni sul trattamento dei dati personali di geolocalizzazione – di per sé connaturato alla tipologia del servizio reso dai rider – venivano fornite durante colloquio che precede l’iscrizione all’Applicazione, nonché in occasione delle specifiche sessioni di formazione erogate ai rider nell’ambito della fase di onboarding (sub doc. 3)” (nota cit., p. 4);

h. “È poi anche possibile sostenere che ai sensi dell’art. 13, par. 4 del Regolamento, non è necessario fornire all’interessato informazioni che lo stesso già possiede. Al riguardo è chiaro che i rider erano e sono consapevoli dell’attività di geolocalizzazione” (nota cit., p. 4-5);

i. quanto alla contestata omessa indicazione “(i) del trattamento dei dati relativi alle comunicazioni intercorse tra rider e call center, e (ii) del trattamento dei dati relativi alle valutazioni espresse sui rider da esercenti e clienti, nonché del fatto che dette valutazioni comportavano l’assegnazione di un punteggio che influisce sulla priorità di prenotazione degli slot di consegne[,] si segnala che dette informazioni sono ed erano, in realtà, rese durante il colloquio che precede l’iscrizione all’Applicazione e in sede di onboarding, nonché nell’Applicazione stessa” (nota cit., p. 5);

j. quanto alla contestata omessa indicazione dei dati di contatto del responsabile della protezione dei dati “La nomina del responsabile della protezione dei dati ex art. 37 del Regolamento è stata demandata – per ragioni organizzative – alla Capogruppo, la quale ha proceduto a nominare, il 23 maggio 2019, un responsabile della protezione dei dati per l’intero gruppo. Al momento dell’Ispezione, tuttavia, la Capogruppo non aveva ancora comunicato i dati di contatto dello stesso alla Società, la quale, pertanto, non aveva ancora potuto procedere all’aggiornamento dell’informativa e, in generale, della documentazione di compliance” (nota cit., p. 5);

k. “poiché il trattamento dei dati personali dei rider è svolto, in sostanza, per un’unica finalità – appunto di gestione del rapporto contrattuale – la Società ha deciso di adottare un unico termine di conservazione dei dati personali” (nota cit., p. 6);

l. “Il termine di conservazione relativo ai trattamenti effettuati per finalità di gestione del rapporto è dettato da specifiche norme di legge (si pensi, ad esempio, a quelle in materia fiscale, previdenziale, etc.) o, comunque, da norme generali dell’ordinamento che forniscono un’indicazione circa il ragionevole periodo di tempo entro cui i dati possono ritenersi ancora “utili” per il titolare (si pensi, ad esempio, all’art. 2946 del Codice Civile […], oppure dall’art. 2948, co. 1, n. 4 del Codice Civile […]). La Società, al tempo dell’Ispezione, aveva prudenzialmente cercato di stare anche al di sotto dei termini di conservazione dei dati di dieci anni e cinque anni (che pur avrebbe potuto lecitamente adottare per la quasi totalità dei trattamenti – e.g., controllo e gestione degli incidenti, gestione del rapporto con i rider, e gestione fiscale e contabile, gestione contributiva e retributiva). Tale scelta è stata dettata dal fatto che la Società […] stava (e per alcuni aspetti sta ancora) valutando l’effettiva necessità di conservare i dati personali trattati per tale finalità per i termini suddetti. Pertanto, nel rispetto del principio di minimizzazione del trattamento, di cui all’art. 5, par. 1, lett. c) del Regolamento, nonché del principio di privacy by design di cui all’art. 25, par. 1 del Regolamento […] la Società ha deciso di adottare in via preliminare un termine di conservazione “cautelativo” di 4 anni. Nel 2021, anche all’esito del presente procedimento, la Società concluderà le proprie valutazioni circa le tempistiche di conservazione da adottare (e in parte già adottate)” (nota cit., p. 6);

m. quanto alla contestata omessa indicazione “circa la necessità di conservare i dati relativi al percorso effettuato dai rider per ciascun ordine, per un periodo di dieci mesi decorrenti dalla consegna dell’ordine […] non avendo alcuna possibilità di influire sulla scelta del percorso da parte del rider, la Società ha necessità di conservare questi dati per un tempo che le permetta di rispondere ad eventuali reclami dei clienti, ad esempio in caso di mancata consegna degli ordini, o di fornire indicazioni alle autorità pubbliche e alle compagnie assicurative che dovessero farne richiesta, in caso di incidenti verificatisi nel corso della consegna (come già accaduto) o anche per valutare la correttezza dei compensi corrisposti ai rider. Anche questa tipologia di dati rientra tra quelli necessari alla gestione del rapporto tra la Società e i rider. Il termine di conservazione degli stessi, pertanto, avrebbe potuto essere astrattamente uguale a quello adottato per il trattamento di tutti gli altri dati necessari alla medesima finalità, come precedentemente descritto. Nonostante ciò, e sempre nel rispetto dei principi di minimizzazione e di privacy by design, la Società ha prudenzialmente stabilito un termine di conservazione di soli dieci mesi (e non quattro anni)” (nota cit., p. 6-7);

n. “il rapporto contrattuale con i rider soggiace all’ordinaria normativa civilistica in materia di cessazione del contratto di durata, che prevede in caso di mancata predeterminazione della durata, la facoltà per ciascuna parte di recedere dal rapporto con congruo preavviso”; inoltre “al momento dell’Ispezione (e, dunque, nel 2019) il trattamento dei dati avveniva, in ogni caso, nel rispetto dei termini di conservazione adottati” (nota cit., p. 7);

o. “la Società adotta una politica e un sistema di segregazione degli accessi – in continuo aggiornamento dato il breve periodo di attività della stessa e la sua rapida evoluzione - che limita l’accesso ai sistemi di gestione alle sole figure (appositamente formate in materia di protezione dei dati personali) che, nell’ambito della loro funzione, necessitano di trattare determinati dati personali. Ad esempio, come appurato durante l’Ispezione, il general manager della Società, […], nonostante il suo ruolo apicale, non ha accesso all’applicativo “Aircall” di gestione delle comunicazioni tra rider e la Società (sub doc. 6 e fig. 3)” (nota cit., p. 8);

p. “Il numero [di dipendenti che hanno accesso diretto ai sistemi di gestione degli ordini], seppur in sé apparentemente elevato, è proporzionato alle necessità operative della Società. Infatti, l’attività della Società impone l’adozione di un sistema di efficiente gestione degli ordini e tempestiva customer care (sia lato clienti, sia lato esercenti) in grado di garantire un’efficace esecuzione del servizio e di intervenire in tempi estremamente rapidi qualora vi siano problemi durante lo stesso. Pertanto, alla luce del numero ingente di rider iscritti all’Applicazione al tempo dell’Ispezione – pari a 18.684 – il numero di dipendenti che avevano accesso ai sistemi di gestione degli ordini era adeguato a garantire la tempestività del servizio (ogni operatore può di fatto dover fornire assistenza a oltre 30 rider contemporaneamente)” (nota cit., p. 8);

q. “ferma restando l’assoluta discrezionalità della Società di assegnare i profili di accesso nel modo più funzionale alle sue esigenze nel rispetto del principio di minimizzazione – si segnala che i due applicativi [ndr: Admin e Kustomer] sono tra loro complementari. Difatti, come si evince dagli screenshot acquisiti durante l’Ispezione (sub doc. 10), il sistema Admin – consistente in un live database in cui sono presenti dati di partner, rider, nonché informazioni di natura finanziaria – permette la gestione dell’intero ciclo di ciascun ordine (end-to-end), mentre il sistema Kustomer – sistema di customer service management – consente lo scambio di comunicazioni via e-mail o chat tra rider, utenti e Società relative a un determinato ordine. È evidente, dunque, che per l’erogazione dei servizi di cui sopra sia necessario l’accesso contestuale di detti operatori ai due applicativi” (nota cit., p. 9);

r. “l’accesso ai dati dei rider di paesi diversi da quello dove ha sede la Società era (ed è) limitato alle sole figure apicali della stessa e, quindi, a un numero estremamente limitato di operatori. Tale accesso è necessario per (i) effettuare complessive analisi dei dati nel corso di specifiche riunioni fra le figure apicali dei diversi paesi in cui opera il gruppo di cui la Società fa parte, e (ii) per consentire l’interscambiabilità dei dati dei rider nell’ambito di eventuali opportunità di mobilità degli stessi tra i diversi paesi in cui operano le società del gruppo. Nonostante tale necessità, la Società ha recentemente introdotto, il meccanismo di c.d. “city permission” sviluppato dalla Capogruppo, che consente di limitare ulteriormente, su base territoriale, l’accesso ai dati dei soli rider attivi nel paese in cui la stessa opera; meccanismo che è stato ritenuto dall’AEPD […] idoneo a minimizzare i trattamenti effettuati” (nota cit., p. 9-10);

s.con riferimento alla necessità di effettuare una valutazione di impatto privacy “il funzionamento dell’Applicazione è uniformato a livello globale nei suoi aspetti principali e, pertanto, le valutazioni circa gli impatti del suo utilizzo sui diritti e le libertà degli interessati competono alla Capogruppo. […] quest’ultima […] nel documento “Couriers Professional Data – Preliminary Analysis on privacy impact assessment” (sub doc. 12), […] non [ha] ritenuto necessario procedere con l’effettuazione di una valutazione di impatto. Detto documento è stato, inoltre, oggetto di valutazione da parte dell’autorità di controllo spagnola, la quale ha condiviso la conclusione a cui era giunta la Capogruppo […]. La Società, dunque, si è in generale allineata alle valutazioni effettuate dalla Capogruppo”; “Per quanto riguarda, invece, le singole e secondarie configurazioni dell’Applicazione su cui la Società potrebbe avere margine di intervento (come, ad esempio, l’attivazione/disattivazione della funzione “Wake Up Courier”), la Società non ha ritenuto necessario procedere all’effettuazione della valutazione d’impatto data la loro marginalità nel trattamento dei dati” (nota cit., p. 10);

t. “i trattamenti di cui si discute non rientrano tra quelli per i quali è obbligatorio effettuare una valutazione di impatto. Non si può sostenere, infatti, che l’Applicazione e la geolocalizzazione costituiscano “nuove tecnologie” ai sensi dei Considerando 89 e 91 del Regolamento […]” (nota cit., p. 10);

u. “Né […] si potrebbe sostenere l’obbligo di effettuare una valutazione di impatto in considerazione del fatto che il trattamento è effettuato nell’ambito di un rapporto di lavoro (non sussistente in questo caso) o di collaborazione. Infatti, l’adozione di dette tecnologie nell’ambito del rapporto contrattuale in essere è soggetta all’obbligo di effettuare una valutazione d’impatto esclusivamente quando la stessa possa comportare un controllo a distanza dei rider […]. […] in questo caso l’adozione di dette tecnologie […] non è volta ad effettuare alcun controllo a distanza sui rider, ma è connaturata alla loro attività e necessaria allo svolgimento della prestazione lavorativa” (nota cit., p. 11);

v. “l’Excellence Score è relativo non già alla valutazione del rider in sé (e/o delle sue caratteristiche personali), quanto piuttosto (i) alle modalità di esecuzione del servizio reso attraverso l’Applicazione e (ii) alla valutazione delle qualità del servizio stesso” (nota cit., p. 11);

w. “la decisione assunta dall’algoritmo non può considerarsi basata unicamente su un trattamento automatizzato. […] Per il funzionamento dell’Excellence Score è, infatti, necessaria un’attività umana sia per la pre-impostazione dei parametri dello stesso (effettuata dalla Capogruppo), sia per la (eventuale) personalizzazione e successiva rimodulazione di detti parametri, effettuata dalla Società sulla base di esigenze locali”; “anche a voler assumere che l’Excellence Score determini un trattamento automatizzato […], lo stesso non sarebbe in ogni caso effettuato in violazione dell’art. 22 del Regolamento. Difatti […] detto trattamento sarebbe necessario all’esecuzione del contratto tra la Società e i rider” (nota cit., p. 12);

x. “la Società ha garantito all’interessato il diritto ad ottenere l’intervento umano, il diritto di esprimere la propria opinione e di contestare la decisione, dedicando a tali finalità un customer care che fornisce supporto immediato attraverso un’apposita chat accessibile tramite l’Applicazione, nonché un indirizzo e-mail e sportelli dedicati” (nota cit., p. 12);

y. “l’Excellence Score incide sull’assegnazione degli slot solo qualora «in una determinata fascia oraria, si sono iscritti più rider del necessario, per favorire i rider con il miglior punteggio di eccellenza» [documento AEPD, par. VI, pag. 32]. Esso si limita ad attribuire ai rider un ordine di priorità nella scelta degli slot di consegna, lasciando in ogni caso parte delle disponibilità per ogni slot prenotabile a prescindere dal punteggio del rider (anche al fine di non penalizzare i nuovi iscritti). Per quanto riguarda le modalità di calcolo dell’Excellence Score, l’assegnazione del punteggio a ciascun rider (inizialmente costituito da un valore di default configurabile per città) è effettuata tramite la valutazione congiunta – relativa solo agli ultimi 50 ordini consegnati – di cinque parametri aventi diverso valore percentuale: (i) feedback degli esercenti (5%)33; (ii) feedback dei clienti (15%); (iii) rendimento (eficiencia) (35%); (iv) operatività nelle fasce ad alta richiesta (35%); e (v) storico degli ordini (10%)” (nota cit., p. 13);

z. “lungi dall’avere «un effetto significativo sulla persona dell’interessato proponendo o negando l’accesso alle fasce orarie» – l’Excellence Score è uno strumento funzionale all’attività della Società volto, in caso di eccedenza di rider per un determinato slot, a permettere l’equità e l’efficiente gestione del servizio” (nota cit., p. 13);

aa. “le attività inerenti la nomina e la comunicazione (formale) al Garante dei dati del DPO sono di esclusiva competenza della Capogruppo […]. E tuttavia, nell’ottica di una completa e trasparente collaborazione con il Garante, la Società ha proceduto a comunicare informalmente i contatti del DPO già durante l’Ispezione, nonostante non avesse avuto alcuna indicazione al riguardo dalla Capogruppo. […] in data 23 maggio 2019 – e, quindi, prima dell’Ispezione – la Capogruppo ha proceduto alla nomina del DPO per l’intero gruppo” (nota cit., p. 14);

bb. con riferimento alla predisposizione del registro dei trattamenti “non risulta essere previsto dalla Normativa Privacy alcun obbligo di sottoscrizione del registro”; “per quanto riguarda […] l’indicazione del responsabile della protezione dei dati e dei suoi contatti, […] data la competenza esclusiva della Capogruppo per la nomina e la comunicazione dei suoi dati al Garante, la Società non ha potuto integrare il registro dei trattamenti fino al completamento di dette formalità da parte della Capogruppo. Per scrupolo di completezza, si segnala che ultimate dette formalità la Società ha proceduto ad integrare il registro dei trattamenti”; “il registro è, in realtà, organizzato per sezioni relative a ciascuna categoria di interessato. Ogni sezione è chiaramente individuata […] da un riquadro giallo posizionato al centro della pagina […], all’interno del quale è presente la categoria di interessati cui la sezione si riferisce. Ancora, […], il registro individua specificamente le (sei) finalità del trattamento dei dati dei rider”; “i dati “personali” di cui si assume la mancanza nel registro del trattamento – ossia “i dati relativi alle comunicazioni intercorrenti tra i rider e il customer care attraverso chat ed email”, “i dati c.d. esterni delle telefonate”, “i dati utilizzati nel c.d. sistema d’eccellenza” e “gli specifici dati relativi ai dettagli degli ordini rilevati attraverso l’app” – non sono in sé dati personali ex art.4, par. 1 del Regolamento. Infatti, […] né il contenuto delle comunicazioni (chat/telefonate), né i dati del sistema di eccellenza (punteggi di valutazione) o relativi agli ordini possono, in sé, permettere l’identificazione di una persona fisica, poiché non comunicano alcuna informazione riferibile ad essa” (nota cit., p. 14-15); “Inoltre, anche assumendo che i dati relativi alle comunicazioni siano qualificabili come dati personali, il loro trattamento è in ogni caso già mappato nel registro dei trattamenti nell’ambito dei trattamenti effettuati per la gestione degli ordini, dei reclami e delle eventuali lamentele dei clienti e/o delle richieste dei rider” (nota cit., p. 17); “la mancanza delle misure di sicurezza nel registro è dovuta al fatto che al tempo dell’Ispezione la Società operava in Italia da soli 3 anni e, pertanto, stava ancora valutando diversi provider di servizi IT di sicurezza, al fine di individuare – anche in accordo con la Capogruppo – quelli più adeguati alla natura/tipologia del trattamento svolto” (nota cit., p. 18);

