g-docweb-display Portlet

Provvedimento del 16 settembre 2021 [9713953]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9713953]

Provvedimento del 16 settembre 2021

Registro dei provvedimenti
n. 335 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il provvedimento del 22 luglio 2021, n. 285 adottato nei confronti di Deliveroo Italy s.r.l. (di seguito, la società) con il quale l’Autorità, a conclusione dell’istruttoria relativa ai trattamenti di dati personali dei rider, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento ha ingiunto alla società di conformare i propri trattamenti al Regolamento, con riferimento:

a. alla corretta predisposizione dei documenti contenenti l’informativa, al registro dei trattamenti e alla valutazione di impatto, entro 60 giorni dal ricevimento del provvedimento;

b. alla individuazione dei tempi di conservazione dei dati trattati, entro 60 giorni dal ricevimento del provvedimento;

c. alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, entro 60 giorni dal ricevimento del provvedimento;

d. alla individuazione di misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/23015 in materia di divieto di discriminazione, accesso alla piattaforma e esclusione dalla piattaforma, da avviare entro 60 giorni dal ricevimento del provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

e. alla individuazione di misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback, verifica che dovrà essere ripetuta ad ogni modifica dell’algoritmo, relativamente all’utilizzo dei feedback per il calcolo del punteggio, da avviare entro 60 giorni dal ricevimento del provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

f. all’applicazione dei principi di minimizzazione e di privacy by design e by default, entro 60 giorni dal ricevimento del provvedimento;

g. alla individuazione dei soggetti autorizzati ad accedere ai sistemi, in qualità di supervisori, con visibilità non limitata su base territoriale, definendo ipotesi predeterminate e specifiche finalità che rendano necessario tale accesso e adottando misure appropriate per assicurare la verifica di tali accessi;

h. all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, entro 60 giorni dal ricevimento del provvedimento;

VISTO che con il provvedimento del 22 luglio 2021, n. 285 l’Autorità ha altresì ingiunto alla società di pagare la somma di euro 2.500.000,00 (due milioni e cinquecentomila) a titolo di sanzione amministrativa pecuniaria, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento;

VISTO che la società, con nota del 25 agosto 2021, ha manifestato all’Autorità la propria intenzione di “adempiere [al] pagamento della sanzione pecuniaria […] entro il termine richiesto” e nel contempo ha chiesto la “estensione di ulteriori 30 giorni per gli altri adempimenti, fermo restando che, in buona fede, sta già adoperando in tal senso”;

VISTO che società ha motivato la richiesta di proroga dei termini assegnati per adempiere alle prescrizioni impartite con il predetto provvedimento rappresentando che “il Provvedimento è stato inviato […] in un periodo che, sia in Italia che in Europa, è considerato festivo. Ciò ha comportato l’assenza di figure chiave della società (sia il personale coinvolto nelle operazioni transfrontaliere che i legali interni ed esterni). A ciò si aggiunga il continuo imperversare della pandemia da COVID-19, con il relativo impatto sulla possibilità di organizzare riunioni interne e sulla disponibilità del personale di Deliveroo Italy, senza il quale non è possibile agire in conformità del GDPR”;

VISTO che i suesposti motivi, legati sia alla data in cui il provvedimento dell’Autorità è stato notificato alla parte (2 agosto 2021) sia alle difficoltà organizzative interne legate all’emergenza sanitaria in atto nonché al recente avvicendarsi di figure rilevanti nel management della società, ed in particolare del Responsabile della protezione dei dati, sono stati confermati all’Autorità anche nel corso di una riunione informale tenutasi l’8 settembre 2021;

VISTO che la società ha dichiarato di voler adempiere alle prescrizioni impartite e di voler proseguire nella attività di cooperazione con l’Autorità di controllo;

VISTO che la società ha provveduto in data 27 agosto 2021 ad effettuare il pagamento della sanzione amministrativa pecuniaria prevista dal provvedimento del 22 luglio 2021, n. 285;

CONSIDERATO che i motivi della proroga richiesta dalla società sono meritevoli di considerazione, alla luce della complessità e novità, in relazione ad alcune delle prescrizioni impartite dal Garante, delle attività necessarie a conformare alla disciplina in materia di protezione dei dati personali i trattamenti effettuati;

RITENUTO, alla luce dei suesposti motivi, che sia ragionevole concedere una proroga di 45 giorni dei termini entro i quali Deliveroo Italy s.r.l. è tenuta ad adempiere alle prescrizioni impartite ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, già fissati dal provvedimento in 60 giorni (v. lettere da a) a h) del dispositivo), che pertanto risultano complessivamente quantificati in 105 (60 più 45) giorni dalla data di notifica del provvedimento del 22 luglio 2021, n. 285; resta invece fermo il termine di 90 giorni, ulteriore rispetto a quello dei 105 giorni precedentemente indicati, previsto nelle lettere d) ed e) del dispositivo del richiamato provvedimento dell’Autorità, per concludere le attività di verifica prescritte al titolare del trattamento;

RITENUTO, altresì, di dover conseguentemente fissare il termine entro il quale la società deve comunicare le iniziative intraprese al fine di dare attuazione a quanto disposto con il provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice in 30 giorni dallo spirare del nuovo termine assegnato per adempiere alle prescrizioni (105 giorni);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, paragrafo 2, del Regolamento (UE) 679/2016, proroga di 45 giorni i termini entro i quali Deliveroo Italy s.r.l. è tenuta ad adempiere alle prescrizioni impartite ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, già fissati dal provvedimento del 22 luglio 2021, n. 285 in 60 giorni (v. lettere da a) a h) del dispositivo);

Richiede a Deliveroo Italy s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il provvedimento del 22 luglio 2021, n. 285 e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 30 giorni dalla decorrenza del nuovo termine assegnato per adempiere alle prescrizioni; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi