Con l’ordinanza n. 285 del 22 luglio 2021, il Garante Privacy ha ingiunto a Deliveroo Italy S.r.l., società leader del food delivery, il pagamento di una sanzione pari ad € 2,5 milioni per illecito trattamento dei dati personali di circa 8.000 rider.
L’Autorità garante per la protezione dei dati personali ha riscontrato diverse violazioni da parte di Deliveroo, sia della normativa nazionale (tra cui lo Statuto dei Lavoratori), sia di quella europea (in primis, il Regolamento UE 679/2016, c.d. “GDPR”).
In particolare, è stato rilevato che per la gestione dei rider e, nello specifico, per l’assegnazione degli ordini e la prenotazione dei turni di lavoro, sono stati utilizzati algoritmi non trasparenti e, quindi, potenzialmente discriminatori.
L’attività istruttoria, avente ad oggetto la piattaforma digitale tramite cui opera il servizio di consegna, ha evidenziato infatti l’adozione di trattamenti automatizzati, tra cui la profilazione, sui quali si baserebbe il c.d. “sistema d’eccellenza” che assegna a ciascun rider un punteggio per accedere con priorità alla selezione delle fasce orarie.
Ai fini dell’incremento del punteggio si considerano, ad esempio, gli ordini effettivamente consegnati e l’accettazione dell’ordine assegnato entro 30 secondi. Secondo tale sistema, quindi, il rider che non accetta tempestivamente l’ordine, ovvero lo rifiuta, viene penalizzato in favore di colui che effettua l’accettazione entro il tempo previsto e riesce a realizzare il maggior numero possibile di consegne.
L’operatività di tale algoritmo all’interno della piattaforma è risultata, però, soggetta a distorsioni tali da amplificare il rischio di errori di calcolo potenzialmente discriminatori per i rider, i quali potrebbero, così, subire un’ingiustificata limitazione nell’assegnazione delle consegne fino ad essere – addirittura – esclusi dalla piattaforma.
A ciò si aggiunga la responsabilità della società per non aver adeguatamente informato i rider sul funzionamento di tale sistema. Non risulta, infatti, l’adozione di alcuna misura tecnica ed organizzativa finalizzata a verificare periodicamente la correttezza dei risultati restituiti dall’algoritmo nonché l’adeguatezza dei dati utilizzati rispetto alle finalità del trattamento, ciò al fine di ridurre il più possibile il rischio di effetti distorsivi e discriminatori.
Inoltre, il Garante ha rilevato anche un’illecita conservazione dei dati raccolti durante l’esecuzione degli ordini (comprese le chat con l’assistenza clienti) per un periodo superiore a quanto previsto dal GDPR. Come si legge nella decisione, infatti “la società ha individuato un unico termine di conservazione, pari a 6 anni, in sé comunque significativo, in relazione a una pluralità di trattamenti effettuati per diversi scopi nonché in relazione a distinte tipologie di dati, in alcuni casi riferiti anche al contenuto di comunicazioni (via chat ed e-mail) protette dall’ordinamento con particolari garanzie”.
Sul piano strettamente giuslavoristico, è emerso infine che Deliveroo svolge un controllo tanto minuzioso quanto illegale dell’attività lavorativa dei suoi impiegati mediante la rilevazione della loro geolocalizzazione ogni 12 secondi e la conservazione di tutti i loro percorsi di consegna per sei mesi.