cc. “la qualificazione del rapporto tra la Società e i rider […] in termini di rapporto di collaborazione coordinata e continuativa etero-organizzata, non è corretta”; “Il rapporto intercorrente tra la Società e i rider è un rapporto di lavoro autonomo di prestazione d’opera/servizio ai sensi dell’art. 2222 c.c. non presenta alcuna delle caratteristiche delle c.d. co.co.co ex art. 409 c.p.c e tantomeno il requisito dell’etero-organizzazione da parte del committente di cui al citato art. 2 D. Lgs. 81/2015” (nota cit., p. 18);

dd. con riferimento alla ritenuta insussistenza dei requisiti del rapporto di collaborazione coordinata e continuativa “è pacifico che i mezzi (bicicletta/moto/autovettura + smartphone) siano di proprietà dei rider e che essi siano del tutto necessari per lo svolgimento della prestazione. Il che esclude che l’attività personale sia prevalente sui mezzi utilizzati”; “nel caso dei rider […] il contratto sottoscritto ha semplicemente una funzione normativa ossia quella di fissare le regole della prestazione se e quando verrà richiesta e se e quando verrà accettata dai rider, i quali appunto sono liberi di decidere se e quando svolgere la prestazione” (nota cit., p. 19);

ee. “la piattaforma non è altro che un software che semplicemente assegna incarichi di consegna provenienti dai clienti più velocemente di quanto potrebbe fare una persona fisica, senza operare nessuna determinazione della prestazione e tantomeno nessuna organizzazione della stessa” (nota cit., p. 20);

ff. il richiamo operato dal Garante alla sentenza della Corte di Cassazione 24 gennaio 2020, n. 11663, “è anzitutto inconferente, in quanto avente a oggetto un rapporto di co.co.co e non rapporti di prestazione d’opera”; “appare evidente che gli elementi di fatto su cui la Suprema Corte ha fondato il giudizio di etero-organizzazione per i rider di Foodora sono del tutto assenti nel modello di business della Società” considerato che: “i rider di Foodinho poss[o]no collegarsi da qualunque parte della città (quindi non vi è predeterminazione di luogo)”, “il fatto che poi i rider debbano consegnare in un determinato luogo non è un elemento estrinseco della prestazione che possa essere oggetto di direttiva discrezionale da parte del committente ma un elemento essenziale della stessa prestazione: in mancanza di indicazione del destinatario, l’oggetto della prestazione dedotta nel contratto di prestazione d’opera sarebbe del tutto indeterminato”, “non vi è pacificamente alcuna imposizione in merito ai tempi di esecuzione della prestazione (e tantomeno l’applicazione di penali), salvo il fatto […] che ovviamente il cibo deve essere consegnato il prima possibile” (nota cit., p. 20-21);

gg. “ulteriore conferma della corretta qualificazione del rapporto di collaborazione effettuata dalla Società […] è data dalla recente entrata in vigore del nuovo CCNL c.d. rider, che ha formalmente […] cristallizzato detta qualificazione” (nota cit., p. 21);

hh. “anche a voler […] ritenere applicabile la disciplina del rapporto di lavoro subordinato al rapporto intercorrente tra i rider e la Società, non sussisterebbe alcuna violazione dello Statuto […]. L’art. 4, co. 2 dello Statuto prevede, infatti, una specifica deroga alla disciplina generale nei casi in cui il controllo a distanza sia effettuato attraverso «strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa». Deroga, questa, riscontrabile nel caso di specie”; “Difatti, il sistema di geolocalizzazione è strettamente funzionale allo svolgimento della prestazione lavorativa”; si ritiene infine priva di fondamento la prospettata violazione dell’art. 88 del Regolamento, “tale articolo, infatti, lungi dall’imporre specifici obblighi a carico al titolare del trattamento, autorizza gli Stati membri a “prevedere, con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà” e deve, pertanto, ritenersi rivolta esclusivamente a questi” (nota cit., p. 21);

ii. “i servizi di intermediazione nell’instant delivery – core business della Società – […] hanno iniziato a diffondersi su larga scala meno di un quinquennio fa, grazie all’affermazione della gig economy; fenomeno sociale che porta con sé […] una serie di nuove tematiche da gestire. […] Di ciò, non si può non tenere conto nel valutare la condotta della Società in merito alle attività di trattamento dei dati personali”; “la Società si è fin da subito adoperata per minimizzare i trattamenti effettuati – ad esempio adottando un termine di conservazione più breve di quello astrattamente consentito. […] Nel corso dell’attività, la Società ha anche adottato dei correttivi volti a rafforzare la compliance della stessa alla Normativa Privacy. L’introduzione del meccanismo di city permission, ad esempio, ha proprio l’obiettivo di minimizzare ulteriormente il trattamento dei dati personali […] permettendone l’accesso solo agli operatori situati nella medesima città in cui un determinato rider svolge la propria prestazione (e non più sulla base della logica di accesso UE/non-UE precedentemente applicata)” (nota cit., p. 22);

jj. “la Società ha costantemente incrementato le proprie misure tecniche e organizzative al fine di raggiungere un sempre più elevato livello di compliance alla Normativa Privacy”, ad esempio, tra l’altro, ha “rivisto e migliorato le proprie policy interne”; “introdotto delle nuove linee guida e un nuovo protocollo di prevenzione [nonché di “gestione e reportistica”] degli eventi di data breach”; “migliorato i sistemi di gestione delle attività che comportano trattamenti di dati personali, prevedendo una restrizione degli operatori che possano avervi accesso”; “introdotto un sito web dedicato ai rider in cui è possibile ottenere informazioni circa il trattamento dei loro dati personali” (nota cit., p. 22).

2.2. Alle memorie difensive la società ha altresì allegato la seguente documentazione: Doc. 01: Provvedimento AEPD - Doc. 02: Screenshot pagina di login con link a informativa privacy - Doc. 03: Training Calendars Customer & Courier Onboarding - Doc. 04: Screenshot informazioni sulle valutazioni dei rider presenti nell’Applicazione - Doc. 05: Richieste dell’autorità di pubblica sicurezza - Doc. 06: Screenshot pagina di login in Aircall - Doc. 07: Screenshot dello script riportante il numero di rider alla data dell’Ispezione - Doc. 08: Numero totale degli utenti dell’Applicazione per stato - Doc. 09: Numero di ordini per fascia oraria - Doc. 10: Screenshot applicativi Admin e Kustomer - Doc. 11: Training Calendars Onboarding Multiskill - Doc. 12: Couriers’ Professional Data – Preliminary Analysis on privacy impact assessment - Doc. 13: Video dimostrativo del funzionamento del city permission - Doc. 14: Trib. Bologna, ord. 31 dicembre 2020 - Doc. 15: Registro delle attività di trattamento - Doc. 16: Registro delle attività di trattamento aggiornato - Doc. 17: Screenshot dello script riportante il numero totale di ordini ricevuti in Italia nel 2016 - Doc. 18: Trib. Milano, sent. 584 del 2 marzo 2021 - Doc. 19: Decreto di archiviazione GIP di Torino del 13 luglio 2018 - Doc. 20: Corte d’Appello Torino, sent. dell’11 gennaio 2019 - Doc. 21: Esiti accertamento Ispettorato del lavoro di Torino del 17 ottobre 2017.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi.

3.1. Attivazione della procedura di cooperazione non ancora conclusa.

Dopo la conclusione dell’attività ispettiva, avendo riscontrato l’esistenza di alcuni trattamenti aventi natura transfrontaliera, l’Autorità ha informato senza ritardo l’Agencia Española de Protección de Datos (AEPD) che si è dichiarata autorità di controllo capofila all’esito della procedura di cooperazione avviata ai sensi dell’art. 56, par. 1, del Regolamento in relazione ai trattamenti transfrontalieri effettuati da GlovoApp23 S.L. (società capogruppo che ha il suo stabilimento principale in Spagna).

L’AEPD, in data 21 novembre 2019, ha convenuto circa la competenza dell’Autorità italiana, ai sensi dell’art. 56, par. 2, del Regolamento, in relazione ai trattamenti effettuati da Foodinho s.r.l. che incidono in modo sostanziale sui rider che operano unicamente in Italia in base ad un contratto di lavoro stipulato con la società.

Nell’ambito della procedura di assistenza reciproca avviata il 2 dicembre 2019 con l’AEPD ai sensi dell’art. 61 del Regolamento, le autorità di controllo di Italia e Spagna si sono scambiate informazioni relative alle ispezioni effettuate nei rispettivi ambiti di competenza. In data 4 settembre 2020 l’AEPD ha trasmesso all’Autorità parte della documentazione raccolta nell’ambito di attività di controllo svolte nei confronti della capogruppo. Dei documenti così trasmessi tre, ritenuti rilevanti anche rispetto ai trattamenti posti in essere da Foodinho s.r.l. che rientrano nell’ambito della competenza di questa Autorità ai sensi dell’art. 56, par. 2 del Regolamento, sono stati utilizzati per effettuare le contestazioni relative alle presunte violazioni nei confronti della società italiana ai sensi dell’art. 166, comma 5 del Codice. Foodinho s.r.l., dopo il ricevimento della notifica delle violazioni, a seguito dell’attivazione di due procedimenti di accesso agli atti, ha ottenuto copia della documentazione conferita dalla capogruppo ad AEPD e da quest’ultima inviata all’Autorità italiana attraverso la procedura di cooperazione il 4 settembre 2020.

In data 30 gennaio 2021, nell’ambito di una procedura ai sensi dell’art. 60 del Regolamento, l’AEPD ha trasmesso alle autorità di controllo interessate – tra cui quella italiana – un progetto di decisione relativo ai trattamenti transfrontalieri effettuati da GlovoApp23 (“Proyecto de acuerdo de inicio de procedimiento sancionador”, Procedimiento N°: PS/00020/2021) diversi da quelli per i quali l’autorità capofila ha riconosciuto la competenza dell’Autorità italiana. Conformemente a quanto consentito dalla disciplina sulle procedure di cooperazione, le Autorità di controllo interessate hanno presentato obiezioni pertinenti e motivate ai sensi dell’art. 60, par. 4 del Regolamento, chiedendo la modifica e l’integrazione del progetto di decisione su diversi profili. Allo stato, il procedimento di cooperazione preordinato alla adozione di un provvedimento ai sensi dell’art. 60, par. 7, del Regolamento non si è concluso e pertanto le valutazioni contenute nel progetto di decisione predisposto da AEPD, trasmesso alle autorità interessate il 30 gennaio 2021, non possono essere considerate definitive.

3.2. Titolarità del trattamento.

All’esito dell’accertamento effettuato e in base all’esame della documentazione acquisita, emerge che Foodinho s.r.l., in relazione ad alcuni trattamenti di dati relativi ai rider, determina le finalità e i mezzi del trattamento stesso (v. art. 4, n. 7, Regolamento) ed opera pertanto in qualità di titolare. Ciò, specificamente, emerge:

- dalle tipologie di attività e di dati personali indicate nel Registro dei trattamenti predisposto dalla società e riferito al momento della effettuazione della attività di controllo (v. nota 12.8.2019, All. 4 delle traduzioni in lingua italiana dei documenti consegnati in lingua inglese nel corso dell’attività ispettiva), “Registro delle attività di trattamento”, versione 06 – 20052019, in particolare con riferimento alla sezione “Rapporto con i fornitori” (laddove per fornitori si indicano i rider), punti 8, 9, 12 e 13 e le relative tipologie di dati personali trattati; anche la versione aggiornata del Registro elenca una pluralità di tipologie di trattamento di dati personali riferiti ai rider effettuate dalla società in qualità di titolare (v. Registro delle attività di trattamento, versione 07, 2019-2021, sezione “Rapporto con i fornitori”, All. 16 memorie difensive 11.3.2021) (v. nota 11.3.2021, Doc. 16);

- dagli esiti dell’accesso diretto ai sistemi sviluppati direttamente da Foodinho s.r.l. (Admin, che consente alla società la gestione dei rider e degli ordini loro assegnati; Kustomer, utilizzato per scambiare email e chat con i rider e attraverso il quale è possibile accedere alle telefonate effettuate con le modalità che saranno illustrate nel corso del provvedimento) e ai sistemi Google docs, utilizzato per l’elaborazione delle valutazioni e dei punteggi dei rider, e Google drive, utilizzato per la predisposizione delle fatture dei rider, attraverso i quali la società effettua trattamenti di dati personali, relativi a tutti i dettagli dell’ordine, alla posizione geografica raccolta attraverso il GPS, alla memorizzazione dei percorsi effettuati su mappa, ai dati raccolti e memorizzati nel corso delle comunicazioni effettuate via email e chat (v. screenshot degli accessi effettuati sui sistemi in data 16 e 17.7.2019);

- dal documento “Data Processing Agreement” (v. nota 12.8.2019, All. 2 delle traduzioni in lingua italiana dei documenti consegnati in lingua inglese nel corso dell’attività ispettiva), datato 20 maggio 2018 e sottoscritto dalle parti, nel quale la società è qualificata quale “titolare del trattamento” e la capogruppo GlovoApp23 “responsabile”, in relazione alla fornitura dei servizi agli utenti e agli interessati in Italia attraverso la piattaforma; le stesse parti hanno dichiarato che tale accordo si riferisce ai rider (v. precedente punto 1.1., let. d.);

- dai documenti informativi “Informativa trattamento dati personali per collaboratori di Foodinho srl” (v. informativa consegnata nel corso degli accertamenti ispettivi del 16 e 17.7.2019) e “Informativa trattamento dati personali per i Corrieri di Foodinho, S.R.L che svolgono incarichi di consegna” (allo stato disponibile attraverso il link https://glovers.glovoapp.com/it/privacy), nei quali la società è indicata quale titolare del trattamento.

3.3. Violazioni accertate.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, è emerso che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati - pari a 18.684 rider al tempo dell’ispezione, secondo quanto dichiarato (v. All. 7 memorie difensive) - che risultano non conformi alla disciplina in materia di protezione dei dati personali nei termini di seguito descritti.

3.3.1. Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, nel merito è emerso che, con riferimento all’obbligo di fornire l’informativa agli interessati previsto in capo al titolare del trattamento, la società ha predisposto, in tempi diversi, una pluralità di informative di contenuto in parte difforme.

In particolare la società ha effettuato i trattamenti dei dati dei rider sulla base di una informativa (“Informativa trattamento dati personali per collaboratori di Foodinho s.r.l.”), il cui modello – oggettivamente privo di data e di sottoscrizione – è stato consegnato dalla società nel corso degli accertamenti ispettivi, senza precisazioni in merito alle modalità con cui tale documento veniva reso noto ai rider (v. precedente punto 1.2., lett. f.). In proposito la società, nelle memorie difensive, ha rappresentato che al tempo dell’ispezione “l’informativa era resa e messa a disposizione degli interessati nella pagina di registrazione all’applicazione utilizzata dai rider per lo svolgimento della loro attività”.

Il documento informativo consegnato dalla società in ispezione, esaminato il suo contenuto, risulta essere stato reso in violazione:

- dell’art. 5, par. 1, lett. a) del Regolamento in relazione al principio di trasparenza con riferimento alla omessa indicazione: 1. delle concrete modalità di trattamento dei dati relativi alla posizione geografica così come emerse in sede di accertamento (visualizzazione su mappa del percorso effettuato e raccolta sistematica del dato ogni 15 secondi) a fronte di un’indicazione del tutto generica sul punto (“il titolare potrà ricevere informazioni riguardo la posizione geografica del dispositivo mobile”), 2. della tipologia dei dati raccolti, in particolare i dati relativi alle comunicazioni intraprese via chat, email e telefono con il call center, le valutazioni espresse sul rider da parte degli esercenti e dei clienti;

- dell’art. 13, par. 2, lett. a) del Regolamento considerato che, relativamente ai tempi di conservazione, tale documento si limita a fornire un’indicazione del tutto generica sul punto (“I dati sono trattati per il solo tempo strettamente necessario a conseguire le finalità per cui sono stati raccolti e, in ogni caso, non oltre la cessazione del rapporto di collaborazione […]”, v. punto 9, Informativa cit.), nonché inesatta considerato che nel corso degli accertamenti la società ha dichiarato di conservare i dati anche oltre la cessazione del rapporto di lavoro. Pertanto omette di fornire i precisi tempi di conservazione di alcune tipologie di dati così come risultanti sia dalle attività di accertamento (4 anni dalla cessazione del rapporto di lavoro: v. precedente punto 1.1., lett. y, jj e ll; 3 mesi dalla effettuazione della chiamata per il contenuto delle telefonate: v. doc. 11-12-14 in precedente punto 1.3.1., lett. j.; 4 anni dalla cessazione del rapporto di lavoro per i dati c.d. esterni delle telefonate con i rider come è emerso dagli accertamenti diretti ai sistemi documentati negli screenshot presenti in atti), sia dal registro dei trattamenti (per i dati di registrazione “al termine del rapporto di lavoro […] e dopo 4 anni da tale data”; per i dati relativi alla gestione del rapporto “4 anni dalla data di cancellazione dell’account o dell’ultima [interazione] con la piattaforma”).

- dell’art. 13, par. 2, lett. f) considerato che la predetta informativa non fa riferimento alla effettuazione di trattamenti automatizzati compresa l’attività di profilazione (attività accertate nel corso dell’attività di controllo: v. precedente punto 1.1., spec. lett. m., r., t., w.), preordinati all’assegnazione di un punteggio al rider al dichiarato fine di determinare la priorità nella prenotazione degli slot (fasce orarie determinate dalla società all’interno delle quali sono inviati gli ordini di consegna); sono state pertanto altresì omesse  “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”;

- dell’art. 13, par. 1, lett. b) considerato che l’informativa omette di fornire i dati di contatto del responsabile della protezione dei dati - RPD (nonostante risulti che il RPD di gruppo sarebbe stato designato dalla capogruppo in data 23.5.2019, dunque antecedentemente all’attività ispettiva);

- dell’art. 5, par. 1, lett. a) del Regolamento in relazione al principio di correttezza, considerato infine che, nell’ambito del rapporto di lavoro, come costantemente affermato dall’Autorità, l’obbligo di informare il lavoratore è, altresì, espressione del principio generale di correttezza dei trattamenti.

Con riferimento, in particolare, alla omessa indicazione delle concrete modalità di trattamento dei dati relativi alla posizione geografica la società, nelle memorie difensive, ha sottolineato che, data la “molteplicità di funzioni” propria dell’applicativo utilizzato dai rider, “spiegare in modo dettagliato […] le modalità di funzionamento della geolocalizzazione […] avrebbe reso l’informativa poco fruibile e difficilmente comprensibile” e che, per uniformarsi a quanto previsto dall’art. 12, par. 7 del Regolamento, tali informazioni “venivano fornite durante colloquio che precede l’iscrizione all’Applicazione, nonché in occasione delle specifiche sessioni di formazione erogate ai rider nell’ambito della fase di onboarding”. A supporto di quanto dichiarato la società si è limitata ad allegare un documento denominato “Training Calendars Customer & Courier Onboarding” (v. All. 3 memorie difensive), relativo ad un orario settimanale, non datato, contenente esclusivamente l’indicazione in inglese dell’oggetto di, non meglio definite, attività programmate nell’ambito della “fase di onboarding” dei rider (es. “Welcome Glovo”, “Admin”, “Chats customers”, “On job training”), e le ore dedicate alle stesse.
In proposito si rileva che l’art. 12, par. 1 del Regolamento, in applicazione di quanto previsto dall’art. 5, par. 1, lett. a) del Regolamento, dispone che il titolare del trattamento deve adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”. In ottemperanza, quindi, ai principi di trasparenza e correttezza, la società avrebbe dovuto fornire, per iscritto o con altri strumenti idonei comunque documentabili, agli interessati, seppur con un linguaggio facilmente comprensibile, tutte le informazioni previste dall’art. 13 del Regolamento in merito anche al trattamento dei dati relativi alla posizione geografica; non rileva, in proposito, che i rider fossero semplicemente consapevoli dell’attività di geolocalizzazione in quanto “vedono loro stessi e il percorso suggerito sulla mappa dell’Applicazione” né che la geolocalizzazione sia ritenuta dalla società “essenziale per la fornitura del servizio” nonché una “prassi comune e consolidata nel settore dei trasporti e della delivery”. Evidente, in proposito, è la differenza intercorrente tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato in relazione ai dati derivanti dalla geolocalizzazione. Solo rendendo pienamente consapevole l’interessato sul trattamento dei propri dati attraverso un’informativa trasparente, quindi, completa, chiara e facilmente accessibile, infatti, il titolare adempie a quanto prescritto dall’art. 5, par. 1, lett. a) in relazione all’art. 13 del Regolamento.

Con riferimento, poi, all’omessa indicazione della tipologia dei dati raccolti, in particolare i dati relativi alle comunicazioni intraprese via chat, email e telefono con il call center nonché alle valutazioni espresse sul rider da parte degli esercenti e dei clienti, in base a quanto dichiarato nelle memorie difensive tali informazioni sarebbero state fornite durante “il colloquio che precede l’iscrizione all’Applicazione e in sede di onboarding, nonché nell’applicazione stessa”. In relazione a quanto sarebbe stato comunicato a tutti i rider durante il predetto colloquio e in sede di “onboarding”, però, non emergono evidenze né può ritenersi adeguato a provare ciò il documento denominato “Training Calendars Customer & Courier Onboarding” in quanto privo di qualsiasi riferimento sul punto; per quanto riguarda, invece, le informazioni che sarebbero state fornite attraverso l’applicazione, delle quali sono stati allegati alcuni screenshot (v. all. 4 alle memorie difensive), non emerge la presenza di tali specifiche informazioni – e quindi la loro conoscibilità nell’applicazione - anche al momento dell’ispezione. Ad ogni buon conto, tali informazioni risultano generiche e non sufficientemente chiare per rendere consapevoli i rider del trattamento di tali dati.

In merito all’assenza dei dati di contatto del RPD, inoltre, nelle memorie difensive viene precisato che la designazione del responsabile per la protezione dei dati personali è stata demandata “per ragioni organizzative” alla società capogruppo che, però, nonostante avesse nominato il RPD in data 23 maggio 2019, fino all’ispezione presso Foodinho s.r.l., non aveva comunicato a quest’ultima i suoi dati di contatto. In proposito si osserva che, seppur la nomina di un RPD di gruppo sia conforme alla disciplina in materia di protezione dei dati (v. art. 37, par. 2 Regolamento), l’obbligo di designare il RPD è posto in capo al titolare del trattamento quando il trattamento dallo stesso effettuato rientri nelle ipotesi previste dall’art. 37 del Regolamento: nel caso di specie, nonostante Foodinho s.r.l. rivesta la qualifica di titolare del trattamento con riguardo al trattamento dei dati dei rider che lavorano per la stessa società italiana, non risulta che quest’ultima abbia posto in essere le attività necessarie per nominare un proprio RPD né che abbia sollecitato la società capogruppo a comunicarle tali informazioni per l’inserimento nell’informativa ex art. 13 del Regolamento.

Nelle memorie difensive la società ha, altresì, rappresentato che l’informativa relativa al trattamento dei dati dei rider è, allo stato, disponibile sulla pagina internet https://glovers.glovoapp.com/it/privacy, che è attualmente resa ai rider anche attraverso l’applicativo utilizzato dagli stessi nonché in allegato al contratto stipulato con la società e, ancora, oralmente “durante il colloquio che precede l’iscrizione all’Applicazione e in sede di onboarding”.

Dall’esame di tale informativa - che risulta priva di data e in relazione alla quale la società non ha fornito alcuna indicazione in merito alla data della sua redazione - risultano alcune modifiche rispetto al modello consegnato durante l’ispezione. Anche nella nuova informativa, però, taluni aspetti risultano non conformi, nei termini su evidenziati, ai principi previsti dall’art. 5 e a quanto indicato nell’art. 13 del Regolamento. Tenuto conto di ciò, si ritiene che anche il nuovo modello di informativa violi le predette norme in materia di protezione dei dati. In particolare nel nuovo modello di informativa l’indicazione delle tipologie dei dati raccolti è strutturata in modo dichiaratamente esemplificativo, non venendo indicate pertanto in modo completo tutte le tipologie di dati che Foodinho s.r.l. tratta, in particolare non risulta menzionato il trattamento di dati relativi alle comunicazioni con i rider effettuato mediante chat e email. Inoltre la descrizione del trattamento di dati relativi alla posizione geografica è del tutto generica in quanto è indicato che la società “potrà […] ricevere informazioni relative alla posizione geografica del dispositivo mobile utilizzato” mentre il sistema raccoglie sistematicamente ogni 15 secondi i dati di geolocalizzazione per tutta la durata della consegna degli ordini e predispone e conserva le mappe dei percorsi. Alcune delle finalità per cui vengono trattati i dati di geolocalizzazione vengono indicate, anche qui, genericamente, in particolare le dichiarate finalità di “riciclaggio di denaro”, “crimini contro la salute pubblica” e “lotta contro il terrorismo”. Con riferimento alle basi giuridiche da un lato viene specificato che “i dati saranno trattati esclusivamente al fine di dare corretta esecuzione al rapporto contrattuale tra le parti”, dall’altro viene indicato anche il consenso, in presenza del quale possono essere trattati non meglio definiti dati dei rider, anche se successivamente viene precisato che “i dati richiesti ai corrieri sono obbligatori e necessari ai fini della gestione dell’attività”. E’ altresì precisato che “il titolare non adotta decisioni in base a processi decisionali automatizzati”, che “tutti i parametri che si prendono in considerazione sono stati generati manualmente” e che “non vengono creati profili”, affermazioni che contrastano con quanto accertato dall’Autorità in sede di accertamento ispettivo ossia che la società effettua trattamenti automatizzati, compresa la profilazione, nell’ambito del c.d. “sistema d’eccellenza” e attraverso il sistema di assegnazione degli ordini (v. successivo punto 3.3.6.). La società informa i rider del fatto che “la geolocalizzazione [è] limitata a un percorso breve tra due punti obbligatori che il corriere non può scegliere” nonostante in sede di ispezione abbia dichiarato che “quando il rider conferma di aver ritirato la merce, riceve l’indirizzo di consegna preciso e ha la facoltà di decidere di farsi consigliare il percorso migliore” (v. verbale 16.7.2019, p. 5). Con riferimento ai tempi di conservazione viene specificato che “una volta cessato il contratto di prestazione d’opera, il titolare potrà conservare i dati per il tempo stabilito nella legislazione vigente e per un massimo di 10 anni al fine di adempiere agli obblighi di legge. […] Il periodo di conservazione potrà essere minore a seconda della normativa applicabile a ciascun tipo di dato. Nell’Allegato I si mostrano i periodi di conservazione”, ma al momento della redazione del presente provvedimento non risulta alcun allegato all’informativa quindi i periodi di conservazione non sono individuati né individuabili. Tra i diritti riconosciuti all’interessato, indicati come “diritti garantiti dagli articoli 12-22 del GDPR”, non vi è alcun riferimento specifico a quanto previsto dall’art. 22 Regolamento.

Risulta, infine, che nel testo dell’informativa non vengono indicati alcuni trattamenti che invece sono stati inseriti dalla società nella versione aggiornata del Registro dei trattamenti (in particolare trattamenti per finalità di marketing e per finalità di studio sull’utilizzo della piattaforma e di gruppi di discussione).

Sempre con riferimento all’obbligo di informativa, l’Autorità prende atto che, nell’ambito della procedura di collaborazione con l’AEPD, quest’ultima ha trasmesso al Garante un ulteriore modello di informativa redatto da Foodinho s.r.l., detenuto da GlovoApp23, che risulta essere stato allegato ad un contratto stipulato tra la società italiana e un rider, datato 2 dicembre 2020. Nessuna menzione di tale modello è contenuta, però, nelle memorie difensive di Foodinho s.r.l..

Si osserva, in proposito, come anche tale informativa – che in base a quanto dischiarato sotto propria responsabilità dalla società italiana deve essere considerata superata dal modello caricato sul sito internet indicato nelle memorie difensive – presenti alcuni aspetti non conformi agli artt. 5 e 13 del Regolamento, in particolare: è omessa l’indicazione delle concrete modalità di trattamento dei dati attraverso la piattaforma digitale e, segnatamente, il c.d. “sistema d’eccellenza” e il sistema di assegnazione degli ordini; è omessa l’indicazione delle concrete modalità di trattamento dei dati relativi alla posizione geografica (“Glovo riceverà informazioni sulla posizione geografica del corriere in modo discontinuo”); l’attivazione della “funzione” di geolocalizzazione viene qualificata come “necessaria per poter ricevere e portare a termine gli incarichi di consegna”, ma viene precisato che “l’attivazione di tale funzione comporta il consenso al trattamento dei dati raccolti tramite la funzione di geolocalizzazione”; è omessa la chiara e trasparente indicazione delle basi giuridiche del trattamento, posto che sono indicati il consenso del rider, l’esecuzione del contratto e il legittimo interesse della società; con riferimento al periodo di conservazione dei dati viene fornita un’indicazione generica sul punto in quanto viene affermato che i dati saranno trattati “non oltre la cessazione del rapporto di collaborazione salvo che si tratti di dati relativi all’esecuzione di obblighi derivanti dal contratto o da legge o altra fonte normativa o comunque utili alla tutela di Glovo per i quali il periodo di conservazione coincide con la prescrizione dei diritti (10 anni) ovvero con obblighi di conservazione della documentazione fissati dalla legge (ad esempio 5 anni per i documenti fiscali)” nonché non chiara in quanto, con particolare riferimento ai dati inerenti la geolocalizzazione, la società precisa che “gli stessi verranno «anonimizzati» automaticamente decorsi 30 (trenta) giorni dalla loro raccolta, fatta eccezione per i dati inerenti i c.d. «passaggi chiave» nella consegna dei prodotti ai consumatori finali (ossia data, luogo e ora del ritiro e luogo e ora della consegna del prodotto) considerato che tali dati sono utilizzati per la determinazione del compenso, verranno «anonimizzati» automaticamente decorsi 10 anni dalla loro raccolta”. A tale ultimo proposito, premesso che l’uso del termine “anonimizzati” risulta improprio – se non fuorviante - in quanto la società continua a trattare dati relativi alla posizione geografica riferibili ai c.d. «passaggi chiave», i termini di conservazione indicati sono diversi da quelli dichiarati dalla società nel corso degli accertamenti e nelle memorie difensive. Infine all’interno di tale documento non è presente alcun riferimento ai trattamenti automatizzati effettuati da Foodinho s.r.l. (posto che compare solo un generico riferimento all’“algoritmo” nell’ambito delle finalità da perseguire sulla base del legittimo interesse di Foodinho s.r.l.) né ai diritti di cui all’art. 22 del Regolamento.

Si segnala, infine, che tra i documenti acquisiti presso la capogruppo e trasmessi da AEPD all’Autorità, risulta anche un ulteriore modello di informativa reso da Foodinho, non menzionato nelle memorie di quest’ultimo e non datato, anch’esso non conforme alle previsioni del Regolamento (v. Doc. 20a, trasmessi da AEPD e inviati a Foodinho nell’ambito dei procedimenti di accesso agli atti).

In definitiva, dunque, i documenti informativi predisposti dalla società in tempi diversi ed, in ogni caso, caratterizzati da disorganicità, imprecisione e vaghezza, non sono idonei, per i suesposti motivi, a fornire con chiarezza agli interessati le informazioni relative agli elementi essenziali dei complessi trattamenti effettuati. La società ha pertanto violato gli artt. 5, par. 1, lett. a) e 13 del Regolamento.

Tenuto conto che nel testo della nuova informativa resa disponibile attraverso il link internet https://glovers.glovoapp.com/it/privacy tra i dati che Foodinho intende trattare è menzionato anche il “modello biometrico del viso” (v. punto 8 dell’informativa nel quale viene precisato che “a partire dal mese di novembre 2020, il processo di autenticazione dei corrieri all’App Glovo […] sarà integrato con un processo di autenticazione biometrica tramite riconoscimento facciale” e che tali dati saranno “trasferiti e analizzati da un fornitore esterno […] società nordamericana”), l’Autorità si riserva di avviare un autonomo procedimento in relazione alle condizioni di liceità del prospettato trattamento di dati biometrici dei rider.

3.3.2. Con riferimento alla individuazione dei tempi di conservazione dei dati trattati, all’esito delle attività ispettive è emerso che la società conserva per tutta la durata del rapporto e per 4 anni dopo la cessazione del rapporto di lavoro diverse tipologie di dati dei rider raccolti per una pluralità di scopi eterogenei (tutti i dati relativi alla gestione degli ordini, dati raccolti attraverso le comunicazioni via chat e email, v. precedente punto 1.1., lett. y. e jj.; dati necessari per la conclusione ed esecuzione del contratto, dati relativi alla “gestione fiscale e contabile” del rapporto, “controllo e gestione degli incidenti” causati durante l’utilizzo della piattaforma; v. registro dei trattamenti consegnato all’Autorità durante l’ispezione, punti 8, 9, 12 e 13). È altresì emerso che la società conserva per 10 mesi le mappe del percorso effettuato dal rider per ciascun ordine effettuato (v. precedente punto 1.1., lett. z.). In base a quanto emerso dalle attività ispettive (e documentato negli screenshot acquisiti in ispezione) la società conserva altresì per 4 anni i dati c.d. esterni delle telefonate effettuate dal customer care (numero chiamante e chiamato, ora di inizio e fine telefonata, tempo di attesa, durata: v. screenshot acquisito in ispezione) mentre, in base a quanto dichiarato, all’esito di una procedura di autorizzazione nei confronti della capogruppo è possibile accedere al contenuto delle telefonate (il cui link appare a fianco dei dati esterni) che sarebbero conservate per tre mesi su una piattaforma gestita da Mas Voz Telecomunicaciones Interactivas S.L (v. Doc. 11, 12 e 14, nota 12.8.2019).

