Con il provvedimento n. 234 del 10 giugno 2021, il Garante per la protezione dei dati personali ha inflitto una sanzione pari a 2,6 milioni di euro alla società Foodinho a causa di numerose violazioni della normativa privacy, dello Statuto dei lavoratori e della normativa posta a tutela di chi lavora attraverso le piattaforme digitali.
Nello specifico, l'Autorità ha riscontrato una serie di gravi illeciti al termine di un apposito ciclo di indagini che riguardano perlopiù gli algoritmi utilizzati ai fini della gestione dei lavoratori. I dipendenti, infatti, non risultavano essere informati adeguatamente circa il funzionamento del sistema, oltre al fatto che Foodinho non aveva fornito garanzie nel regolamento interno a proposito dell'esattezza e della correttezza dei risultati dei sistemi algoritmici utilizzati per valutare i riders. E ancora, questi ultimi non avevano la possibilità di chiedere l'intervento di un operatore nel caso in cui vi fossero errori della piattaforma o nel caso in cui volessero esprimere una loro opinione ovvero nel caso in cui avessero voluto contestare le decisioni adottate tramite l'uso degli algoritmi.
Il Garante Privacy ha inoltre attivato per la prima volta un'operazione congiunta di cooperazione europea con il Garante spagnolo (AEPD) finalizzata alla verifica della piattaforma digitale di proprietà della società capogruppo GlovoApp23.

Per le ragioni esposte, il Garante ha prescritto alla società di:

• Verificare l'esattezza e la pertinenza dei dati utilizzati dal sistema al fine di evitare errori e discriminazioni ingiustificate. In tal senso, il Garante sottolinea che tali rischi sono dovuti anche al sistema di assegnazione del punteggio (rating), il quale si basa sull'applicazione di una formula matematica che penalizza i lavoratori che non accettano immediatamente l'ordine ovvero lo rifiutano;
• Adottare misure volte a favorire un utilizzo idoneo e non discriminatorio dei meccanismi reputazionali basati sui feedback dei partner e dei clienti.

In attesa che Foodinho applichi le misure imposte dal Garante entro 60 giorni e completi gli interventi di modifica degli algoritmi entro il termine di 90 giorni, il Garante Privacy ha inflitto alla società una sanzione che ammonta a 2,6 milioni di euro.