In base a quanto dichiarato in proposito nelle memorie difensive, la società ha adottato “un termine di conservazione «cautelativo» di 4 anni”, avuto riguardo ai termini della prescrizione (quinquennale e decennale) prevista dall’ordinamento per i dati necessari alla gestione del rapporto di lavoro, in ritenuta applicazione dei principi di minimizzazione e di privacy by design, tenuto conto che il trattamento dei dati dei rider è svolto in relazione all’unica finalità di gestione del rapporto contrattuale (v. precedente punto 2.1., lett. k. e l.).

In proposito si rileva in primo luogo che nel corso dell’attività istruttoria è emerso che all’interno di altri documenti predisposti dalla società sono indicati termini di conservazione diversi da quelli indicati nelle memorie difensive (conservazione per quattro anni dei dati trattati, tranne quanto si dirà più avanti in relazione ai percorsi effettuati dai rider per ciascun ordine). In particolare, con la “Informativa trattamento dati personali per i Corrieri di Foodinho, S.R.L che svolgono incarichi di consegna”, allo stato resa disponibile attraverso il link https://glovers.glovoapp.com/it/privacy (v. precedente punto 2.1., lett. e), la società indica il diverso termine di conservazione fino ad “un massimo di 10 anni al fine di adempiere agli obblighi di legge – tra cui il dovere di collaborare con le Forze dell’Ordine in virtù dell’interesse superiore della sicurezza pubblica, nonché di adempiere a controlli di natura, tra le altre cose, fiscale e/o previdenziale – e difendersi o intraprendere azioni per tutelare i propri diritti e interessi”. L’informativa indica altresì, genericamente, che “il periodo di conservazione potrà essere minore a seconda della normativa applicabile a ciascun tipo di dato” e, per ulteriori dettagli sui singoli termini di memorizzazione, rinvia ad un allegato che, come già rilevato, non è tuttavia presente sulla pagina.

Si rileva, altresì, che all’interno del Registro delle attività di trattamento, versione 07, 2019-2021 (v. All. 16 memorie difensive 11.3.2021), sezione “Rapporto con i fornitori” (ossia i rider), la società ha indicato, in relazione ad una gran parte della tipologia di dati trattati, “la durata del termine di prescrizione previsto dalla legge, decorrente dalla data di cessazione del rapporto contrattuale”. Ciò, in particolare, relativamente a: dati di registrazione, dati trattati nell’ambito della gestione del rapporto, dati “relativi all’uso della piattaforma” (tra i quali “voce” e “chat”), dati relativi alla gestione fiscale e contabile e quelli riferiti al “controllo e gestione degli incidenti”, dati relativi a richieste delle autorità pubbliche e alla gestione dei sinistri, dati relativi all’esercizio dei diritti da parte degli interessati, dati relativi alla difesa degli interessi legali e giudiziari, dati relativi alla “prevenzione di frodi”.

In tali ipotesi il termine prescrizionale non è indicato in concreto in relazione alle diverse tipologie di dati, mentre in relazione ad alcuni tipi di dati non risulta che l’ordinamento abbia previsto termini di prescrizione (v. dati relativi a comunicazioni via chat e email e telefonate; dati relativi all’esercizio dei diritti da parte degli interessati; dati sull’uso della piattaforma e gruppi di discussione).

Diversamente, in relazione ai dati trattati per finalità di “marketing” e per finalità di studio sull’utilizzo della piattaforma e gruppi di discussione il termine è indicato in “24 mesi dalla data di creazione dell’account o dall'ultima interazione con la piattaforma da parte del fornitore”. Per la conservazione delle “registrazioni vocali” è indicato il diverso termine di “12 mesi dalla data di raccolta del dato”, in relazione alla dichiarata finalità di “assistere i corrieri durante l'esecuzione dei servizi contattando il servizio clienti”, scopo che in sé dovrebbe esaurirsi in un arco di tempo assai più limitato e comunque relativo all’ambito temporale di esecuzione della consegna. In relazione a tale tipologia di trattamento si rileva, inoltre, che la società ha dichiarato di poter accedere al contenuto delle registrazioni delle telefonate effettuate con il rider solo previa autorizzazione della capogruppo, la quale inoltre conserverebbe tali registrazioni per un termine diverso ed inferiore (3 mesi: v. Doc. 11, 12 e 14, nota 12.8.2019). Qualora con l’espressione “registrazioni vocali” la società si riferisse ai dati esterni delle telefonate ciò andrebbe chiarito nel registro. In ogni caso deve essere indicato il termine esatto entro il quale la società può accedere ai dati esterni delle telefonate (che risulterebbe essere, come per una pluralità di altri dati, pari invece a 4 anni) e al contenuto delle telefonate stesse. La società dovrebbe altresì verificare a quale titolo il trattamento è effettuato (posto che nel registro sono censiti i trattamenti effettuati da Foodinho s.r.l. in qualità di titolare e, secondo quanto dichiarato, per poter accedere al contenuto delle telefonate è necessario ottenere un’autorizzazione da parte di GlovoApp23).

In relazione allo specifico termine di conservazione di 10 mesi dei percorsi effettuati dai rider per ciascun ordine, che è emerso, come sopra rappresentato, in sede di ispezione, la società ha successivamente precisato che le finalità della conservazione per tale periodo consistono nella necessità di gestire i reclami dei clienti, le richieste di autorità pubbliche o di compagnie assicurative, oppure per “valutare la correttezza dei compensi corrisposti ai rider” (v. punto 2.1., lett. m.). Tuttavia anche in relazione a tale dato la versione aggiornata (rispetto al tempo dell’ispezione) del Registro dei trattamenti (versione 07, 2019-2021) indica un termine diverso, laddove in relazione alla geolocalizzazione dei corrieri (rider) dichiaratamente finalizzata ad “assegnare gli ordini ai corrieri e mostrare ai clienti la posizione dei corrieri durante la consegna dei loro ordini”, indica il termine di “24 mesi dalla consegna dell’ordine, dopodiché saranno conservati solo i dati relativi al punto di partenza e al punto di arrivo per tutta la durata del termine di prescrizione previsto dalla legge decorrente dalla data di cessazione del rapporto contrattuale con l’interessato”. Dal che si evince che i dati relativi al percorso effettuato (non solo il punto di partenza e di arrivo) sarebbero conservati dalla società non già per 10 bensì per 24 mesi.

All’esito dell’esame della documentazione e delle dichiarazioni in atti emerge, in primo luogo, che la società non ha provveduto a definire (e conseguentemente a trasferire all’interno dei documenti la cui predisposizione costituisce un obbligo per il titolare in base al Regolamento) un quadro chiaro e coerente dei termini di conservazione dei dati personali riferiti ai rider. Anzi, come visto, quanto dichiarato in proposito dalla società non trova corrispondenza con alcuni passaggi inseriti nella “Informativa trattamento dati personali per i Corrieri di Foodinho, S.R.L che svolgono incarichi di consegna” e nel Registro delle attività di trattamento, versione 07, 2019-2021, nonché per quanto riguarda la registrazione delle telefonate in uno dei documenti trasmessi all’Autorità dopo l’ispezione (v. Doc. 11, 12 e 14, nota 12.8.2019).

In base al Regolamento (art. 5, par. 1, lett. e) i dati personali sono “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Sul titolare del trattamento grava, in particolare, l’obbligo “di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. Considerando 39).

L’Autorità ha in proposito chiarito che, alla luce della necessità di individuare tempi di conservazione ritenuti congrui in relazione a ciascuno degli scopi in concreto perseguiti con il trattamento delle diverse tipologie di dati personali, il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee (provv. 9.1.2020, n. 8, doc. web n. 9263597).

Prendendo a riferimento i termini indicati dalla società, sotto propria responsabilità, nelle memorie inviate da ultimo all’Autorità (e non quelli risultanti dai diversi documenti sopra riportati, che dovranno comunque essere oggetto di verifica e aggiornamento), risulta che la società medesima ha individuato un unico termine di conservazione, in sé comunque significativo, pari a 4 anni dopo la cessazione del rapporto di lavoro, in relazione ad una pluralità di trattamenti effettuati per scopi diversi nonché in relazione a distinte tipologie di dati, in alcuni casi riferiti al contenuto di comunicazioni in sé protette da particolari garanzie da parte dell’ordinamento (via chat, email e telefono). Pertanto la società ha omesso di individuare distinti tempi di conservazione dei dati riferiti ai rider oggetto di trattamento in relazione alle distinte e specifiche finalità perseguite, posto che solo alcuni dei trattamenti effettuati risultano necessari in relazione alla finalità di gestione del rapporto contrattuale (es. dati identificativi e di contatto, generalità, dati bancari) mentre in relazione ad altri trattamenti la gestione del rapporto contrattuale costituisce il contesto del trattamento effettuato (a titolo esemplificativo il trattamento dei dati relativi ai dati esterni e al contenuto delle comunicazioni avvenute via chat, email e telefono, geolocalizzazione, punteggio assegnato al rider per ciascun ordine).

Si prende atto che la società, con riguardo alla decorrenza del predetto termine unico di conservazione pari a 4 anni dopo la cessazione del rapporto, nel corso del procedimento ha specificato che il contratto con il rider si considera cessato in caso di recesso di una delle parti, previo congruo preavviso (v. precedente punto 2.1., lett. n.). Premesso che l’Autorità non ha formalmente contestato alla società, come sostenuto nelle memorie difensive, “di non essere in grado di individuare il momento da cui decorressero i citati termini”, si ribadisce che, anche a seguito dei chiarimenti forniti circa la cessazione del contratto stipulato con il rider a seguito del recesso di una delle parti, il criterio di computo del termine di conservazione comporta una (ulteriore) dilatazione dei tempi di memorizzazione in caso di mancato recesso delle parti seppure a fronte di inattività del rider sulla piattaforma per un periodo di tempo significativo (non diversamente da quanto emerso in sede di ispezione, visto che la società sul punto ha dichiarato che “al momento […], a meno di un’azione positiva da parte del rider, il rapporto di lavoro si considera in corso anche con lunghi periodi di inattività”, v. verbale 17.7.20219, p. 6).

Sempre con riferimento a quanto dichiarato all’Autorità in materia di termini di conservazione, si rileva infine che in relazione all’indicazione del termine di 10 mesi per la memorizzazione delle mappe dei percorsi dei rider, anche a fronte dei chiarimenti forniti nel corso del procedimento, non risultano indicate dalla società le specifiche ragioni che renderebbero tale termine congruo rispetto alle finalità perseguite. Infatti le finalità indicate dalla società afferiscono a contesti (peraltro non omogenei) in relazione ai quali ordinariamente - in assenza di specifiche caratteristiche legate a situazioni concrete che tuttavia non emergono dagli atti - la necessità di procedere ad approfondimenti interni anche attingendo ai dati conservati si manifesta in tempi assai più ridotti (commisurati, ad esempio, ai termini nei quali è consentito ai clienti di presentare reclamo, oppure ai rider di contestare l’entità del compenso ricevuto, oppure al verificarsi di eventi a fronte dei quali pubbliche autorità o compagnie assicurative possono legittimamente chiedere alla società di consegnare la mappa del percorso effettuato da un rider determinato; a tale ultimo proposito si osserva che la richiesta della Polizia Locale allegata a titolo esemplificativo, è stata rivolta alla società poco meno di un mese dopo i fatti: Doc. 5 memorie difensive).

La società pertanto, per i suesposti motivi, ha violato l’art. 5, par. 1. lett. e) del Regolamento che dispone che i dati personali siano conservati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

3.3.3. In base alle dichiarazioni della società e agli esiti dell’accesso diretto ai sistemi effettuato nel corso dell’ispezione è emerso che i sistemi sono configurati in modo da raccogliere e memorizzare tutti i dati relativi alla gestione dell’ordine (dati raccolti tramite l’applicativo in uso ai rider, compresa la rilevazione della posizione geografica attraverso GPS ogni 15 secondi nonché i dati relativi ai tempi di consegna stimati e ai tempi realmente occorsi per effettuare la consegna − tale ultimo dato è ricavato dall’esame dei tempi intermedi indicati nella sezione dell’ordine lato cliente −; dati relativi ai singoli punteggi assegnati al rider giornalmente; dati relativi alle comunicazioni via email e chat nonché i dati esterni riferiti alle telefonate conservate dalla capogruppo con possibilità di accedere al contenuto delle conversazioni previa attivazione di una procedura di autorizzazione nei confronti della capogruppo, secondo quanto dichiarato dalla società). È emerso, altresì, che i sistemi (in particolare Admin e Kustomer) sono configurati in modo da consentire agli operatori autorizzati l’utilizzo contestuale e contemporaneo dei due applicativi. Inoltre il sistema di gestione delle chat e delle email è configurato in modo tale da consentire ad ogni operatore di accedere direttamente al contenuto di chat ed email scambiate con i rider senza ulteriori passaggi.

Diversamente da quanto sostenuto dalla società nelle memorie difensive non sono state rappresentate (né sono comunque emerse) specifiche ragioni in base alle quali sarebbe necessario, al fine di poter erogare efficientemente i servizi, l’accesso contestuale degli operatori ai due sistemi. Ciò considerato che i predetti sistemi risultano preordinati, rispettivamente, alla gestione degli ordini in tempo reale ed alla visualizzazione dello storico degli ordini stessi (Admin) nonché alla gestione di problemi verificatisi nel corso dell’ordine oppure, indipendentemente dall’ordine in corso, relativamente al rapporto con i rider (Kustomer; v. precedente punto 1.1., lett. bb.). Pertanto da ciò si evince che i canali di comunicazione con i rider sono messi a disposizione per una pluralità di evenienze di cui la gestione di eventuali problemi nella gestione degli ordini in corso costituisce solo una delle possibilità. Inoltre in caso di passaggio dal sistema di gestione degli ordini a quello di gestione delle comunicazioni e viceversa, gli operatori hanno accesso non solo ai dati relativi al rider che ha gestito un determinato ordine ma anche alle informazioni relative a tutti gli altri rider.

In tale contesto la circostanza che nel corso dell’ispezione la general manager della società non abbia potuto accedere al contenuto di una telefonata con un rider registrata non costituisce di per sé indice che “la Società adotta una politica e un sistema di segregazione degli accessi”, non altrimenti documentata (v. memorie difensive, p. 8).

In proposito emerge, altresì, dall’esame della documentazione in atti, che i soggetti autorizzati dalla società ad accedere ai menzionati sistemi con profili di accesso che consentono il pieno accesso ai dati, anche di dettaglio, riferiti ai rider ivi contenuti, sono un numero rilevante (più di 600 per i soli profili di tipo LOH - live operations che comprendono: LOH, LOH Dashboard, LOH Level 1, LOH Level 2, LOH Management, LOH Managers, LOH OCC, LOH Workforce) (v. doc. 8 scioglimento riserve; doc. 3 e 5 acquisiti dall’AEPD, contenenti, rispettivamente, la tabella relativa ai profili e alle corrispondenti ulteriori autorizzazioni operative dei soggetti che lavorano sulla piattaforma – con particolare riferimento ai riders: “Couriers”, “Read Access”, “Manage Access”, “do.Couriers Kick”, Couriers Schedule” e “Couriers Forecast”-, nonché la tabella contenente, per ciascun Paese in cui Glovo opera, il numero degli operatori, divisi per profili – “Number of operators with permission”).

A tale ultimo proposito non può essere accolta l’obiezione della società in base alla quale tale numero di addetti “seppur in sé apparentemente elevato” non sarebbe tale se rapportato all’elevato numero di clienti che effettuano ordini sulla piattaforma, posto che in tal modo ciascun operatore sarebbe tenuto a “dover fornire assistenza a oltre 30 rider contemporaneamente”. Infatti il calcolo si basa sul rapporto tra il numero totale dei rider al momento dell’ispezione fornito dalla società (18.684) ed il numero degli addetti autorizzati ad accedere ai menzionati sistemi con profili di accesso che consentono il pieno accesso ai dati (più di 600, dato ricavato dall’Autorità attraverso il confronto dei documenti forniti dalla società in base ad una espressa richiesta e uno dei documenti acquisiti da AEPD; tale numero così individuato non è stato contestato dalla società). Tuttavia il numero complessivo dei rider “iscritti all’Applicazione” al momento dell’ispezione deve essere diminuito degli inattivi (si vedano in proposito i numeri relativi al “numero di rider attivi dal 1° gennaio 2019 che abbiano effettuato almeno una consegna”, che rimangono per ciascun mese al di sotto delle 5.000 unità; v. Doc. 6-7, nota 12.8.2019) ed essere limitato al numero di rider prenotati per i singoli slot. In questo senso il numero dei rider per ciascun addetto è del tutto ridimensionato rispetto a quanto calcolato dalla società.

Né è sufficiente a far venir meno le contestazioni dell’Autorità relative all’omessa configurazione dei sistemi in termini di privacy by design e by default l’organizzazione da parte della società di generiche “attività di formazione” degli addetti ad attività di “live operations”, come risulterebbe da un calendario di attività formative all’interno del quale non è mai presente il riferimento alla protezione dei dati (v. All. 11 memorie difensive, Training Calendars Onboarding Multiskill).

Per le suesposte ragioni tale configurazione dei sistemi, tenuto conto della quantità e varietà dei dati raccolti e delle modalità di trattamento in relazione alla finalità di gestione del servizio di consegna di cibo o altri beni, comporta la violazione dell’art. 5, par. 1. lett. c) del Regolamento che enuncia il principio di minimizzazione dei dati e dell’art. 25 del Regolamento che enuncia i principi di privacy by design e by default.

3.3.4. Al momento dell’accesso diretto ai sistemi effettuato nel corso dell’accertamento – utilizzando le credenziali di un addetto di Operation – i sistemi Admin e Kustomer sono risultati configurati in modo che la pagina di presentazione consentiva l’accesso ai dati di tutti i rider che operano sia in territorio UE che extra UE (v. screenshot acquisiti in atti). La stessa società ha rappresentato che il precedente sistema di accesso era basato sulla “logica di accesso UE/non-UE” (v. memorie difensive, p. 22). Tale configurazione, dunque, consentiva di default l’accesso completo ai dati conservati dal sistema indipendentemente dall’operatività di un criterio di selezione all’accesso basato quantomeno sull’ambito territoriale di operatività delle distinte società controllate da GlovoApp23 e pertanto sulla astratta idoneità degli operatori di ciascun paese a trattare i dati dei rider che rendono la prestazione nel proprio territorio.

Inoltre, in proposito, l’ufficio legale della capogruppo nel corso degli accertamenti ispettivi ha dichiarato che anche gli operatori degli altri paesi in cui è attivo il servizio, tramite specifici profili autorizzativi (in particolare, secondo quanto dichiarato, General Manager e Head of Operation) possono “accedere ai dati [dei rider] dei diversi paesi”, sia in territorio UE che extra UE, al fine di consentire “analisi complessive […] nel corso di specifiche riunioni fra le figure apicali dei diversi Paesi” (v. precedente punto 1.1., lett. mm.).

Alla luce di tale configurazione dei sistemi, tenuto anche conto del numero significativo di soggetti autorizzati dalla società ad accedere ai menzionanti sistemi (v. precedente punto 3.3.3.), nonché della quantità, varietà e natura dei dati trattati, l’Autorità ha contestato alla società la violazione di quanto stabilito nell’art. 32 del Regolamento laddove stabilisce che “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Nelle memorie difensive la società ha rappresentato che il sistema di accesso è stato modificato con l’introduzione del meccanismo del c.d. city permission che consente agli operatori di accedere ai dati dei rider solo su base territoriale. Tale meccanismo è rappresentato dalla società come esempio di “correttiv[o] volto a rafforzare la compliance […] alla normativa privacy”. La società ha altresì ritenuto che sia a seguito della modifica ma anche prima della stessa, l’accesso ai dati dei rider che operano in paesi diversi dall’Italia era ed è limitato alle sole figure apicali della stessa, in vista della dichiarata necessità di effettuare analisi di dati nel corso di riunioni nonché per consentire “l’interscambiabilità dei dati dei rider nell’ambito di eventuali opportunità di mobilità degli stessi tra i diversi paesi in cui operano le società del gruppo” (v. precedente punto 2.1., lett. r). La società ha, in proposito, richiamato quanto affermato dall’ufficio legale della capogruppo nel corso degli accertamenti ispettivi, sebbene tale affermazione non risulti conferente posto che si riferisce ai criteri di accesso ai dati dei rider attraverso la piattaforma in paesi diversi dall’Italia.

Le predette obiezioni della società non possono essere accolte perché, come riportato precedentemente, all’esito dell’accesso diretto ai sistemi, l’Autorità ha accertato che non solo le figure apicali, ma ogni operatore autorizzato ad accedere al sistema aveva accesso ai dati raccolti e conservati in tutti i paesi nei quali sono presenti società controllate dalla capogruppo. Ciò risulta altresì confermato dalla circostanza che la società ha – apprezzabilmente – deciso di apportare una modifica ai sistemi proprio nel senso di limitare l’accesso su base territoriale.

La configurazione dei sistemi, quindi, come accertata in sede di ispezione, risulta, dalla data della loro adozione (al momento dell’inizio dell’avvio dell’attività della società in Italia, nel 2016) almeno fino alla data di attivazione del c.d. city permission, in violazione di quanto stabilito dall’art. 32 del Regolamento. Con riferimento alla data di attivazione del c.d. city permission si rappresenta che la società italiana nelle memorie difensive del 12 marzo 2021 ha comunicato che il meccanismo sarebbe stato introdotto “recentemente”. In proposito si prende infine atto che l’AEPD è stata informata in data 18 maggio 2020 da GlovoApp23 del completamento dell’attivazione del c.d. city permission sui propri sistemi.

La possibilità di accesso di default ad un numero rilevante di dati personali da parte peraltro di un numero significativo di addetti alla gestione dei sistemi con ampia gamma di mansioni relative all’operatività dei rider, non consente di assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”.

Si ribadisce, infine, che il documento trasmesso dall’AEPD alle autorità di controllo interessate in data 30 gennaio 2021 nell’ambito della procedura di cooperazione attivata ai sensi dell’art. 60 del Regolamento, e citato nelle memorie difensive della società, non è definitivo, in quanto il procedimento di adozione non è, allo stato, concluso. Pertanto le affermazioni ivi contenute, nelle more dell’adozione del provvedimento ai sensi dell’art. 60 par. 7 del Regolamento da parte dell’Autorità capofila, non hanno valore di accertamento.

3.3.5. La società non ha effettuato una valutazione di impatto sulla protezione dei dati come previsto a carico del titolare del trattamento dall’art. 35 del Regolamento all’esito della ricognizione dei trattamenti effettuati. In proposito la capogruppo, nel corso delle attività di accertamento, a seguito di una domanda posta a Foodinho s.r.l., ha dichiarato di non aver ritenuto di predisporre la valutazione, senza tuttavia produrre documentazione relativa alla predetta decisione (v. precedente punto 1.1., lett. b.).

L’art. 35, par. 1 stabilisce che quando un trattamento che prevede “l’uso di nuove tecnologie, considerati la natura, l’oggetto il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” si debba procedere alla effettuazione della valutazione di impatto. Il successivo par. 3, lett. a) prevede che tale valutazione è in particolare richiesta in caso di “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Alla luce di quanto stabilito dalla norma richiamata, nonché delle indicazioni fornite in proposito dalle Linee guida WP 248rev.01 del 4.4.2017 e dal provvedimento del Garante 11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19.11.2018), l’attività di trattamento svolta da Foodinho s.r.l., in quanto caratterizzata dall’utilizzo innovativo di una piattaforma digitale, dalla raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro; v. Linee guida cit., cap. III, B, n. 7), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche” con conseguente necessità di effettuare, prima dell’inizio del trattamento, una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

In occasione dello scioglimento delle riserve, la società ha inviato al Garante una “Valutazione preliminare dei rischi relativa al trattamento dei dati personali dei riders” (v. nota 12.8.2020, Doc. 15). In proposito si osserva che tale documento, redatto in lingua inglese, sprovvisto di data e di sottoscrizione, risulta carente rispetto all’indicazione di alcuni degli elementi indicati dall’art. 35, par. 7, del Regolamento. In particolare: non risultano indicate le specifiche modalità dei trattamenti effettuati attraverso la geolocalizzazione (periodizzazione assai ravvicinata della rilevazione; memorizzazione su mappa dei percorsi), non sono menzionati i trattamenti effettuati attraverso le email e le chat nonché le registrazioni delle telefonate, non sono altresì menzionati i trattamenti automatizzati e di profilazione effettuati attraverso la piattaforma. Inoltre la sezione relativa alla individuazione dei rischi e delle misure adottate per affrontare i rischi (“Step 6: Identify measures to reduce risk”) non è compilata ed è seguita dalla sola sigla generica “N/A”. Risulta altresì incongruo il riferimento all’Autorità di controllo in UK (ICO) come autorità da consultare in caso di individuazione di rischi elevati residui.

Nelle memorie difensive Foodinho s.r.l. ha, inoltre, sostenuto che “le valutazioni circa gli impatti” dell’utilizzo della “applicazione sviluppata dalla capogruppo” attraverso cui svolge la sua attività d’impresa “competono alla capogruppo”. Quest’ultima, in proposito, dopo aver valutato la necessità di effettuare una valutazione d’impatto ai sensi dell’art. 35 del Regolamento, avrebbe escluso l’esigenza di procedere ad una DPIA, argomentando tale decisione nel documento denominato “Couriers professional data-preliminary analysis on privacy assessment” (all. 12 alle memorie difensive), datato novembre 2019, redatto in lingua inglese, differente rispetto a quello presentato a scioglimento delle riserve e contenente plurimi riferimenti all’ordinamento spagnolo e alle attività attribuite all’AEPD dunque privo di specifiche valutazioni sulla natura dei trattamenti effettuati in Italia da Foodinho nonché di riferimenti all’ordinamento italiano.

Considerato, quindi, che Foodinho s.r.l. è il titolare del trattamento con riferimento ai dati dei rider che lavorano per la società italiana e che l’art. 35 del Regolamento riconosce proprio in capo al titolare del trattamento l’obbligo di effettuare una DPIA, prima del trattamento, qualora ricorrano le condizioni previste dall’ordinamento, Foodinho s.r.l. è il soggetto tenuto ad effettuare una valutazione di impatto con riferimento alle attività di trattamento effettuate dalla stessa società italiana.

La società, inoltre, esclude che i trattamenti dalla stessa posti in essere rientrino tra quelli per i quali è obbligatorio effettuare una valutazione di impatto in quanto “non si può sostenere […] che l’Applicazione e la geolocalizzazione costituiscano «nuove tecnologie» ai sensi dei Considerando 89 e 91 del Regolamento”; secondo la società, infatti, “né l’Applicazione, né il sistema di geolocalizzazione sono tecnologie ad oggi considerabili «nuove»” (v. memorie difensive, p. 11).

In proposito si osserva che, nelle memorie difensive, la società stessa precisa che l’attività principale svolta consiste “nello sviluppo e nella gestione di una piattaforma tramite la quale alcuni negozi locali nel territorio italiano possono offrire i loro prodotti e/o servizi per mezzo di un’applicazione mobile o web” e che “In via accessoria […] agisce come intermediario nella consegna pianificata o immediata dei prodotti. Foodinho, pertanto, tramite l’utilizzo di tecnologie già note e utilizzate nel settore dei trasporti […] gestisce (in modo innovativo) il c.d. «ultimo miglio» agevolando l’incontro tra domanda e offerta nel settore del delivery – trasformata, pertanto, in «istant» delivery”. La società stessa, quindi, ha qualificato come “innovativa” la gestione dell’attività effettuata.

Si osserva, altresì, che il carattere innovativo della tecnologia utilizzata dalla società (di cui l’applicativo da installare sul dispositivo del rider e la funzionalità di geolocalizzazione costituiscono solo una parte) - e il conseguente rischio elevato per i diritti e le libertà degli interessati - risulta evidente dall’esame stesso del funzionamento della piattaforma digitale intorno a cui ruota l’attività svolta da Foodinho s.r.l.; ciò tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della c.d. “gig economy” nell’ambito di continui cambiamenti tecnologici che stanno caratterizzando il mercato del lavoro nonché del pieno riconoscimento di tale evoluzione da parte del legislatore nazionale (v. l. n. 128/2019, di conversione del d.l. n. 101 del 3.09.2019, che ha inserito il capo V-bis nel d. lgs. n. 81 del 2015, “Tutela del lavoro tramite piattaforme digitali”, nonché il nuovo periodo nell’art. 2, comma 1, d. lgs. n. 81/2015, che fa riferimento alle “modalità di esecuzione della prestazione […] organizzate mediante piattaforme anche digitali”) e dell’attenzione rivolta a tale fenomeno anche da parte delle istituzioni europee (v. Commissione europea, documento del 24.2.2021, contenente “Questions and Answers: First stage social partners consultation on improving the working conditions in platform work”; European Parliament, Legislative Observatory, Fair working conditions, rights and social protection for platform workers - New forms of employment linked to digital development, 2019/2186(INI), 2019; European Parliament and Council, Directive 2019/1152 on transparent and predictable working conditions, 2019, contenente riferimenti anche ai lavoratori delle piattaforme digitali) e della giurisprudenza a livello nazionale ed europeo (v. successivo par. 3.3.9.). Il trattamento di un numero elevato di dati di diverso tipo riferiti ad un numero rilevante di interessati, effettuato attraverso la piattaforma digitale che si basa su funzioni algoritmiche, infatti, combinando domanda e offerta, ha un evidente carattere innovativo. Il carattere innovativo della tecnologia utilizzata e quindi dell’attività svolta dalla società, infatti, non risiede nel semplice utilizzo di un applicativo installato sullo smartphone del rider e del contestuale trattamento dei dati di geolocalizzazione – come sostenuto da Foodinho -, ma, in primo luogo, nella gestione dell’attività lavorativa anche attraverso una piattaforma digitale il cui funzionamento si basa su complessi algoritmi (il cui meccanismo di funzionamento è stato reso noto solo in parte).

In secondo luogo il carattere innovativo della tecnologia utilizzata consiste nell’effettuazione di trattamenti automatizzati, compresa la profilazione, che incidono in modo significativo sugli interessati, trattando una molteplicità di dati, tra cui quelli di geolocalizzazione, escludendo una parte dei rider dalle occasioni di lavoro.

Si ritiene inoltre che dai trattamenti effettuati da Foodinho mediante la piattaforma digitale possano derivare rischi per i diritti e le libertà degli interessati in quanto relativi alla “valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, [ …], l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati di persone fisiche vulnerabili […]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati” nonché “se il trattamento può creare discriminazioni” (v. considerando 75 del Regolamento).

Si ribadisce, infine, che il documento trasmesso dall’AEPD alle autorità di controllo interessate in data 30 gennaio 2021 nell’ambito della procedura di cooperazione attivata ai sensi dell’art. 60 del Regolamento, e citato nelle memorie difensive della società, non è definitivo, in quanto il procedimento di adozione non è, allo stato, concluso. Pertanto le affermazioni ivi contenute, nelle more dell’adozione del provvedimento ai sensi dell’art. 60 par. 7 del Regolamento da parte dell’Autorità capofila, non hanno valore di accertamento.

Per i suesposti motivi la società ha violato l’art. 35 del Regolamento.

3.3.6. Dall’attività di accertamento è emerso che la società effettua, attraverso il sistema complessivamente utilizzato per l’operatività della piattaforma, trattamenti automatizzati, compresa la profilazione, nell’ambito del c.d. “sistema d’eccellenza” che attribuisce a ciascun rider, attraverso l’operatività di specifici e predeterminati parametri, un punteggio che consente di accedere prioritariamente al “sistema di selezione delle fasce orarie (slots)” stabilite dalla società (v. nota 12.8.2020, Doc. 5, “Descrizione dell’algoritmo per l’assegnazione del punteggio ai riders”), all’interno delle quali sono distribuiti giornalmente gli ordini ricevuti. Alcune fasce orarie sono definite “ad alta domanda” perché normalmente caratterizzate da un maggior numero di ordini. In relazione alla determinazione di alcuni di questi criteri la società, secondo quanto dalla stessa dichiarato, può “inserire dei parametri sulla base di una personalizzazione locale” nonché, in taluni casi, modificare i parametri stessi (v. precedente punto 1.1., lett. g., h., t. e x). Diversamente da quanto sostenuto dalla società la necessaria impostazione dei parametri in base ai quali opera il funzionamento dell’algoritmo non fa venir meno, in sé, l’assunzione di decisioni basate unicamente su un trattamento automatizzato (v. memorie difensive, p. 12). Considerato, peraltro, che la stessa società in sede di accertamenti ispettivi ha dichiarato che “l’assegnazione del punteggio è generalmente automatizzata” (v. precedente punto 1.1., lett. t.) si osserva che la dichiarata possibilità di intervenire manualmente sul sistema in caso di “segnalazione” di un rider a seguito di un feedback negativo, riguarda solo uno dei numerosi dati personali trattati attraverso il sistema.

Le variabili sulla base delle quali è assegnato il punteggio a ciascun rider (espresso in numeri percentuali distinti per ogni parametro relativamente a ciascun ordine; v. screenshot relativi al punteggio) sono cinque, in particolare: punteggio assegnato dall’utente (15%); punteggio assegnato dal partner (5%); punteggio determinato dalla fornitura di servizi in ore di alta domanda, purché il rider abbia selezionato almeno 5 slot ad alta domanda in 7 giorni consecutivi (35%); ordini effettivamente consegnati (10%); produttività della piattaforma (35%), basata sul numero di ordini proposti al rider (che può optare per la assegnazione automatica al fine di aumentare il punteggio), sulla effettuazione del check-in all’interno dello slot prenotato “pochi minuti dopo l’inizio” della fascia oraria selezionata (v. Doc. 5, nota 12.8.2019) e sull’accettazione, entro un breve termine (30 secondi), dell’ordine assegnato.

Pertanto l’assegnazione del punteggio all’interno del c.d. sistema di eccellenza, derivante dalla applicazione di una formula matematica in base alla quale è effettuato il calcolo, penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano o che non portano effettivamente a termine un certo numero di consegne; viceversa il sistema favorisce i rider che accettano nei termini stabiliti un maggior numero di ordini e che consegnano effettivamente il maggior numero di ordini. La circostanza che la società, come dichiarato (v. punto 1.1., lett. s. e 2.1., lett. y.), consente la possibilità di prenotare parte (non quantificata) della disponibilità di ogni slot indipendentemente dal punteggio, non modifica in modo sostanziale il funzionamento del sistema.

Attraverso il punteggio la società valuta pertanto l’operato del rider e produce, in tal modo, un effetto significativo sulla sua persona proponendo o negando l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto (v. precedente punto 1.1., lett. m., r. e w.; v. screenshot acquisiti durante l’accertamento con attribuzione di “bad rating” ai rider; v. altresì doc. 13 “Glovo – Excellence score” acquisito dall’AEPD presso la capogruppo GlovoApp23 SL nel quale viene precisato che “en ese momento la puntuacion se determina de acuerdo con los siguientes parametro: 35% - Alta domanda Partners: pedidos llevados a cabo en las franjas horaria determinadas por los partners como alta domanda. Si durante 7 dias consecutivos o mas, ha seleccionado menos de 5 franjas horaria, no se considerandichas franjas. El resultado de esta puntuacion es el minimo entre 1 o el numero de pedidos realizados en alta demanda (n) en los ultimos 28 dias entre 60. […] 35% - eficiencia: tiene en cuenta las ordenes mostradas al repartidor (Os). […] tiene en cuenta los pedidos rechazados (Or) y resignados (Ora), estos ultimo considerados en AA (mediante el chat) y los primeros los pedidos que sin la AA no son aceptados en los primero 30 segundos. Otro valor que tiene e cuenta son los check_in (CI), segun el cual es un valor binario entre 1 si ha hecho el check_in y 0 si no”). Dall’esame del meccanismo di assegnazione del punteggio emerge, quindi, da un lato che la società effettua una attività di profilazione che incide in modo significativo sugli interessati determinando – mediante l’accesso agli slot - la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere una opportunità di impiego. D’altro lato emerge altresì che i feedback presi in considerazione dal sistema, per il calcolo della relativa quota di punteggio, sono solo quelli negativi “El resultado es el máximo entre 0 y la inversa del número de feedbacks negativos (de 1 o 2) por parte del partner con una constante de 0,2 en los 50 últimos pedidos. Cuanto mayor es el número de feedbacks negativos, menor es el segundo valor hasta que cuando se convierte en negativo, cuenta como 0”. Pertanto, il punteggio, variato solo a seguito di feedback negativi e non incrementato a seguito di feedback positivi, subisce un effetto penalizzante derivante da un maggior peso assegnato al feedback negativo.

E’ altresì emerso che la società effettua trattamenti automatizzati anche attraverso il sistema per l’assegnazione degli ordini ai rider denominato Jarvis, il quale secondo quanto dichiarato, è un algoritmo che utilizza le seguenti informazioni: posizione geografica del rider tratta dal GPS del dispositivo; posizione del punto vendita dove ritirare il prodotto da consegnare; indirizzo di consegna; requisiti specifici dell’ordine e altri parametri quali il tipo di veicolo utilizzato dal rider (v. Doc. 4, nota della società 12.8.2019).

Nonostante l’assenza di chiarimenti esaustivi – pur richiesti - sulle modalità di funzionamento dell’algoritmo preordinato all’assegnazione degli ordini ai rider – Jarvis -, che presiede al funzionamento della piattaforma di proprietà di GlovoApp23, utilizzata (anche) da Foodinho s.r.l., nonché sulle specifiche modalità con le quali Jarvis interagisce con il c.d. sistema di eccellenza, all’esito dell’attività di controllo effettuata dall’Autorità, utilizzando anche documentazione acquisita dall’AEPD, emerge che la società, avvalendosi di una piattaforma digitale che opera attraverso algoritmi, adotta decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, dei dati personali dei rider.

Tale valutazione tiene conto della definizione fornita dal Regolamento in base alla quale per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali “consistente nell’utilizzo di tali dati personali per valutare determinarti aspetti personali relativi ad una persona fisica, in particolare per analizzare e prevedere aspetti riguardanti il rendimento professionale […], l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (v. art. 4, n. 4) nonché di quanto precisato in proposito dal Considerando 71 in base al quale l’attività di profilazione produce effetti giuridici o comunque incide in modo significativo sulla persona dell’interessato.

Considerato che nel caso concreto risulta applicabile una delle esenzioni previste dall’art. 22 rispetto al diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo significativo sull’interessato e che, in particolare, risulta che il trattamento è necessario per l’esecuzione di un contratto stipulato tra le parti (v. art. 22, par. 2, lett. a) del Regolamento), non risulta tuttavia che la società abbia provveduto ad attuare misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano […], di esprimere la propria opinione e di contestare la decisione”.

Diversamente da quanto sostenuto dalla società non vi è evidenza alcuna della adozione di misure relative all’esercizio dei diritti attraverso l’attivazione di canali dedicati (chat accessibile attraverso l’applicazione, sportelli dedicati, email: v. memorie difensive, p. 12). Né risulta che gli interessati fossero in alcun modo consapevoli della possibilità di esercitare tali diritti nei confronti delle decisioni adottate mediante l’utilizzo della piattaforma.

Inoltre non risulta che la società, in relazione ai trattamenti effettuati in qualità di titolare, abbia adottato misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, la esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale, compresi il sistema di punteggio e il sistema di assegnazione degli ordini (v. in proposito specifici riferimenti in Considerando 71, cit.; v. Commissione europea, Un'Unione dell'uguaglianza: la strategia per la parità di genere 2020-2025, 5.3.2020, COM(2020) 152 final, “Gli algoritmi e l'apprendimento automatico ad essi correlato, se non sufficientemente trasparenti e robusti, rischiano di riprodurre, amplificare o contribuire a pregiudizi di genere di cui i programmatori possono non essere a conoscenza o che sono il risultato di una specifica selezione di dati”). Ciò anche in relazione agli obblighi posti dalla disciplina di settore in materia di funzionamento delle piattaforme (v. art. 47-quinquies, d. lgs. n. 81/2015, in vigore dal 3.11.2019 “1. Ai lavoratori di cui all'articolo 47-bis si applicano la disciplina antidiscriminatoria e quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, ivi compreso l'accesso alla piattaforma. 2. L'esclusione dalla piattaforma e le riduzioni delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione sono vietate.”, su cui, più estesamente, par. 3.3.9.; v. Consultative Committee of the Convention for the Protection of Individuals with regard to automatic processing of personal data (Convention 108), Guidelines on Artificial Intelligence and Data Protection, Strasbourg, 25 January 2019, “AI developers, manufacturers, and service providers should adopt forms of algorithm vigilance that promote the accountability of all relevant stakeholders throughout the entire life cycle of these applications, to ensure compliance with data protection and human rights law and principles”.

Con riferimento, infine, al meccanismo di feedback, che determina il 20% del punteggio di eccellenza, non risulta che la società abbia adottato misure appropriate per evitare usi impropri o discriminatori dei meccanismi reputazionali basati sui feedback.

Il Garante, seppure con riferimento alla disciplina anteriore all’applicazione del Regolamento, ha stabilito che i trattamenti automatizzati, compresa la profilazione, devono avvenire nel rispetto delle disposizioni rilevanti e in presenza di garanzie adeguate (v. provv. 29.11.2018, n. 492; v. anche, sul punto, provv. 24.11.2016, n. 488 confermato da Corte Cass. n. 14381 del 25.5.2021).

Si ribadisce, infine, che il documento trasmesso dall’AEPD alle autorità di controllo interessate in data 30 gennaio 2021 nell’ambito della procedura di cooperazione attivata ai sensi dell’art. 60 del Regolamento, e citato nelle memorie difensive della società, non è definitivo, in quanto il procedimento di adozione non è, allo stato, concluso. Pertanto le affermazioni ivi contenute, nelle more dell’adozione del provvedimento ai sensi dell’art. 60 par. 7 del Regolamento da parte dell’Autorità capofila, non hanno valore di accertamento.

Per i suesposti motivi la società ha pertanto violato l’art. 22, par. 3, del Regolamento

3.3.7. In base alla documentazione acquisita in atti risulta che la società ha effettuato all’Autorità la comunicazione – attraverso la procedura online appositamente predisposta attraverso il sito istituzionale del Garante − dei dati di contatto del responsabile della protezione dei dati (designato a livello di gruppo) ex art. 37, par. 7 del Regolamento in data 1 luglio 2020, precisando, in tale occasione, che “la nomina del RPD di gruppo è avvenuta in data 23/05/2019 ed è stata comunicata al Garante il 12/08/2019 nel corso del procedimento con ordine di servizio 24046/137534. La […] comunicazione è dunque meramente formale ed ha effetto retroattivo”.

La società nelle memorie difensive ha osservato, in proposito, che le attività di nomina del RPD e di comunicazione della stessa all’autorità di controllo sono “di esclusiva competenza” della società capogruppo anche per “ragioni di praticità nell’adempimento degli obblighi di compliance del gruppo”. Oltre alle generiche ragioni di praticità, però, non sono stati indicati altri motivi in base ai quali Foodinho s.r.l. ritenga che la comunicazione della nomina del RPD nei confronti del Garante della protezione dei dati personali sia esclusivamente un’attività della società capogruppo spagnola considerato che la società italiana “non aveva (e non ha) la possibilità di procedere in autonomia” a tale attività.

Ritenuta conforme alla normativa di protezione dei dati la nomina a livello di gruppo societario del RPD (v. art. 37, par. 2 del Regolamento), l’art. 37, par. 7 del Regolamento dispone che “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”: conseguentemente nel caso in cui il RPD venga nominato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente (ciò risulta chiarito anche dalle Faq dell’Autorità adottate con provvedimento del 29 aprile 2021, n. 186). Ciò posto, essendo Foodinho s.r.l. il titolare del trattamento dei dati dei rider che prestano l’attività lavorativa per la stessa società italiana in Italia, la comunicazione al Garante dell’avvenuta designazione del RPD - pur effettuata a livello di gruppo - che si ritiene idonea ai sensi di quanto stabilito nel richiamato art. 37, par. 7, del Regolamento, è quella effettuata dalla società italiana in data 1.7.2020, conformemente alla specifica procedura delineata sul sito istituzionale dell’Autorità.

Pertanto anche sotto tale profilo il trattamento effettuato dalla società fino alla data della comunicazione del 1.7.2020 risulta illecito ex art. 37, par. 7 del Regolamento.

3.3.8. Con riferimento all’obbligo posto in capo al titolare di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (v. art. 30 del Regolamento), si osserva che nel corso delle attività ispettive l’Autorità ha acquisito copia del Registro dei trattamenti (versione 06 – 20052019, sia la copia in lingua inglese fornita durante l’ispezione sia la traduzione in italiano fornita il 12.8.2019), che è risultato essere in primo luogo sprovvisto della indicazione e dei dati di contatto del responsabile della protezione dei dati. Diversamente da quanto ritenuto dalla società (v. precedente punto 2.1., lett. bb.), posto che sia la designazione del RPD che la tenuta del registro dei trattamenti rientrano tra gli adempimenti che spettano al titolare e che Foodinho s.r.l. non solo è soggetto giuridico autonomo rispetto alla capogruppo GlovoApp23 ma, in base al “Data Processing Agreement” del 20.5.2018, è titolare del trattamento in relazione alla fornitura dei servizi agli utenti mediante la piattaforma avvalendosi dei rider, è priva di fondamento la ricostruzione per cui la società non avrebbe potuto integrare il registro su questo punto “data la competenza esclusiva della Capogruppo per la nomina e la comunicazione dei suoi dati al Garante”.

Inoltre il predetto Registro dei trattamenti, redatto peraltro con modalità che non consentono di distinguere chiaramente le categorie di interessati dalle categorie di dati trattati (posto che i tipi di dati sono direttamente elencati sotto la voce “Soggetti interessati” e “Categorie interessate”) e che descrive in modo generico le finalità dei trattamenti riferiti ai rider (ad es. in relazione alla Gestione del rapporto la finalità indicata è “soddisfare i servizi offerti dai fornitori tramite la piattaforma tecnologica”, laddove per fornitori si intendono i rider), non risultano indicate talune tipologie di dati personali, il cui trattamento è stato accertato nel corso delle attività di controllo. In particolare, non sono elencati i dati relativi alle comunicazioni intercorrenti tra i rider e il customer care attraverso chat ed email nonché i dati c.d. esterni delle telefonate e la possibilità di accedere al contenuto delle stesse, né i dati utilizzati nell’ambito del c.d. sistema d’eccellenza e gli specifici dati relativi ai dettagli degli ordini rilevati attraverso l’app. Contrariamente a quanto sostenuto dalla società nelle memorie difensive tali informazioni trattate dai sistemi sono riconducibili agli interessati e come tali rientrano nella definizione di dato personale (v. art. 4, n. 1 del Regolamento), in alcuni casi (dati trattati nel “sistema di eccellenza” e i dettagli relativi all’ordine) perché preordinati alla definizione di un punteggio (“score”) individuale o comunque inseriti in un sistema informatico che associa ciascun ordine (e i relativi dati) al rider (v. screenshot acquisiti durante l’ispezione relativi al punteggio, dove per ciascun rider identificato con nome e cognome, glover’s ID e indirizzo email sono associate le singole voci del punteggio elaborate giornalmente; v. altresì screenshot relativi agli ordini dove per ciascun rider identificato con nome e cognome ed altre informazioni sono associati i dettagli di ciascun ordine). Anche per quanto riguarda i dati relativi alle comunicazioni con il customer care, in base agli accessi diretti effettuati nel corso delle attività ispettive sui sistemi utilizzati dalla società (documentati attraverso screenshot acquisiti in atti) è emerso che il sistema Kustomer consente di accedere alle email e alle chat individuando il rider (attraverso nome e cognome, di solito associati alle iniziali, ed altre informazioni come numero telefonico e email; v. screenshot acquisito in atti relativo alle email). Si rappresenta in proposito che lo screenshot citato nelle memorie difensive a proposito delle chat reca, per l’appunto, le iniziali del nome e cognome del rider che può agevolmente essere ricavato nella sua interezza attraverso semplici passaggi sempre possibili nel sistema (v., ad es., gli screenshot relativi allo storico degli ordini dove per ciascun ordine effettuato da un rider identificato è presente anche il pulsante “chat transcript”). Anche per quanto riguarda le telefonate i dati c.d. esterni (numero chiamante e chiamato, ora di inizio e fine telefonata, tempo di attesa, durata: v. screenshot acquisito in ispezione) sono presenti direttamente sulla schermata unitamente al link per accedere alla registrazione (subordinatamente all’ottenimento di una autorizzazione da parte della capogruppo, secondo quanto dichiarato). Tali dati costituiscono specifiche “categorie di dati personali” (v. art. 30, par. 1, lett. c) del Regolamento) e in quanto tali devono essere indicati nel Registro. Da ultimo si rileva che anche dall’esame degli screenshot acquisiti dall’AEPD nel corso degli accertamenti effettuati nei confronti di GlovoApp23 emerge che i sistemi utilizzati (Kustomer – con collegamento diretto al sistema di gestione delle telefonate Maz Voz – e Admin) trattano i dati associandoli ai riferimenti identificativi dei rider (v. Doc. 15 trasmesso da AEPD il 4.9.2020 e consegnato a Foodinho a seguito della presentazione di istanze di accesso agli atti).

Inoltre dal predetto Registro emerge che in relazione ad alcuni trattamenti dei dati dei rider (v. “registrazione dei fornitori (corrieri)”, punto 8, nota 12.8.2020, All. 4) il termine ultimo di conservazione non è indicato in modo univoco, considerato che viene specificato che “i dati saranno cancellati al termine del rapporto di lavoro tra fornitore e Glovo e dopo 4 anni da tale data”. Ciò considerato anche che, come già rilevato, il rapporto di lavoro risulta in corso anche decorsi periodi significativi di inattività (v. screenshot acquisiti durante le ispezioni dove risultano presenti dati di rider che non ricevono ordini anche da 1203 giorni) (come dichiarato nel corso dell’ispezione, v. verbale 17.7.2019, p. 6 “la società sta valutando quale può essere un lasso di tempo congruo di inattività del rider per considerare concluso il rapporto di lavoro, indipendentemente da una azione positiva del rider. Al momento infatti, a meno di un’azione positiva del rider, il rapporto di lavoro si considera in corso per il sistema anche con lunghi periodi di inattività”). Non risulta inoltre menzionato nel Registro il diverso termine di conservazione – pari a dieci mesi − delle mappe degli ordini effettuati.

Il Registro, infine, non contiene la descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all'articolo 32, paragrafo 1 del Regolamento (come previsto dall’art. 30, par. 1, lett. g) del Regolamento stesso). In proposito non può essere condivisa l’affermazione della società per la quale poiché al tempo dell’ispezione la medesima “operava in Italia da soli 3 anni […] stava ancora valutando diversi provider di servizi IT di sicurezza, al fine di individuare – anche in accordo con la Capogruppo – quelli più adeguati alla natura/tipologia del trattamento svolto” (v. precedente punto 2.1., lett. bb.). Infatti l’arco temporale di tre anni è troppo ampio rispetto alla necessità di approntare con tempestività misure adeguate in relazione ai rischi, tenuto conto della natura, dell'oggetto, del contesto e delle finalità dei trattamenti effettuati dalla società nei confronti di un numero rilevante di interessati (al momento delle attività di accertamento, secondo quanto dichiarato, 18.684 rider).

Per i suesposti motivi la società, pertanto, ha violato l’art. 30, par. 1, lett. a), b), c), f), g) relativamente alle modalità di redazione e tenuta del registro (versione 06 – 20052019) previste dall’ordinamento.

Nel corso del procedimento, in allegato alle memorie difensive, la società ha fornito una versione aggiornata del Registro delle attività di trattamento, (versione 07, 2019-2021; v. All. 16 memorie difensive 11.3.2021). Anche tale versione, che costituirebbe l’ultima versione del registro (disponibile), sotto il profilo formale non contiene l’indicazione verificabile della data di redazione (ad esempio affiancata da una sottoscrizione) né quella della prima istituzione del registro stesso. Considerato che il registro è uno strumento che consente al titolare, nell’ambito dell’accountability, di disporre di un quadro aggiornato dei trattamenti effettuati anche in vista dell’analisi dei rischi nonché di poter corrispondere alle richieste di esibizione da parte dell’autorità di controllo, i contenuti ivi riportati devono corrispondere ai trattamenti effettivamente in essere. Per tale ragione l’Autorità ha ritenuto che il registro deve essere compilato in modo tale da indicare la data, verificabile, della sua prima istituzione e quella dell’ultimo aggiornamento (v. FAQ sul registro delle attività di trattamento, n. 5). Ciò considerato che la tenuta del registro non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei trattamenti dei dati personali effettuati.

Ciò premesso, emerge che tale versione aggiornata dal registro contiene il nominativo e i dati di contatto del RPD, coerentemente con quanto previsto dall’art. 30, par. 1, lett. a) del Regolamento. Tale Registro, la cui struttura è rimasta tale, tuttavia, da sovrapporre per talune voci le categorie di interessati alle categorie di dati trattati (posto che i tipi di dati sono elencati sotto la voce “Soggetti interessati” e “Categorie interessate”), contiene rispetto alla versione precedente nuove tipologie di trattamenti di dati riferiti ai rider. In relazione ad alcune di tali tipologie di dati personali non è indicata - né è comunque rinvenibile - una base giuridica idonea (dati trattati per finalità di marketing; dati trattati per finalità di studio sull’utilizzo della piattaforma e gruppi di discussione; dati relativi alle “registrazioni vocali”; dati relativi alla “prevenzione di frodi”), posto che risultano indicati, peraltro in più di un caso cumulativamente, come presupposti di liceità dei relativi trattamenti il legittimo interesse della società - in assenza di alcuna evidenza di previa effettuazione del necessario test comparativo da parte del titolare; v. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, test che appare necessario anche a fronte del dichiarato trattamento delle “opinioni espresse durante i gruppi di discussione”, tenuto anche conto del divieto posto dalla legislazione di settore di effettuare indagini sulle opinioni o comunque su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore) - e il consenso dell’interessato – in assenza nel caso concreto di alcuna evidenza che tale specifico consenso sia stato reso e, in ogni caso, sia stato reso nel rispetto delle condizioni previste dall’ordinamento (il consenso deve essere dimostrabile, prestato liberamente, revocabile e reso a fronte di un’adeguata informativa; v. art. 7 del Regolamento). In relazione alla finalità di “prevenzione di frodi”, poi, non risulta in base a quale obbligo giuridico posto in capo al titolare sia effettuato il trattamento, tenuto anche conto che come base giuridica è altresì indicato, anche qui, il legittimo interesse del titolare. Non sono inoltre indicati i tipi di dati trattati in relazione a tale finalità (posto che nella sezione denominata “categorie di dati” è presente l’indicazione “Corrieri che offrono i loro servizi agli utenti attraverso la piattaforma”).

Emergono inoltre alcune incongruenze relativamente a talune categorie di dati (non presenti nella precedente versione). In particolare, nella categoria “Uso della piattaforma (Glover App)” tra le categorie di dati trattati non figura la geolocalizzazione, pacificamente oggetto di trattamento mediante l’applicativo (la geolocalizzazione è presente in una sezione a sé del registro, sebbene non corrisponda ad una specifica finalità bensì ad una categoria di dati). In relazione alle finalità di “Gestione dei sinistri” e “Contatti con le compagnie di assicurazione” non è indicato il dato relativo allo stato di salute dell’interessato.

Quanto alla descrizione generale delle misure di sicurezza il registro precisa che le misure sono “descritte e disponibili nelle politiche interne di sicurezza a livello di gruppo”. Tuttavia non risulta in atti alcun documento contenente la descrizione delle misure di sicurezza di tipo tecnico ed organizzativo adottate ai sensi dell’art. 32 del Regolamento che sarebbero state predisposte a livello di gruppo ed adottate anche dalla società italiana.

Con riferimento, infine, alla indicazione dei termini di conservazione dei dati trattati si rinvia a quanto già esposto nel precedente paragrafo 3.3.2., laddove si è evidenziato che i termini presenti nel registro dei trattamenti sono diversi da quelli comunicati dalla società nel corso dell’istruttoria e comunque non distintamente individuati in relazione alle specifiche e distinte finalità perseguite.

Per i suesposti motivi anche la versione aggiornata del registro delle attività di trattamento predisposto dalla società (versione 07, 2019-2021) non è conforme a quanto stabilito dall’art. 30 del Regolamento, in relazione alle lettere c), f) e g).

3.3.9. È infine emerso che la società effettua i trattamenti di dati personali dei rider, sopra descritti, nell’ambito di un rapporto di lavoro avente ad oggetto il trasporto di cibo o altri beni da ristoranti o altri esercenti partner della società mediante l’utilizzo di una piattaforma digitale e verso un corrispettivo.

Foodinho s.r.l. stipula con i rider un contratto-tipo predisposto e qualificato dalla società come “contratto di prestazione d’opera ex art. 2222 codice civile” di cui sono presenti in atti versioni (datate e sottoscritte) che presentano in alcuni punti formulazioni diverse. In particolare il contratto consegnato all’Autorità nel corso degli accertamenti ispettivi (datato e sottoscritto il 22.5.2018) stabilisce, tra l’altro, che: “il collaboratore autonomo, mediante l’utilizzo di mezzo proprio e con oneri completamente a suo carico, nei giorni e negli orari che riterrà più opportuni, avrà facoltà di rendersi disponibile, mediante l’apposita App software predisposta dalla società, ad effettuare attività di trasporto di pasti/beni dagli esercizi dei ristoratori/esercizi locali, clienti e non della piattaforma Glovo, al domicilio dei consumatori”; “il collaboratore […] potrà confermare per il tramite dell’App software la propria volontà di effettuare la prestazione, e di conseguenza organizzarsi per il ritiro dei pasti/beni […] e la relativa consegna al consumatore nel rispetto dei tempi richiesti dal cliente. Qualora il collaboratore non intenda eseguire l’incarico segnalato non avrà alcun obbligo né di segnalazione né di risposta, rimanendo nella sua libera disponibilità la scelta delle attività da svolgere”; il rider “può indossare gli indumenti ed utilizzare gli accessori forniti da Foodinho” versando a titolo di cauzione l’importo di 65 euro; “Al collaboratore per ogni servizio svolto […] Foodinho riconoscerà un importo variabile lordo […]”; “il presente accordo potrà essere risolto in qualunque momento da entrambe le parti con un preavviso di 24 ore. In caso di grave inadempienza del collaboratore […] la società potrà interrompere immediatamente la collaborazione senza alcun preavviso”.

In atti è presente copia di contratti acquisiti presso GlovoApp23 dall’AEPD e trasmessi all’Autorità (denominati “Prestazione occasionale di lavoro autonomo”), non menzionati nelle memorie difensive, datati e sottoscritti - con oscuramento del nome del contraente – in data 7.9.2018; 7.5.2019 e 2.12.2020. I testi dei contratti-tipo sono parzialmente diversi da quello del 22.5.2018, con l’aggiunta di formulazioni che accentuano la dichiarata autonomia del rider nell’esecuzione della prestazione.

I trattamenti di dati personali riferiti ai rider effettuati dalla società nell’ambito del rapporto di lavoro disciplinato dal contratto sopra descritto presentano caratteristiche e modalità di effettuazione del tutto peculiari, emerse all’esito degli accertamenti dell’Autorità.

Il rider per poter svolgere l’attività lavorativa deve scaricare sul proprio smartphone l’applicazione Glover cui accedere mediante credenziali (codice di accesso) fornite dalla società e password. Attraverso l’applicazione il rider prenota le fasce orarie (slot), predeterminate dalla società, fino alla saturazione delle stesse, in base al funzionamento del “sistema di eccellenza”; tra gli slot alcuni sono definiti, dalla società stessa, “ad alta domanda” perché normalmente caratterizzati da un maggior numero di ordini. Tale sistema è preordinato a presentare con priorità la scelta degli slot a coloro che hanno acquisito un punteggio maggiore, sebbene, secondo quanto dichiarato dalla società, per ciascuno slot sarebbe assicurata una quota, non precisata, di disponibilità indipendente dal punteggio acquisito dal rider. Gli slot disponibili si esauriscono man mano che i rider che accedono con priorità al calendario manifestano la loro preferenza, riducendo progressivamente la possibilità di accedere ai turni e agli ordini per gli altri rider (alle stesse conclusioni è giunto il Trib. Palermo, sez. lavoro, sentenza 24.11.2020, n. 3570, resa nei confronti di Foodinho s.r.l.).

Il “sistema di eccellenza” si basa su criteri determinati da valori percentuali elaborati attraverso la piattaforma digitale, distinti per ogni parametro relativamente a ciascun ordine, in alcuni casi determinati o modificati dalla società sulla base di una personalizzazione locale. In particolare le variabili sulla base delle quali è assegnato il punteggio a ciascun rider (v. screenshot relativi al punteggio) - come già rappresentato in precedenza - sono cinque, in particolare: punteggio assegnato dall’utente (15%); punteggio assegnato dal partner (5%); punteggio determinato dalla fornitura di servizi in ore di alta domanda, purché il rider abbia selezionato almeno 5 slot ad alta domanda in 7 giorni consecutivi (35%); ordini effettivamente consegnati (10%); produttività della piattaforma (35%), basata sul numero di ordini proposti al rider (che può optare per la assegnazione automatica al fine di aumentare il punteggio), sulla effettuazione del check-in all’interno dello slot prenotato “pochi minuti dopo l’inizio” della fascia oraria selezionata e sull’accettazione, entro un breve termine (30 secondi), dell’ordine assegnato (v. precedente punto 3.3.6).

L’assegnazione del punteggio all’interno del “sistema di eccellenza”, derivante dalla applicazione di un algoritmo in base al quale è effettuato il calcolo, quindi, penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano o che non portano effettivamente a termine un certo numero di consegne; viceversa il sistema favorisce i rider che accettano nei termini stabiliti un maggior numero di ordini e che consegnano effettivamente il maggior numero di ordini. Attraverso il punteggio la società valuta pertanto l’operato del rider e nega l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto (v. precedente punto 3.3.6).

Sebbene la società non abbia chiarito in modo esauriente in base a quali formule e meccanismi operano gli algoritmi che presiedono al complessivo funzionamento della piattaforma digitale, è emerso che successivamente all’attribuzione dei diversi slot la società, attraverso il sistema di assegnazione degli ordini, basato sull’algoritmo denominato Jarvis e attraverso il trattamento di dati quali la posizione geografica rilevata mediante GPS, il tipo di mezzo utilizzato dal rider per effettuare le consegne, la distanza del rider dal punto di ritiro e dal punto di consegna dell’ordine, nonché altri parametri quali i “requisiti specifici dell’ordine” o la possibilità di aggiungere all’ordine altri prodotti da consegnare (v. Doc. 4, nota 12.8.2019), assegna gli ordini al rider che ha effettuato tempestivamente il check-in nello slot prenotato e gestisce tutta la fase di esecuzione dell’ordine. È emerso altresì che il sistema tratta i dati relativi al livello della batteria del dispositivo utilizzato dal rider e agli slot complessivamente prenotati dal rider (v. screenshot acquisiti nel corso degli accertamenti ispettivi).

Dall’accesso ai sistemi è emerso che è comunque disponibile per gli operatori della società che lavorano in Italia la funzione wake-up couriers che consente di inviare una notifica ai rider che hanno prenotato uno slot, ma non sono attivi nello stesso, sebbene la società abbia dichiarato che tale funzione “non è utilizzata dagli operatori di Operations in Italia”.

Il compenso riconosciuto ai rider è determinato da Foodinho s.r.l. in base a valori individuati dalla stessa società, che provvede altresì ad elaborare e inviare al rider la relativa fattura.

Le comunicazioni effettuate durante la fase di assegnazione degli ordini tra il customer care e i rider, sia i dati esterni che il contenuto delle stesse (il contenuto delle telefonate è memorizzato su diversa piattaforma Aircall), sono registrate e conservate dal sistema.

I sistemi utilizzati dalla società, infine, consentono di visualizzare per ciascun rider sia i dettagli dell’ordine in corso (compresa la visualizzazione in tempo reale su mappa) sia lo storico degli ordini effettuati (compresa la visualizzazione su mappa conservata per 10 mesi).

Considerato che i trattamenti dei dati riferiti ai rider sono effettuati nell’ambito di un rapporto di lavoro è necessario esaminare preliminarmente le disposizioni specifiche contenute nel Regolamento in tale materia all’interno del Capo IX. In particolare l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, indipendentemente dalla specifica tipologia del rapporto di lavoro. Ciò con particolare riferimento all’adozione di “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro”. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento – quello di liceità costituisce uno dei principi generali del trattamento stesso ai sensi dell’art. 5, par. 1, lett. a) del Regolamento – ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

Il legislatore nazionale, a partire dal 2015, ha inoltre adottato disposizioni volte a disciplinare l’ambito delle prestazioni di lavoro effettuate mediante l’operatività di piattaforme digitali. L’art. 2, d. lgs. 15 giugno 2015, n. 81 ha stabilito che “A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione che si concretano in prestazioni di lavoro esclusivamente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro”. A seguito delle modificazioni introdotte dalla l. 2 novembre 2019, n. 128, in vigore dal 3 novembre 2019, l’art. 2 su citato prevede che le prestazioni di lavoro siano non già “esclusivamente” bensì “prevalentemente” personali, ed inoltre, nel precisare che le modalità di esecuzione del lavoro sono organizzate dal committente, ha soppresso il riferimento ai tempi e al luogo di lavoro. È stato, infine, chiarito che le disposizioni si applicano “anche qualora le modalità di esecuzione della prestazione siano organizzate mediante piattaforme anche digitali”.

È stato altresì inserito il Capo V-bis dedicato alla “Tutela del lavoro tramite piattaforme digitali” che ha introdotto le definizioni di piattaforme digitali (“i programmi e le procedure informatiche utilizzati dal committente che, indipendentemente dal luogo di stabilimento, sono strumentali alle attività di consegna di beni, fissandone il compenso e determinando le modalità di esecuzione della prestazione”) e di rider (“i lavoratori autonomi che svolgono attività di consegna di beni per conto altrui, in ambito urbano e con l'ausilio di velocipedi o veicoli a motore di cui all'articolo 47, comma 2, lettera a), del codice della strada, di cui al decreto legislativo 30 aprile 1992, n. 285, attraverso piattaforme anche digitali”) (v. art. 47-bis, d. lgs. n. 81/2015). Tali definizioni, come anche chiarito con circolare del Ministero del Lavoro n. 17 del 19 novembre 2020, hanno valenza generale, ossia riferita anche alle prestazioni rese nel contesto della c.d. etero-organizzazione ai sensi del richiamato art. 2, d. lgs. n. 81/2015. Il predetto Capo V-bis ha inoltre stabilito “livelli minimi di tutela” per i rider che, in concreto, operano in qualità di lavoratori autonomi, in particolare estendendo l’applicabilità della “disciplina antidiscriminatoria e di quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, ivi compreso l’accesso alla piattaforma” e vietando “l’esclusione dalla piattaforma e le riduzioni delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” (art. 47-quinquies, d.lgs. n. 81/2015). È inoltre precisato che la disciplina in materia di protezione dei dati personali è applicabile ai trattamenti di dati dei lavoratori che svolgono la loro attività attraverso le piattaforme digitali (art. 47-sexies, d.lgs. n. 81/2015). Tali diritti devono intendersi riconosciuti ai rider indipendentemente dalla natura del rapporto di lavoro sottostante (etero-organizzato o autonomo), trattandosi di diritti fondamentali e indisponibili (sulla applicabilità di tale complessiva disciplina ai rider v. Trib. Bologna, sez. lav., ord. 31.12.2020).

Alla luce di tale disciplina di riferimento i trattamenti di dati personali oggetto di accertamento sono effettuati da Foodinho s.r.l. nell’ambito di un rapporto di lavoro ora normato dal richiamato art. 2, d. lgs. n. 81/2015 (come modificato dall’art. 1, comma 1, lett. a), nn. 1 e 2, d.l. 3.9.2019, n. 101, convertito con modificazioni in l. 2.11.2019, n. 128). La società, infatti, attraverso l’utilizzo di una piattaforma digitale consente ai clienti di effettuare ordini di cibo o altri beni presso un esercizio commerciale ed organizza l’attività di trasporto e consegna dei beni, in assenza di alcun coordinamento stabilito di comune accordo con i rider.

Dall’esame dalle concrete modalità dei trattamenti effettuati emerge che, indipendentemente da quanto astrattamente previsto nel contratto di lavoro, i rider effettuano continuativamente la prestazione con attività prevalentemente personale e con modalità esecutive determinate in modo sostanziale ed organizzate dalla società anche attraverso l’utilizzo della piattaforma digitale. La società, attraverso il sistema di prenotazione dei turni di lavoro individuati (“sistema di eccellenza”), seleziona e distribuisce i turni stessi (slot), attraverso l’operatività di un sistema basato sul punteggio assegnato al rider (score). Tale punteggio, come visto, tiene conto delle valutazioni assegnate da clienti e esercenti e della quantità di ordini assegnati ed effettuati in base alle previsioni del tempo stimato (e concretamente occorso) di consegna. Inoltre, sempre attraverso l’operatività della piattaforma, la società predispone l’assegnazione degli ordini, avvalendosi di un algoritmo che individua il rider sulla base di una pluralità di parametri, tra i quali la posizione geografica presa in considerazione per valutare la vicinanza al luogo ove deve essere effettuata la prestazione. È proprio attraverso l’operatività di tali sistemi (i quali hanno a disposizione una pluralità di altri dati raccolti, ad es. il livello di batteria del dispositivo utilizzato dal rider) che la società organizza l’attività di consegna di cibo ed altri beni, individuando, tra l’altro, tempo e luogo della prestazione. Inoltre l’attività è organizzata in modo da premiare i rider con il maggior numero di ordini accettati e consegnati, confermando così l’interesse della società a che la prestazione abbia natura continuativa. Diversamente da quanto sostenuto dalla società (v. memorie difensive, p. 19), la scelta del rider in merito al se e quando effettuare la prestazione non è senza conseguenze nell’ambito del rapporto di lavoro (e pertanto non può definirsi “libera”; alle stesse conclusioni giunge Trib. Palermo, sez. lavoro, 24.11.2020, cit.; vedi altresì Sentencia SOCIAL Nº 805/2020, Tribunal Supremo, Sala de lo Social, Rec 4746/2019 de 25 de Septiembre de 2020 resa nei confronti di GlovoApp23 SL, che ha accertato che “Pese a ello, la teórica libertad de elección de la franja horaria estaba claramente condicionada. […] En la práctica este sistema de puntuación de cada repartidor condiciona su libertad de elección de horarios porque si no está disponible para prestar servicios en las franjas horarias con más demanda, su puntuación disminuye y con ella la posibilidad de que en el futuro se le encarguen más servicios y conseguir la rentabilidad económica que busca, lo que equivale a perder empleo y retribución. Además la empresa penaliza a los repartidores, dejando de asignarles pedidos, cuando no estén operativos en las franjas reservadas, salvo causa justificada debidamente comunicada y acreditada”, par. decimoctavo).

Infatti è lo stesso sistema di punteggio ad essere strutturato in modo da presupporre (e comunque incoraggiare) la continuatività delle prestazioni dei rider, considerato che l’assegnazione dei turni di lavoro è effettuata in base ad un punteggio che aumenta con l’aumento degli ordini assegnati, accettati e consegnati. Una porzione significativa del sistema di punteggio (35%) è inoltre assegnata purché il rider riesca a prenotare almeno 5 slot ad alta domanda per 7 giorni consecutivi.

La su esposta ricostruzione della natura del rapporto di lavoro nell’ambito del quale sono effettuati i trattamenti è, d’altra parte, coerente con quanto accertato dalla giurisprudenza anche europea che ha, con alcune recenti pronunce, qualificato l’attività di soggetti che mediante una piattaforma digitale mettono in relazione clienti e esercenti nei termini di attività di impresa di trasporto (v., tra le più recenti, Corte di giustizia, Grande Sezione, 20 dicembre 2017, C-434/15 avente ad oggetto il caso che aveva coinvolto la società Uber Systems Spain SL; Cour de cassation, Chambre sociale, 4 marzo 2020, n. 374, adottata nei confronti di Uber France e Uber BV; Sentencia SOCIAL Nº 805/2020, Tribunal Supremo, Sala de lo Social, Rec 4746/2019 de 25 de Septiembre de 2020 cit., adottata nei confronti di GlovoApp23).

In proposito, infine, la Corte Suprema di Cassazione (sentenza 24 gennaio 2020, n. 1663), pronunciandosi in un caso avente ad oggetto il rapporto di lavoro tra una società di “food delivery” (Digital Services XXXVI Italy s.r.l., incorporata da Foodinho s.r.l.) ed alcuni rider, ha chiarito che il richiamato art. 2, d.lgs. n. 81/2015 deve qualificarsi come norma di disciplina che non crea una nuova fattispecie, posto che “al verificarsi delle caratteristiche delle collaborazioni individuate dall’art. 2, comma 1, del d.lgs. 81 del 2015, la legge ricollega imperativamente l’applicazione della disciplina della subordinazione”. In particolare, a seguito di alcune modifiche normative che hanno interessato la tipologia dei contratti di lavoro in Italia, “il legislatore, in una prospettiva anti elusiva, ha inteso limitare le possibili conseguenze negative, prevedendo comunque l’applicazione della disciplina del rapporto di lavoro subordinato a forme di collaborazione, continuativa e personale, realizzate con l’ingerenza funzionale dell’organizzazione predisposta unilateralmente da chi commissiona la prestazione”. A tale risultato il legislatore nazionale è pervenuto valorizzando “taluni indici fattuali ritenuti significativi (personalità, continuità, etero-organizzazione) e sufficienti a giustificare l’applicazione della disciplina dettata per il rapporto di lavoro subordinato […]”. Pertanto “quando l’etero-organizzazione, accompagnata dalla personalità e dalla continuità della prestazione, è marcata al punto da rendere il collaboratore comparabile ad un lavoratore dipendente, si impone una protezione equivalente e, quindi, il rimedio dell’applicazione integrale della disciplina del lavoro subordinato”.

Con riferimento alla disciplina applicabile ratione temporis al caso di specie, i trattamenti effettuati nell’ambito del rapporto di lavoro da Foodinho hanno tutt’ora le caratteristiche accertate dall’Autorità nel corso del procedimento; da ciò consegue l’applicazione della disciplina di settore allo stato vigente (art. 2, d. lgs. 15.6.2015, n. 81). Ad ogni buon conto alle prestazioni lavorative dei rider così come concretamente organizzate dalla società sarebbe stato applicabile, per i motivi suesposti, il comma 1 del richiamato art. 2, d.lgs. n. 81/2015 anche nel testo antecedente alle recenti modifiche normative intervenute nel 2019 (applicabile alle “prestazioni di lavoro prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro”).

In proposito non può essere accolta l’obiezione della società in base alla quale l’avvenuta sottoscrizione, da parte di quest’ultima, del contratto collettivo nazionale stipulato da Assodelivery e U.G.L. il 15 settembre 2020 (entrato in vigore il 3.11.2020) avrebbe “formalmente […] cristallizzato” la natura del rapporto di collaborazione instaurato con i rider nel senso di escludere l’applicabilità della disciplina del rapporto subordinato (tra cui quella richiamata dall’art. 114 del Codice). In primo luogo si osserva che l’idoneità del predetto ccnl, che ha iniziato a produrre i propri effetti circa un anno e tre mesi dopo l’effettuazione delle ispezioni presso la società, ad effettuare la qualificazione giuridica del rapporto ivi disciplinato è stata disconosciuta con circolare del Ministero del Lavoro del 19 novembre 2020; il Ministero del Lavoro ha altresì dubitato che il predetto contratto collettivo abbia le caratteristiche – e dunque sia idoneo a produrre i relativi effetti – individuate nel capo V-bis, segnatamente art. 47-quater- e nell’art. 2, comma 2, lett. a) (espressamente citato nelle premesse del ccnl ma relativo al lavoro etero-organizzato), del d. lgs. n. 81/2015, v. nota 17 settembre 2020). In ogni caso, per effetto di quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015, l’applicazione della disciplina in materia di “libertà e dignità del lavoratore” prevista per i lavoratori subordinati (tra i quali senz’altro rientra quella posta dall’art. 4, l. 20.5.1970, n. 300), rientra tra i livelli minimi di tutela garantiti dall’ordinamento indipendentemente dalla concreta natura del rapporto di lavoro in essere con coloro che rendono la prestazione di consegna di beni attraverso piattaforme “anche digitali”.

Posto pertanto che ai trattamenti effettuati dalla società si applica anche quanto stabilito dall’art. 4, l. 300/1970 cit., si rileva che la società effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider attraverso la geolocalizzazione del dispositivo (effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine in ragione della distanza del rider dal punto di ritiro e di consegna, come sostenuto dalla società, v. rilevazione ogni 15 secondi e conservazione di tutti i percorsi effettuati per 10 mesi) (v. anche sul punto quanto accertato nei confronti di GlovoApp23 da Tribunal Supremo, 25.9.2020, cit. “La geolocalización por GPS del demandante mientras realizaba su actividad, registrando los kilómetros que recorría, es también un indicio relevante de dependencia en la medida en que permite el control empresarial en tiempo real del desempeño de la prestación. Los repartidores están sujetos a un permanente sistema de control mientras desarrollan la prestación del servicio”, par. decimonoveno). Inoltre la società effettua trattamenti che consentono il controllo del rider mediante la raccolta e la conservazione nel corso dell’esecuzione dell’ordine di una molteplicità di ulteriori dati personali, tra i quali le comunicazioni con il customer care.

L’art. 114 del Codice (“Garanzie in materia di controllo a distanza”), come già ricordato, richiama l’art. 4, l. n. 300/1970 come condizione di liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro. In base a tale ultima disposizione “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

La società pur effettuando attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, la app e i canali utilizzati dal customer care) trattamenti di dati che consentono un’attività di minuzioso controllo sulla prestazione lavorativa svolta dai rider, ha omesso di applicare quanto in proposito stabilito dal richiamato art. 4, comma 1, l. 300/1970. Tale disciplina lavoristica, come visto sopra, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento.

Ciò configura pertanto la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento quanto alla disciplina applicabile in materia.

4. Conclusioni: illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) e e) (principi di liceità, correttezza, minimizzazione e limitazione della conservazione); 13 (informativa); 22, par. 3 (misure appropriate per i trattamenti automatizzati compresa la profilazione); 25 (protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita: privacy by design e by default); 30, par. 1, lett. a), b), c), f) e g); 32 (misure di sicurezza); 35 (valutazione di impatto); 37, par. 7 (comunicazione all’autorità di controllo del responsabile della protezione dei dati); 88 (trattamento dei dati nell'ambito dei rapporti di lavoro) del Regolamento; 114 (garanzie in materia di controllo a distanza) del Codice.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto, si ritiene necessario assegnare alla società un termine per conformare al Regolamento i trattamenti di dati tutt’ora in essere, pertanto:

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla corretta predisposizione dei documenti contenenti l’informativa, il registro dei trattamenti e la valutazione di impatto allineando altresì le caratteristiche dei trattamenti ivi indicati, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione dei tempi di conservazione dei dati trattati, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/23015 in materia di divieto di discriminazione, accesso alla piattaforma e esclusione dalla piattaforma (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback; tale verifica dovrà essere ripetuta ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti complessivamente effettuati dei dati dei rider con riferimento all’applicazione dei principi di minimizzazione e di privacy by design e by default, in relazione alla individuazione dei soggetti e dei profili autorizzati all’accesso dei diversi tipi di dati con riguardo alle mansioni svolte, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- si dispone, in aggiunta alla misura correttiva, una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i), Regolamento).

5. Ordinanza ingiunzione.

Ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166, commi 3 e 7 del Codice, il Garante dispone l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione (art. 18, l. 24.11.1981, n. 689), in relazione ai trattamenti dei dati personali effettuati dalla società, di cui è risultata accertata l’illiceità, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) e e); 13; 22, par. 3; 25; 30, par. 1, lett. a), b), c), f) e g); 32; 35; 37, par. 7; 88 del Regolamento; 114 del Codice, all’esito del procedimento di cui all’art. 166, comma 5 svolto in contraddittorio con il titolare del trattamento (v. precedenti punti 1.4. e 1.5.).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali e delle norme di settore applicabili, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, tra cui il principio di liceità (anche con riferimento alle disposizioni specifiche relative ai trattamenti nell’ambito dei rapporti di lavoro e al lavoro mediante piattaforme digitali); le violazioni hanno anche riguardato ulteriori molteplici disposizioni relative a: informativa, esercizio dei diritti nell’ambito dei trattamenti automatizzati compresa la profilazione, applicazione del principio di privacy by design e by default, registro dei trattamenti, misure di sicurezza, valutazione di impatto e comunicazione all’Autorità dei dati di contatto del responsabile della protezione dei dati; è stato altresì considerato che alcune violazioni accertate sono tutt’ora in essere ed hanno avuto inizio nel 2016 (anno di inizio delle attività da parte della società) e che i trattamenti hanno riguardato e tutt’ora riguardano un numero considerevole di interessati (18.684);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la negligente condotta della società e il grado di responsabilità della stessa che non si è conformata alla disciplina in materia di protezione dei dati relativamente ad una pluralità di disposizioni;

c) la società ha, nel corso del procedimento, adottato una misura con riferimento alla prospettata violazione dell’art. 32 del Regolamento;

d) l’assenza di precedenti specifici (relativi alla stessa tipologia di trattamento) a carico della società;

f) la società ha cooperato con l’Autorità solo parzialmente nel corso del procedimento.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019 (che ha registrato perdite di esercizio). Da ultimo si tiene conto della comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Foodinho s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 2.600.000,00 (2 milioni, seicentomila).

In tale quadro si ritiene, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, tra cui il principio di liceità e ulteriori molteplici disposizioni relative all’informativa, all’esercizio dei diritti nell’ambito dei trattamenti automatizzati compresa la profilazione, all’applicazione del principio di privacy by design e by default, al registro dei trattamenti, alle misure di sicurezza, alla valutazione di impatto e alla comunicazione all’Autorità dei dati di contatto del responsabile della protezione dei dati, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito Internet del Garante.

Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che, ricorrendone i presupposti, può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Foodinho s.r.l., in persona del legale rappresentante, con sede legale in Viale Monza, 259, Roma (RM), C.F. 09080990964, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c) e e); 13; 22, par. 3; 25; 30, par. 1, lett. a), b), c), f) e g); 32; 35; 37, par. 7; 88 del Regolamento; 114 del Codice;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento alla corretta predisposizione dei documenti contenenti l’informativa, il registro dei trattamenti e la valutazione di impatto, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento alla individuazione dei tempi di conservazione dei dati trattati, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/23015 in materia di divieto di discriminazione, accesso alla piattaforma e esclusione dalla piattaforma, da avviare entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback, verifica che dovrà essere ripetuta ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio, da avviare entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento all’applicazione dei principi di minimizzazione e di privacy by design e by default, entro 60 giorni dal ricevimento del presente provvedimento;

INGIUNGE

ai sensi dell’art. 58, par. 2, lett. d) del Regolamento a Foodinho s.r.l., di conformare al Regolamento i propri trattamenti con riferimento con riferimento all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, entro 60 giorni dal ricevimento del presente provvedimento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Foodinho s.r.l., di pagare la somma di euro 2.600.000,00 (2 milioni, seicentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

altresì alla medesima Società di pagare la predetta somma di euro 2.600.000,00 (2 milioni, seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Foodinho s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei