IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli accertamenti ispettivi effettuati presso la sede legale di Foodinho s.r.l. in data 13 e 14 dicembre 2022, 28 febbraio, 1° marzo, 26 e 27 luglio 2023;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

 

PREMESSO

1. L’attività ispettiva nei confronti della Società.

L’Autorità, a seguito della pubblicazione di notizie giornalistiche riguardanti l’avvenuta disconnessione dell’account di un rider, S. G. (S.G.), morto a seguito di un incidente stradale verificatosi a Firenze il 1°ottobre 2022, durante l’effettuazione di una consegna per conto di Foodinho s.r.l. (di seguito, la Società), nell’ambito di un procedimento avviato d’ufficio, ha delegato al Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza lo svolgimento di accertamenti ispettivi, effettuati in data 13 e 14 dicembre 2022, 28 febbraio e 1 marzo 2023, volti all’acquisizione di informazioni, di esibizione di documenti e l'effettuazione di accessi a banche di dati ai sensi degli artt. 157 e 158 del Codice.

Il 26 e 27 luglio 2023, a seguito del ricevimento di una segnalazione avente ad oggetto il trattamento dei dati dei rider da parte di Foodinho s.r.l. attraverso l’applicativo Glovo Couriers, è stato effettuato un ulteriore accertamento ispettivo presso la Società.

Nel corso degli accertamenti ispettivi del 13 e 14 dicembre 2022, la Società ha dichiarato che:

“la piattaforma Glovo è di proprietà della società di diritto spagnolo Glovoapp23 SL; Foodinho s.r.l. […] si avvale di detta piattaforma […] per la gestione dell’attività dei rider; a questi ultimi […] viene attribuito un account […], per poter rendere il servizio di consegna a domicilio” (v. verbale operazioni compiute del 13/12/2022 cit., p. 3);

all’esito degli accessi alla piattaforma Glovo effettuati da un operatore con qualifica di Head Operations della Società, è emerso, tra l’altro, che “la sezione «Live Map» consente di visualizzare la mappa con l’indicazione dell’area di interesse (qualunque città del mondo dove opera Glovo), gli ordini (posizione degli esercizi commerciali), corrieri (posizione dei rider) e il tratto, in linea d’aria tra gli esercizi commerciali e i corrieri”; “la mappa e il conseguente posizionamento dei rider vengono aggiornati costantemente”; “cliccando sull’icona del corriere, tra le informazioni che appaiono a video, ci sono: il codice numerico del corriere, il numero di telefono, il veicolo utilizzato e la fascia oraria di disponibilità per il suo impiego”; “cliccando sul codice numerico del corriere la piattaforma mostra tutti i dati personali del rider e i documenti a lui riferiti che ha fornito per avviare il rapporto di collaborazione, unitamente alle informazioni relative agli ordini presi in carico e alle consegne effettuate”; “la sezione «Jumio details» riguarda la procedura di verifica dell’identità del corriere tramite riconoscimento facciale, disabilitata a luglio 2022”; “lo status dell’account del rider [S.G.] risulta «DISABLED (Reason-other)»”; “lo status del corriere può essere bloccato, bloccato temporaneamente o disabilitato con apposizione obbligatoria del flag su una delle motivazioni (reason) previste”; “tra le citate motivazioni non è indicata quella di morte o decesso, motivo per cui è stato indicato other per disabilitare l’account di [S.G.]”; “la piattaforma conserva i dati personali e i documenti dei rider con account disattivato a far data dal 2016”; “tra le informazioni sono presenti anche le mappe relative alle consegne eseguite che nel 2017 riportano inizio e fine del percorso senza indicare il tragitto effettuato dal rider, dall’ottobre del 2018 è riportato anche il tragitto eseguito dal rider” (v. verbale operazioni compiute 14/12/2023 cit., p. 7).

Con nota acquisita agli atti il 27 dicembre 2022, e relativa documentazione allegata, la Società, a scioglimento delle riserve formulate in sede di accertamento ispettivo, ha ulteriormente rappresentato che:

“La disattivazione dell'account [attribuito a S.G.] aveva lo scopo di disabilitare l'accesso al profilo del Corriere nel momento in cui si è verificato l'incidente, onde evitare che soggetti terzi potessero utilizzare l'account […]. La disattivazione non è stata effettuata da alcun sistema automatico, bensì manualmente da un dipendente della Società, membro del team dedicato, non appena Foodinho S.r.l. è venuta a conoscenza dell'accaduto. […] dopo che l’account […] era stato manualmente disattivato, il messaggio concernente la disattivazione dell'account è stato inviato in modo automatico, dal sistema al Corriere, per errore, poiché tale disattivazione non ha avuto origine da alcuna violazione dei Termini e Condizioni, e altresì non vi era una risposta standard ad hoc per un tale drammatica situazione” (v. nota del 27/12/2023 cit., lett. B);

“[nella] “Relazione peritale sul “Processo di grievance” […] si evidenzia il necessario intervento manuale sia per l’attivazione che per la disattivazione dell’account dei Corrieri” (v. nota cit., lett. B);

“la conseguenza della disattivazione dell'account consiste nel fatto che il Corriere non può più utilizzarlo. Solitamente la disattivazione è una misura permanente, ma se viene richiesta la riattivazione […], la richiesta viene presa in considerazione e può essere valutata” (nota cit., lett. E);

con riguardo al “monitoraggio degli account” indicato al punto 5.4.2 dei “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri” la Società ha dichiarato che “Il monitoraggio, che non è né continuativo né sistematico, viene effettuato tramite alcune dashboard utilizzate dal Team Ops, ed è finalizzato a rilevare potenziali utilizzi impropri della Piattaforma Glovo” (nota cit., lett. F);

con riferimento a quanto stabilito dall’art. 47-quinquies, del d.lgs. n. 81/2015 la Società ha dichiarato che “a) gli account non vengono mai disattivati in base alla mancata accettazione della prestazione; b) la riassegnazione degli ordini non influisce sulle possibilità del Corriere di ottenere ordini disponibili nell'APP, né in alcun modo sul punteggio; c) i Corrieri non vengono mai esclusi dalla fascia oraria selezionata in base al rifiuto di svolgere l'attività” (nota cit., lett. G);

“Foodinho S.r.l. è il Titolare del trattamento dei dati personali dei Corrieri operanti in Italia mentre, in relazione a tali dati personali, Glovoapp23, S.A. è nominato Responsabile del trattamento” (v. nota cit., lett. H);

“Foodinho S.r.l. si avvale del supporto di call center esterni, Meritus Upravljanje, d.o.o. (MPLUS) e Comdata S.p.A. (COMDATA), limitatamente all'attività di onboarding del Corriere (MPLUS) e di assistenza al Corriere in tempo reale (COMDATA). Tali call center agiscono in qualità di sub-responsabili ai sensi [del] data processing agreement […], in quanto il rapporto intercorre tra gli stessi e Glovoapp23, S.A. e i loro servizi sono forniti a Foodinho S.r.l. ai sensi del Contratto di Licenza” (v. nota cit., lett. I);

“successivamente alla consegna degli ordini ai Clienti da parte dei Corrieri, l'APP consente al Cliente di inserire il proprio […], sia dal lato del Corriere che dal lato dell’Esercizio Commerciale Locale” (v. nota cit., lett. J);

“attraverso il proprio account, i Corrieri hanno la possibilità di visualizzare le metriche ricevute alla luce dell’attività di consegna che forniscono agli altri utenti (Clienti ed Esercizi Commerciali Locali), sia i pollici verso l'alto (ossia, buon servizio) sia i pollici verso il basso (ossia, cattivo servizio), anche se non è possibile collegare le metriche ricevute ad utenti o ordini specifici. Nel caso in cui i Corrieri non siano d'accordo con le metriche che hanno ricevuto dai Clienti, possono contattare il Team di Supporto Live Operations ("Team Live Ops") di Foodinho S.r.l., presentando una contestazione generale” (v. nota cit., lett. O);

“l'Informativa sulla Privacy è resa disponibile ai Corrieri in diversi momenti: ¿ quando si registrano per la prima volta sull'APP, ¿ ogni volta che accedono all'APP, ¿ quando firmano il contratto” (v. nota cit., lett. P);

con riferimento all’informativa prevista dall'art. 1-bis del d. lgs. 26/5/1997, n. 152, come modificato dall'art. 4 del decreto legislativo 27 giugno 2022, n. 104, per quanto riguarda il punteggio di eccellenza, alcune informazioni sono fornite nel corso del processo di onboarding sulla piattaforma Glovo mediante un video, attraverso il sito web e la newsletter, in occasione di “incontri volontari” nonché attraverso quanto indicato nel contratto ; inoltre “Per quanto riguarda l'offerta degli ordini, maggiori informazioni vengono fornite ai Corrieri attraverso il Centro assistenza per Corrieri” (v. nota cit., lett. Q);

“numero attuale di «Corrieri attivi» che utilizzano l'APP in Italia a partire da gennaio 2022: 36.545 (per «Corrieri attivi» si intende qualsiasi Corriere, registrato nell’APP, che abbia effettuato almeno un ordine utilizzando la Piattaforma Glovo da gennaio 2022. […]). Numero di Corrieri che hanno iniziato a utilizzare l'APP in Italia dal 1° agosto 2022: 7.405 ([…] tale numero si riferisce alla definizione di “Corrieri attivi” […])” (v. nota cit., lett. R);

“Foodinho S.r.l. ha iniziato a trattare dati biometrici dei Corrieri in data 23 novembre 2020, nell'ambito dei primi test relativi alla procedura di autenticazione […] Foodinho S.r.l. ha smesso di utilizzare tale procedura di autenticazione e, di conseguenza, di raccogliere e trattare dati biometrici dei Corrieri a partire dal luglio 2022” (v. nota cit., lett. S).

Nel corso degli accertamenti ispettivi del 28 febbraio e 1° marzo 2023, effettuati a prosecuzione dell’attività svolta nei confronti di Foodinho S.r.l. in data 13 e 14 dicembre 2022, a seguito degli accessi alla piattaforma e di quanto dichiarato dalla Società è emerso che:

all’esito degli accessi alla piattaforma Glovo effettuati da un operatore con qualifica di Head Operations della Società è emerso, tra l’altro, che “il sistema […] consente […] di ricercare per ogni città italiana tutti gli account dei rider disabilitati dall’origine della stessa piattaforma ad oggi” (v. verbale operazioni compiute del 28/2/2023, p. 3);

all’esito degli accessi alla piattaforma Glovo effettuati da un operatore con qualifica di Operations Analyst della Società è emerso, tra l’altro, che “gli account dei rider, operanti in Italia, disattivati nel periodo 1° gennaio 2022 – 31 dicembre 2022, è di 6.369, mentre il numero di account bloccati, nello stesso periodo, è pari a 53.861” (v. verbale cit., p. 4);

“il processo di Grievance in caso di avvio della procedura di disattivazione, è costituito da due comunicazioni. La prima […] consiste in una mail che viene notificata al rider interessato, nella quale viene rappresentato un potenziale utilizzo fraudolento della piattaforma o altra fattispecie […] viene esplicitato al rider che ha un termine di sei giorni per poter presentare le sue controdeduzioni, inoltre viene informato che in attesa di risposta il suo account è temporaneamente sospeso. [se il rider non risponde] una volta trascorso il termine di sei giorni, viene trasmessa una seconda mail identificata internamente come termination letter (disattivazione), con la quale il rider viene informato della disattivazione dell’account. [se invece il rider risponde] le controdeduzioni vengono analizzate [dal] team operation. Nel caso in cui vengano considerate idonee, gli stessi procedono all’invio di una comunicazione di riattivazione dell’account. In caso contrario, procedono all’invio a mezzo mail della termination letter (disattivazione account). Diversamente, il processo di blocco presuppone l’invio di una comunicazione a mezzo mail di sospensione dell’account diretta al rider, che viene informato della necessità di porre in essere una specifica azione, ad esempio la richiesta di apertura di una partita i.v.a., ovvero la necessità di provvedere al deposito del contante presso i punti abilitati nella città. […]. Se i documenti sono ritenuti idonei, il rider ottiene la riattivazione dell’account. Questa fase del processo di blocco è manuale, a differenza della prima in cui la comunicazione di blocco è automatizzata” (v. verbale 1/3/2023, p. 6, 7);

“con riferimento alla comunicazione ricevuta dal sig. [S.G.], invece, non rientra in nessuna delle precedenti casistiche. Tale comunicazione è inviata, in aggiunta ad una di quelle menzionate in precedenza, ad ogni modifica dello status del rider. […] [In questo caso], viste le circostanze, l’invio di questa comunicazione è dovuto ad un errore umano” (v. verbale cit., p. 7);

“i periodi di conservazione dei dati dei rider sono stati aggiornati, come indicato nella nuova normativa privacy resa disponibile online e sulla base delle tempistiche previste dal Codice Civile italiano. […] i dati non sono conservati oltre 10 anni dal momento in cui la finalità del trattamento è stata raggiunta. [il termine decennale] si estende e si applica anche ai dati riferiti alla geolocalizzazione […]” (v. verbale cit., p. 8);

“il punteggio di eccellenza è composto da quattro parametri che vengono presi in considerazione in relazione agli ultimi 28 giorni di utilizzo della piattaforma, anche non consecutivi (di seguito, il “Periodo di riferimento”). Ciascun parametro va da 0 a 5, così come il punteggio di eccellenza complessivamente inteso. Parimenti, ciascun parametro, così come il punteggio di eccellenza complessivamente inteso, è normalizzato in relazione all’intera flotta della città (es. se un parametro o il punteggio complessivo inferiore nella popolazione di rider di riferimento è 4 e il superiore è 5, tutti i valori da 4 a 5 saranno normalizzati da 0 a 5). Questi parametri hanno un peso diverso a seconda della città. Nello specifico: parametro “contributo” ([...] “Sum Seniority Normalised” […]): tiene in considerazione il numero di ordini consegnati nel Periodo di riferimento; parametro “no show” ([…] “Sum No Show Normalised” […]): tiene in considerazione il numero di volte in cui il rider ha prenotato uno slot ma poi non ha effettuato il check-in nel Periodo di riferimento. […] la prenotazione dello slot avviene due volte a settimana, il lunedì e il giovedì alle 16, […]; il rider ha la possibilità di effettuare il check-in a partire dai 25 minuti prima dell’orario di inizio dello slot fino ai 10 minuti successivi a tale orario; inoltre, il rider può disdire la prenotazione dello slot fino a un minuto prima dell’orario di inizio (a prescindere dall’aver effettuato il check-in in precedenza) senza alcuna penalità; parametro “customer rating” ([…] “Sum Customer Rating Normalised” […]): tiene in considerazione i feedback ricevuti esclusivamente da parte del cliente […] dovuti al rider nel Periodo di riferimento […]; parametro “slot ad alta domanda” ([…] “Sum High Demand Normalised” […]): tiene in considerazione il tempo in cui il rider sta lavorando in confronto al tempo totale sugli HD slot (i.e. slot ad alta domanda) che si verificano settimanalmente. Gli “slot ad alta domanda” sono quelli ove c’è un maggiore afflusso di ordini e ammontano a sei ore a settimana, che generalmente corrispondono a tre ore a cena il sabato e tre ore a cena la domenica” (v. verbale cit., p. 8, 9);

“i parametri […] hanno un peso diverso in ciascuna città. Ad esempio, i pesi per Firenze (applicati all’account di [S.G.]) sono: a. Contributo: 45% b. No show: 5% c. Customer rating: 33% d. HD slot: 17%. Infine, il punteggio d’eccellenza complessivo ha un peso progressivo e crescente nel Periodo di riferimento (es. la prestazione più recente ha un punteggio più rilevante rispetto a quella di 28 giorni fa)” (v. verbale cit., p. 9).

Con nota acquisita agli atti in data 16 marzo 2023 e relativa documentazione allegata, la Società, a scioglimento delle riserve formulate in sede di accertamento ispettivo, ha specificato inoltre che:

“ogni tipo di comunicazione di blocco si basa su specifiche categorie di dati raccolti […]: [in relazione al] Saldo in contanti (Cash Balance) […] il sistema tiene traccia solo della somma di denaro in possesso del Corriere”; [in relazione ai] Controlli medici (Medical checks) […] i “dati raccolti riguardano il numero di consegne effettuate nei 50 giorni precedenti”; [in relazione al] Limite 5K (Limit 5K) […] i “dati raccolti sono quelli relativi ai compensi percepiti dal Corriere”; [in relazione alla] Documentazione scaduta (Expired document) […] i “dati raccolti sono le date di scadenza dei documenti forniti dal Corriere per l'attivazione dell'account”; [in relazione all’] Incidente INAIL (INAIL accident) […] i “dati raccolti sono relativi alle circostanze dell'incidente e alla prognosi”; [in relazione alla] Formazione obbligatoria (Mandatory trainings)” […] il “dato raccolto è la data di attivazione dell'account del Corriere”. (v. nota 16/3/2023, lett. e);

“nei casi in cui l'individuazione di una  […] situazione […] da parte della Società (ossia in assenza di reclami o contestazioni da parte degli utenti) possa attivare l'invio al Corriere di una […] comunicazione di disattivazione, i dati su cui si basa tale […] comunicazione vengono estratti dai sistemi della Società grazie ad alcune queries effettuate periodicamente.” (v. nota cit., lett. f);

“la Piattaforma Glovo è […] gestita da GlovoApp23 S.A. e fornita quale strumento standard a tutte le società del gruppo […]. Pertanto, alcune delle funzionalità e, quindi, alcune voci che vengono utilizzate per la disattivazione e il blocco dell'account dei Corrieri in alcuni paesi, in altri non vengono […] usate. Per quanto riguarda l'Italia […] le due voci oggetto della domanda (ossia "Many reassignments" e "Bad rating") non sono concretamente utilizzate in Italia, né per il blocco né per la disattivazione, pur comparendo come potenziale motivo di blocco nei nostri sistemi informatici” (v. nota cit., lett. g);

“in ogni caso, al fine di evitare potenziali usi impropri della Piattaforma Glovo, la Società ha chiesto a GlovoApp 23 S.A. di disattivare tali motivi in Italia” (v. nota cit., lett. g);

con riguardo alla sezione "Live Map", relativamente al profilo utilizzato per effettuare gli accessi, in particolare quanti profili analoghi, con possibilità di accessi cross-country, sono complessivamente attivi sulla piattaforma Glovo, la Società ha dichiarato che “i dipendenti di Foodinho, S.r.l. nonché gli agenti assunti da COMDATA e MPLUS (di seguito, "Live Ops Provider/s"), possono avere accesso alla sezione "Live Map" (permesso "livemap.view"). […] Per quanto riguarda i dipendenti di Foodinho S.r.l. a cui è fornito l'accesso alla sezione "Live Map", i team principali cui è riconosciuto il permesso "livemap.view" sono […] Team Ops […] Legal Team […] BIN Data […] IT Team […] Teach Team […] Live Ops Team […] Finance Team […] Expansion Team” (v. nota cit., lett. j);

“per quanto riguarda gli agenti esterni assunti da COMDATA e MPLUS, il numero di agenti che hanno accesso alla sezione "Live Map" (permesso "livemap.view") è […]: COMDATA o Agenti: 82 o Team Leads: 7 • MPLUS o Agenti: 149 o Team Leads” (v. nota cit., lett. j);

“chat ed e-mail sono i canali preferenziali utilizzati dagli agenti per entrare in contatto con i Corrieri. La registrazione vocale può avvenire solo se l'agente interessato ha bisogno di contattare direttamente il Corriere” (v. nota cit., lett. m);

“ogni team di agenti ha accesso soltanto alle conversazioni avvenute nel proprio Paese di competenza […] il periodo di conservazione delle conversazioni è di 36 mesi” (v. nota cit., lett. m);

“le finalità perseguite tramite il trattamento delle registrazioni vocali sono: • Qualità • Valutare il servizio fornito dal fornitore locale (COMDATA e MPLUS); e • misurare la conformità al processo degli agenti quando supportano i Corrieri. • Legale • avere un supporto documentale di tutte le interazioni effettuate con una terza parte in caso di reclamo o processo. • Gestire e rispondere debitamente alle richieste avanzate dalle autorità competenti […] e dalle forze dell'ordine […]. • Gestire correttamente e documentare il corretto adempimento delle richieste degli interessati, comprese le richieste di accesso e cancellazione dei dati ai sensi del GDPR” (v. nota cit., lett. m);

“in data 23 dicembre 2022 la Società ha pubblicato una nuova informativa sulla privacy aggiornando anche i periodi di conservazione […]. L'informativa sulla privacy condivisa […] durante l'ispezione del 28 febbraio-1° marzo è quella pubblicata ora sul sito web. Successivamente, la Società si è resa conto che l'informativa sulla privacy inserita nel contratto con i Corrieri non era ancora stata aggiornata e pertanto ha aggiornato il periodo di conservazione anche di tale informativa. Ora i periodi di conservazione standard previsti in entrambe le informative sulla privacy sono allineati e non prevedono periodi di conservazione superiori a 10 anni” (v. nota cit., lett. n);

“con specifico riferimento ai dati di geolocalizzazione, essi sono memorizzati su un server AWS locato in Irlanda. I dati memorizzati sono associati solo all'ID del Corriere (pseudonimizzazione). I dati sono necessari per quantificare correttamente i guadagni dei Corrieri e sono conservati anche per giustificare l'importo delle fatture emesse dai Corrieri nel caso in cui questo sia richiesto dalle Autorità fiscali o, in generale, sia necessario in procedimenti o ispezioni in materia di diritto del lavoro” (v. nota cit., lett. n);

con riguardo al trattamento dei dati biometrici dei rider si precisa che “Le informazioni relative al riconoscimento facciale vengono fornite ai Corrieri nell'informativa sulla privacy e sono altresì disponibili a[l] link […]" Riconoscimento facciale - Italia (glovoapp.com). Il software fornito dalla società Jumio Corporation (“Jumio”) in qualità di responsabile del trattamento […] è strutturato in due fasi” (v. nota cit., lett. p);

¿    “la prima fase prevede che il Corriere riceva un messaggio sul proprio cellulare in cui gli viene chiesto di scansionare un documento d'identità (con una sua fotografia) e, successivamente, di farsi un "selfie". […]. I dati del documento saranno controllati tenendo conto delle informazioni già fornite dal Corriere durante l'attivazione dell'account. La fotografia verrà verificata con le immagini contenute nel documento. Il primo "selfie" verrà conservato nel database e sarà utilizzato come riferimento per la volta successiva in cui il riconoscimento facciale sarà necessario” (v. nota cit., lett. p);

“la seconda fase prevede che, dopo il primo riconoscimento e in modo casuale, venga chiesto al Corriere di effettuare il riconoscimento attraverso un "selfie". Il Corriere viene anche informato che il riconoscimento è obbligatorio e che non effettuarlo può portare alla disattivazione dell'account […]. In ogni caso, se il Corriere non effettua il riconoscimento o in caso di mancato riconoscimento prima della disattivazione dell'account, il calendario tramite il quale il Corriere prenota gli slot verrà bloccato e al Corriere verrà chiesto di procedere al riconoscimento per riattivare il calendario” (v. nota cit., lett. p);

“il trattamento dei dati biometrici è necessario per adempiere agli obblighi in materia di diritto del lavoro, sicurezza e protezione sociale assunti dal titolare del trattamento ai sensi dell'articolo 23 […] del CCNL Rider” (v. nota cit., lett. p);

“la Società ha subito dei bug interni che automaticamente chiudevano il flusso nell'App […]. Queste "chiusure" dell'App si traducevano in un tentativo "FALLITO" dal punto di vista del backend e, di conseguenza, portavano a potenziali blocchi ingiustificati dei profili dei Corrieri. Per tale motivo, si è reso necessario interrompere il processo di verifica di Jumio per qualche tempo” (v. nota cit., lett. q);

“il test di Jumio attualmente in corso consiste nelle seguenti fasi: 1. all'inizio di febbraio è stata effettuata una prima attivazione del riconoscimento facciale sul 3,28% dei Corrieri attivi in Italia. 2. Il 20 febbraio è stata estesa al 18,33% dei Corrieri attivi. 3. Il 27 febbraio è stato attivato su una percentuale minore pari al 15,55%. 4. Il 13 marzo il test è stato esteso al 32,61%. 5. A partire dal 27 marzo, Foodinho S.r.l. prevede di attivare nuovamente il riconoscimento facciale su tutti i Corrieri attivi. Il test consiste nel richiedere il riconoscimento facciale una volta al giorno a tutti i Corrieri coinvolti e verificare se ci sono errori nel processo” (v. nota cit., lett. q).

In data 17 marzo 2023, la Società ha precisato che, “a scioglimento della riserva inclusa nella risposta di cui alla lettera J del riscontro alla richiesta di informazioni […], il numero attuale dei dipendenti che hanno il permesso “livemap.view” attivo è 65”.

A seguito del ricevimento di una segnalazione in data 7 luglio 2023, avente ad oggetto il trattamento dei dati dei rider da parte di Foodinho s.r.l. attraverso l’applicativo Glovo Couriers, previa riunione dei procedimenti, è stato effettuato un ulteriore accertamento ispettivo presso la Società il 26 e 27 luglio 2023.

Nel corso dell’ispezione è emerso che:

effettuando l’accesso al portale web https://couriers.glovoapp.com/it/ per verificare il contenuto dell’informativa rilasciata ai rider è stato verificato che “il link immediatamente sotto al form di accesso, sotto l’etichetta: “Selezionando il pulsante, accetti” non risulta accessibile, mentre l’informativa presente al link in calce alla pagina, nell’area “Note legali – Politica sulla privacy”, risulta aggiornata al 2019 e non è disponibile in italiano” […] È stata quindi visualizzata l’informativa presente all’apposito link in calce al documento di “Termini e condizioni”, che risulta invece aggiornata a dicembre 2022” (v. verbale 26/7/2023 cit. p. 3);

effettuando l’accesso all’app Glovo courier, è stato verificato che “anche in questo caso l’informativa non è accessibile dal link “Politica sulla privacy”, mentre è accessibile dal link “Termini e condizioni” (versione del 29 aprile 2022)” (v. verbale cit., p. 3);

in merito a quanto riportato in “Termini e condizioni”, la Società ha precisato che “tale documento riporta anche alcuni elementi riguardanti l’informativa privacy per i corrieri, in particolare al paragrafo 9 […] con riguardo alla comunicazione dei dati a terzi e alle categorie di destinatari nell’ambito dell’utilizzo della piattaforma Glovo. Il testo dei “Termini e condizioni” include anche un link al testo integrale dell’informativa privacy generale presente sul sito https://glovoapp.com/it/legal/privacy. In tale documento, la società ha indicato le caratteristiche della comunicazione di dati dei rider a terzi […]. I documenti indicati devono quindi essere letti assieme per un quadro complessivo dei trattamenti effettuati da Foodinho nei confronti dei corrieri” (v. verbale cit. p. 3);

inoltre “ai rider viene fornita l’informativa privacy completa anche all’interno del contratto di collaborazione d’opera” (v. verbale cit. p. 3);

con riferimento alla assenza dell’informativa per i rider posta in calce al form di accesso sul relativo portale e nell’app, la Società ha rappresentato che “quanto rilevato è probabilmente causato da un broken link” (v. verbale cit. p. 3);

con riferimento al mancato caricamento della pagina dell’informativa ai rider “l’evento è imputabile ad un errore umano occorso durante la migrazione del CMS da ButterCMS a Prismic. […] dopo la segnalazione da parte del legal team Glovo a seguito di quanto emerso nel corso dell’accertamento, il contenuto della pagina è stato corretto […]. Nel periodo intercorrente fra il 20 luglio e la giornata di ieri, il contenuto della pagina non è stato correttamente reso disponibile” (v. verbale operazioni compiute 27/7/2023, p. 2);

“Glovo ha in essere un contratto con Braze, finalizzato all’invio di comunicazioni commerciali tramite email, a cui il rider si può disiscrivere tramite opt-out” (v. verbale cit. p. 4);

è stato effettuato l’accesso al backend dell’app Glovo courier per verificare gli SDK di terze parti utilizzati e i dati comunicati; è stato verificato che i dati dei corrieri inviati a Braze sono l’indirizzo e-mail, l’identificativo courierID e il numero di telefono (v. verbale cit. p. 4);

“il numero di telefono del corriere è inviato a Braze solo se presente nel backend di Glovo” (v. verbale cit. p. 4);

“oltre ai dati inviati esplicitamente dall’app Glovo Courier alle terze parti Braze, Firebase, mParticle […] possono essere comunicati altri dati, attraverso gli SDK messi a disposizioni da tali società terze che l’app utilizza” (v. verbale cit., p. 3);

è stato altresì verificato che i dati inviati a mParticle consistono nel courierID e che i dati inviati a Firebase consistono nelle caratteristiche del dispositivo, del sistema operativo e il courierID (v. verbale cit. p. 4);

in merito al dato relativo al numero di telefono “tale dato è comunicato a Braze per i rider operanti sul territorio italiano” (v. verbale cit., p. 2);

in merito alle comunicazioni inviate da Braze ai corrieri, “oltre a tematiche commerciali, tale soggetto può inviare ai rider anche comunicazioni relative al funzionamento del servizio (c.d. transazionali). In ogni caso, il rider può operare l’opt-out alla ricezione dei messaggi” (v. verbale cit., p. 2);

per quanto riguarda il rating, la parte ha rappresentato di non avere contezza del significato di tale parametro utilizzato dall’app (v. verbale cit., p. 3);

effettuando l’accesso al backend dell’app Glovo courier, per verificare i dati scambiati fra l’app e il backend, è stato verificato che “fra i dati scambiati è presente sia l’excellence score sia il “rating”” (v. verbale cit., p. 3);

effettuando, tramite il backend dei sistemi Glovo, l’accesso ai database utilizzati dalla Società, al fine della conservazione delle informazioni sui rider, sono stati visualizzati i campi della tabella relativa ai rider ed è stata visualizzata la tabella relativa allo score di eccellenza (v. verbale cit., p. 3);

“il rating è una variabile utilizzata dall’excellence score” (v. verbale cit., p. 3);

effettuando l’accesso al database che conserva i valori relativi ai punteggi di rating, per visualizzare le informazioni presenti è stato verificato che “il database, alla tabella courier_rating riporta i valori del punteggio di rating, calcolato sulla base dei feedback degli utenti. È stata visualizzata la tabella filtrata sui rider operanti in Italia” (v. verbale cit., p. 4);

è stato eseguito l’export della query effettuata sui rider che operano in Italia (v. verbale cit., p. 4);

la Società ha dichiarato che “il valore del rating presente nella tabella courier_rating è un valore, da 0 a 1, utilizzato dalla società in relazione al modello di business c.d. flex che non trova applicazione in Italia. Il valore è generato comunque dal sistema anche per i rider operanti sul territorio italiano […] il valore utilizzato dal backend dell’app è un dato rimasto da una versione precedente dell’app, deprecato dal 2021, e non più utilizzato. Da quel momento il backend assegna un valore fisso al rating pari a 4.5 ad ogni corriere, di default” (v. verbale cit., p. 4);

inoltre “la geolocalizzazione del corriere è eseguita solo quando il corriere è registrato ad uno slot (Paesi con modello free lance) o che sia on-line sull’app (Paesi con modello flex). Se durante tale tempo il corriere mette l’app in background, la localizzazione prosegue” (v. verbale cit., p. 4);

al fine di verificare le evidenze rappresentate nel corso dell’attività ispettiva, i verbalizzanti hanno eseguito l’accesso al backend dell’app Glovo Courier. In particolare, è stata visualizzata la risposta alla chiamata all’endpoint dei sistemi di backend, con le credenziali di un operatore con qualifica operations ed è stato verificato che il valore della variabile rating è pari a 4.5 (v. verbale cit., p. 4);

“l’app integra Google Maps, che raccoglie la posizione del rider secondo le proprie tempistiche, anche quando il rider non è attivo nello slot. Tale informazione non è utilizzata dalla società, sebbene sia ricevuta sui propri sistemi […]. Nel 2021, inoltre, il comando utilizzato per avviare il tracking dei corrieri ha avuto un bug, per cui può essersi generata una geolocalizzazione continuativa” (v. verbale cit., p. 5);

“le casistiche elencate [dalla Società] di fronte al Tribunale di Palermo [sezione lavoro, del 20 giugno 2023] comportano la disconnessione dallo slot, eventualmente operata dalla società, che non comporta un blocco definitivo dell’account del rider” (v. verbale cit., p. 5);

“l’assegnazione di un ordine tiene conto di diversi elementi fra cui: il punto di ritiro e di consegna, il mezzo di trasporto utilizzato, la distanza massima percorribile con un determinato mezzo di trasporto, eventuali ordini già assegnati provenienti dallo stesso store, lo stato della batteria del telefono del rider, la tipologia di ordine in base alla quantità di contanti in possesso del rider” (v. verbale cit., p. 5).

Da ultimo, con nota del 15 settembre 2023, a scioglimento delle riserve formulate in sede di accertamento ispettivo, la Società ha rappresentato che:

“tutti i fornitori agiscono in qualità di responsabili del trattamento per conto di Foodinho S.r.l. ("Glovo"). Pertanto, i dati dei corrieri sono divulgati e/o resi disponibili a tali società sulla base dei rispettivi art. 28 GDPR accordi sul trattamento dei dati stipulati dalla società madre Glovoapp23, S.A. ("Glovo ES")” (nota 15/9/2023 cit., p. 1);

“per quanto riguarda la finalità del trattamento e la base giuridica individuata da Glovo come titolare del trattamento per le attività di trattamento in essere (nell'ambito delle quali i fornitori possono offrire i loro servizi), questi sono indicati di seguito. Braze: Glovo comunica i dati a BRAZE al fine di inviare comunicazioni transazionali ai rider, oltre che commerciali. La base giuridica del trattamento dei dati personali dei riders è l'esecuzione del contratto con i corrieri per quanto riguarda le comunicazioni transazionali (che possono includere, ad esempio, problemi con la piattaforma, avvertimenti sulle nuove funzionalità dell'App, come funziona per i nuovi utenti); e, per quanto riguarda le comunicazioni commerciali, il consenso del corriere, o il soft spam […] si tratta principalmente di incentivi e/o potenziali bonus (es. notifica che, prenotando uno slot di consegna in un determinato giorno, il corriere potrebbe guadagnare di più, o ottenere un bonus)” (v. nota cit., p. 1, 2);

“Glovo comunica i dati a mParticle che fornisce servizi di customer data platform (CDP) che aggregano informazioni (eventi) attraverso vari canali digitali al fine di inviare la comunicazione giusta al destinatario giusto. Ad esempio, nel caso di un ordine da consegnare solo in bicicletta (cioè perché il punto di consegna si trova in un'area in cui le moto sono vietate), mParticle raccoglie tali informazioni e le invia a Braze per notificare l'ordine solo ai corrieri con bicicletta. La finalità del trattamento sottostante è quella di gestire l'attività di Glovo […]. La base giuridica di tale trattamento è l'esecuzione del contratto con i corrieri. Inoltre, Foodinho può anche condividere informazioni con mParticle per scopi di analisi. A tal proposito, la base giuridica del trattamento è il legittimo interesse di Glovo a comprendere come i corrieri interagiscono con l'App, a sviluppare nuovi servizi e ad analizzare le informazioni derivate dai servizi” (v. nota cit., p. 2);

“utilizziamo la funzione Crashlytics per rilevare e gestire i crash anomali nelle applicazioni mobili e web utilizzate dai corrieri. Anche in questo caso, la base giuridica di tale trattamento è l'esecuzione del contratto con i corrieri” (v. nota cit., p. 2, 3);

con riferimento alle misure tecniche e organizzative che la Società ha adottato, anche attraverso l'esportatore dei dati, per garantire agli interessati un livello di protezione dei dati adeguato alla legislazione europea è stata fornita la “Transfer Impact Assessment condotta da Glovo ES in qualità di contraente per i servizi forniti da Google, mParticle e Braze per Glovo” (v. nota cit., p. 3);

“l'utilizzo di JUMIO è stato sospeso e lentamente implementato nuovamente dopo aver corretto bug ed errori dell'applicazione stessa. Ora il software è di nuovo in uso in tutto il paese” (v. nota cit., p. 3).

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e le deduzioni della Società.

L’11 ottobre 2023, l’Ufficio ha effettuato, ai sensi dell’art. 166, comma 5, del Codice, la notificazione alla Società delle presunte violazioni del Regolamento riscontrate con riguardo ai trattamenti di dati effettuati mediante la piattaforma digitale utilizzata per effettuare attività di consegna di beni, con riferimento agli artt. 5, par. 1, lett. a), c), d), e), 6, 9, par. 2, lett. b), 12, 13, 22, 25, 28, 32, 35, 88 del Regolamento; artt. 2-septies e 114 del Codice; art. 1-bis, D. Lgs. 26/5/1997, n. 152, introdotto con D. Lgs. 27/6/2022, n. 104; art. 47-quinquies, D. Lgs. 15/6/2015, n. 81.

Con memorie difensive, inviate in data 11 dicembre 2023, la Società, in via preliminare e pregiudiziale ha contestato la competenza del Garante “a decidere questioni connesse al trattamento dei dati personali che avviene […] attraverso la piattaforma Glovo e le app Glovo e Glovo Courier […] di proprietà di GlovoApp23 SA […] che ne determina altresì il funzionamento e le principali funzionalità”.

Inoltre, la Società ha lamentato che l’attività del Garante “sia la fotocopia di quella intrapresa d’ufficio il 16 luglio 2019 mediante l’accertamento ispettivo presso gli uffici di Foodinho [che si è concluso con] provvedimento n. 234 del 10 giugno 2021”. Ciò comporterebbe la violazione del principio del “ne bis in idem rispetto al precedente procedimento aperto nei confronti di Foodinho e ancora sub iudice” e per questo la Società ha chiesto la sospensione del procedimento “almeno fino a quando non sarà concluso il giudizio relativo all’impugnazione del Provvedimento n. 234/21”.

Nel merito, in relazione alle singole contestazioni, la Società ha dichiarato che:

con riferimento all’invio di comunicazioni ai rider ad ogni modifica dello status, “anche se l’invio di tale comunicazione avviene in maniera automatica (essendo generata dal sistema al momento della modifica dello status del courier), nel caso del [rider deceduto] l’invio del messaggio è dipeso da un errore umano in quanto il cambiamento di stato (la disattivazione) predisposta da un operatore non corrispondeva ad alcune delle casistiche previste dal sistema. Sul punto, pur cogliendo i rilievi dell’Autorità (e l’eco della stampa nazionale) in merito al tenore inopportuno del messaggio, a fronte delle circostanze tragiche del caso di specie, si ritiene che quanto accaduto non sia sufficiente ad integrare gli estremi di una violazione delle citate norme del GDPR” (v. nota 11/12/2023 cit., p. 10);

“Dall’apertura della Società in Italia nel 2016, sono stati contrattualizzati 120.857 corrieri. […] è evidente come risulti inevitabile ricorrere a un certo grado di standardizzazione della comunicazione automatica [che consegue a ogni cambio di status]” (v. nota cit., p. 11);

“si precisa che l’invio della comunicazione automatica in oggetto è avvenuto a seguito del decesso del courier (dopo la decisione di disattivare l’account del [rider]) e, pertanto, il trattamento dei dati connesso all’invio di tale messaggio deve ritenersi escluso dall’ambito di applicazione del GDPR” (v. nota cit., p. 11-12);

“Rispetto all’asserita incompletezza dell’informativa acquisita nel corso dell’Ispezione […], la Società ha volontariamente scelto di seguire un approccio «stratificato»”; […] “la completezza e chiarezza delle informazioni fornite va valutata nel suo complesso” (v. nota cit., p. 13);

con riguardo all’assenza “di un richiamo espresso alle “chat” e “email” scambiate tra i corrieri e gli operatori del customer care […] è evidente che se il contratto rivisto e sottoscritto dal corriere […] contiene […] due richiami espressi a comunicazioni con un canale di supporto, e in uno di questi si menziona una “comunicazione scritta”, il corriere necessariamente è a conoscenza del trattamento di tali comunicazioni” (v. nota cit., p. 13-14);

“in base ad una lettura complessiva […] nell’ambito delle previsioni dei Termini e Condizioni e dell’informativa ex art. 13 GDPR […], si capisce che l’indicazione che la geolocalizzazione è “esclusivamente associata al servizio” significa semplicemente che l’attività in questione viene svolta per consentire al corriere di prestare correttamente i propri servizi di consegna” (v. nota cit., p. 16);

“in merito al trattamento dei dati biometrici, la Società riconosce che il linguaggio contenuto nell’informativa agli atti non è stato tempestivamente aggiornato a seguito della temporanea sospensione del meccanismo di autenticazione biometrica a fronte dei flaw tecnici riscontrati nel luglio 2022. […] il trattamento dei dati biometrici dei corrieri è stato ripristinato a partire dal mese di marzo, per cui l’attuale versione dell’informativa risulta corretta e aggiornata” (v. nota cit., p. 17);

“Rispetto all’appendice dell’informativa […] allegata ai Termini e Condizioni […], contenente una nomina a responsabile del trattamento del corriere, si precisa che si tratta di un errore materiale. Invero, tale linguaggio - che si riferisce specificamente agli obblighi di fatturazione del corriere […] non è applicabile nell’ambito del rapporto contrattuale tra Foodinho e i corrieri in Italia […]” (v. nota cit., p. 17);

“a seguito della ricezione [della notifica delle violazioni], Foodinho si è resa conto dell’errore e ha prontamente provveduto ad aggiornare l’informativa disponibile online […], inserendo nei Termini e Condizioni applicabili in Italia la corretta versione dell’Allegato I, la quale si riferisce ai trattamenti effettuati dal corriere per conto di Foodinho (i.e. in qualità di responsabile del trattamento) nell’ambito della consegna degli ordini richiesti dagli utenti attraverso la Piattaforma” (v. nota cit., p. 17);

“Foodinho non svolge trattamenti interamente automatizzati ai sensi dell’art. 22 GDPR” (v. nota cit., p. 18);

“in merito all’asserita violazione dell’art. 1-bis del D. Lgs. 152/1997 sugli obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati, fermo restando l’assenza di processi decisionali automatizzati ai sensi dell’art. 22 GDPR […] al fine di rafforzare ulteriormente la trasparenza dei propri processi nei confronti dei corrieri, Foodinho ha recentemente predisposto un’informativa specifica in merito ad alcuni dei trattamenti che comportano processi parzialmente automatizzati, incluso le logiche relative al Punteggio d’Eccellenza e ai criteri di assegnazione degli slot […]. Tale informativa è stata adottata in data 18 maggio 2023” (v. nota cit., p. 18);

“Il numero di interventi umani che hanno avuto luogo nel sistema di Punteggio di Eccellenza e, in particolare, quelli relativi all'aumento manuale della capacità di una determinata fascia oraria […] costituisce chiaramente una supervisione "significativa" […]. E questo si legge nella perizia” (v. nota cit., p. 20);

“anche laddove si volesse considerare che il Punteggio di Eccellenza determini un trattamento automatizzato […], non si configurerebbe alcuna violazione dell’art. 22 GDPR in quanto l’applicabilità di tale norma è espressamente esclusa nel caso in cui “la decisione sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento” (art. 22, par. 2 GDPR)” (v. nota cit., p. 20);

“Anche se il dato medio delle disattivazioni emergente dagli atti ispettivi è superiore a quello preso in considerazione [nella perizia] ciò non significa che l’output finale dell’osservazione non sia uguale o anche maggiore; il ché conferma il valore dell’intervento umano rispetto alle disattivazioni” (v. nota cit., p. 21);

“Con riferimento poi alle altre cause di disconnessione che operano automaticamente (no show, posizione fuori area, disattivazione geolocalizzazione, disconnessione durante lo slot) accertate nel corso dell’ispezione del 26-27.7.2023) si consideri che esse non sono cause di disconnessione dell’account bensì solo di perdita dello slot” (v. nota cit., p. 21);

la perizia “dà contezza dell’intervento umano nel processo di grievance; inoltre, i courier sono informati in merito alla possibilità di presentare le proprie controdeduzioni” (v. nota cit., p. 21);

“la possibilità, da parte di Foodinho, di togliere il c.d. Garantito negli slot in corrispondenza di riassegnazioni […] rappresenta una forma di tutela nei confronti degli utenti della Piattaforma e del corretto funzionamento del servizio, senza di fatto rappresentare una riduzione delle occasioni di lavoro” (v. nota cit., p. 22);

“la misura del riconoscimento facciale è stata adottata in conseguenza delle negoziazioni dei protocolli sperimentali di legalità contro il caporalato nel settore del delivery food in presenza dell’autorità prefettizia” (v. nota cit., p. 23);

“la misura del riconoscimento facciale è stata giudicata dalla società adeguata e efficace contro la commissione del reato in questione o, quanto meno, per contrastare gli effetti negativi e lo sfruttamento economico. […] È chiaro che, come sostiene il Garante, questa misura di per sé non è sufficiente a evitare il fenomeno; tuttavia costituisce un efficace deterrente” (v. nota cit., p. 23);

“si ritiene che la misura del riconoscimento facciale possa trovare una valida base legale nell’art. 9, par. 2, lett. b) GDPR essendo quello di predisporre un modello organizzativo con efficacia scriminante ai sensi del D.Lgs. 231/01 un diritto/dovere di Foodinho come società a rischio rispetto alla commissione di determinati reati come quello di caporalato” (v. nota cit., p. 23);

“rispetto a[l trattamento dei dati biometrici], Foodinho ha correttamente eseguito una valutazione d’impatto ex art. 35 GDPR” (v. nota cit., p. 23);

con riferimento agli altri trattamenti aventi ad oggetto dati riferiti ai rider posti in essere dalla Società “la DPIA non era obbligatoria ai sensi dell’art. 35 GDPR essendo dimostrato, tanto per il Punteggio di Eccellenza che per il processo di grievance, che non sussiste un’attività di trattamento automatizzato dei dati dei courier e di profilazione degli stessi” (v. nota cit., p. 24);

“la Piattaforma non consente di visualizzare i dati dei courier operanti in altri paesi dell’UE o extra UE. […] L’accesso a limitate categorie di dati dal ridotto potere identificativo potrebbe essere accordato a un numero limitato di operatori […]” (v. nota cit., p. 25);

“per quanto riguarda il rilievo che la Società non avrebbe fornito riscontro “nonostante la specifica richiesta in proposito” in ordine al numero degli operatori complessivamente attivi sulla Piattaforma con possibilità di accessi con operatività cross-country, il motivo della mancata risposta risiede nel fatto che la richiesta in oggetto esula la competenza del Garante, in quanto attinente ai livelli di accesso e alle specifiche tecniche della Piattaforma (che […] è gestita autonomamente e interamente da GlovoApp23), nonché a trattamenti che afferiscono ad altre società del gruppo Glovo in qualità di titolari del trattamento autonomi, soggetti ai poteri di controllo dell’autorità di controllo del paese di stabilimento” (v. nota cit., p. 25);

“il termine di conservazione relativo ai trattamenti effettuati per finalità di gestione del rapporto è dettato da specifiche norme di legge ([…] o, comunque, da norme generali dell’ordinamento che forniscono un’indicazione circa il ragionevole periodo di tempo entro cui i dati possono ritenersi ancora “utili” per il titolare” (v. nota cit., p. 26);

“termini di conservazione dei dati di dieci anni […] risulterebbero pienamente leciti anche in relazione alle registrazioni delle telefonate […] nel rispetto del principio di minimizzazione del trattamento, di cui all’art. 5, par. 1, lett. c) del GDPR, nonché del principio di privacy by design di cui all’art. 25, par. 1 del GDPR, la Società ha deciso di adottare un termine di conservazione delle registrazioni delle telefonate di 36 mesi” (v. nota cit., p. 26);

anche con riferimento al termine di conservazione delle mappe relative al percorso effettuato dai corrieri per ciascun ordine “valgono le considerazioni esposte [in relazione alle registrazioni delle telefonate]” (v. nota cit., p. 26);

“termine di conservazione [dei dati contenuti nelle mappe], originariamente stabilito in soli dieci mesi, si è rivelato insufficiente a garantire il raggiungimento delle finalità menzionate in precedenza, in particolare rispetto alle richieste di accesso da parte di autorità pubbliche e gli obblighi fiscali di Foodinho” (v. nota cit., p. 26, 27);

con riferimento all’invio di dati a terze parti “pur riconoscendo che tali errori rilevano al fine della valutazione del rispetto della normativa a tutela dei dati da parte di codesta Autorità, si richiamano […] non solo la buona fede e lo spirito di cooperazione della Società […], ma anche il ravvedimento operoso della stessa che, non appena è venuta a conoscenza di tali errori tecnici, ha provveduto immediatamente a cessare le irregolarità” (v. nota cit., p. 27);

“tali errori non hanno causato una comunicazione dei dati indebita a terzi, bensì una mera messa a disposizione di informazioni nei confronti di fornitori di servizio contrattualizzati” (v. nota cit., p. 27);

“per quanto riguarda la contestazione relativa alla mancanza di base giuridica del trattamento dei corrieri per finalità di soft-spam o marketing, si respinge l’interpretazione dell’Autorità per cui il consenso (o opt-out, limitatamente al soft-spam) non sia applicabile nell’ambito del rapporto di lavoro sussistente con i corrieri, a fronte del fatto che […] non sussiste, tra la Società e i corrieri, alcun rapporto di lavoro subordinato” (v. nota cit., p. 27);

“in merito alla voce “rating” conservata nel back-end della Piattaforma come valore “vuoto” e non effettivamente utilizzato nell’ambito dei trattamenti dei dati dei corrieri italiani […] Si tratta di una voce senza alcun peso, che non comporta alcun trattamento ulteriore dei dati dei corrieri, ma assegna un numero, un mero valore matematico senza alcun significato e uguale per tutti” (v. nota cit., p. 28);

“quanto alla violazione dell’art. 88 GDPR, la norma non si applica in quanto non impone obblighi a carico di società private come Foodinho, bensì soltanto obblighi di facere in capo agli Stati membri” (v. nota cit., p. 28);

“quanto alla violazione dell’art. 114 Codice Privacy, invece, questa, contenendo un richiamo recettizio all’art. 4 dello Statuto dei Lavoratori, non è applicabile a Foodinho in quanto i courier non sono lavoratori subordinati” (v. nota cit., p. 28);

“[i] courier sono sempre liberi di dare o meno la propria disponibilità per i vari slot offerti da Foodinho. I courier decidono in piena autonomia se e quando lavorare” (v. nota cit., p. 28);

“l’utilizzo della Piattaforma per organizzare le prestazioni di consegna, tra cui la geolocalizzazione nonché il meccanismo di attribuzione del Punteggio di Eccellenza per l’apertura del calendario degli slot non riguardano l’esercizio di un potere di controllo e/o direttivo, come erroneamente rilevato dal Garante, bensì appartiene alle caratteristiche intrinseche dell’attività dei courier e allo svolgimento del servizio tramite la Piattaforma stessa” (v. nota cit., p. 29);

“anche laddove si applicasse - per mera ipotesi e senza accettare - a Foodinho l’art. 4 dello Statuto dei Lavoratori, ad ogni modo, i tool che il Garante considera forme di controllo a distanza dei courier sarebbero del tutto leciti in quanto rientrerebbero nei cd. “ordinary tool” necessari al fine di rendere la prestazione professionale” (v. nota cit., p. 31).

Nel corso dell’audizione richiesta dalla Società, tenutasi in data 21 dicembre 2023, la stessa ha rappresentato che “la Società, in ottica di collaborazione con l’Autorità Garante, ha espresso la volontà di portare all’attenzione dell’Autorità le iniziative che intende proporre in ordine ai trattamenti di dati relativi ai rider che sono stati oggetto della contestazione dell’11 ottobre 2023 con comunicazione che si impegna ad inviare entro il 15 gennaio 2024”.

In data 15 gennaio 2024, la Società ha presentato ulteriori memorie difensive in merito “agli impegni proposti” e in tale occasione ha dichiarato che “a partire dal 10 gennaio 2023 [da intendersi 2024], il cd. fixed rating value (valore fisso del rating) di 4.5 assegnato ad ogni corriere è stato eliminato” (v. nota 15/01/2024, cit., p. 12).

La Società ha inoltre indicato alcune misure che “propone di adottare […] con specifico riferimento ai rilievi sollevati” con la notifica delle violazioni dell’11 ottobre 2023, impegnandosi a inviare al Garante, entro il 29 febbraio 2024, un aggiornamento relativo a: “ado[zione di] un messaggio standard specificamente collegato alla sospensione dell’account corriere nel caso di incidenti”, “r[evisione del] testo del messaggio standard inviato automaticamente ad ogni cambio di status del corriere”, “r[evisione di] tutte le versioni attuali dell’informativa” resa ai rider nonché alla predisposizione di una “versione rivista della specifica informativa relativa al punteggio di eccellenza”, l’impegno a “migliorare la trasparenza rispetto ai trattamenti che comportano geolocalizzazione e i processi parzialmente automatizzati nonché in questo ultimo caso le procedure a disposizione di courier per le contestazioni e i reclami”, “la conferma dell’eliminazione, dalle voci potenzialmente alla base di un blocco o disattivazione, quelle non applicabili in Italia, ovvero “Bad rating” e “Many reassignments”, “ulteriori elementi a sostegno della legittimazione del ricorso al trattamento di dati biometrici ai sensi dell’art. 9.2., lett. b) GDPR”, “una revisione e adeguamento della DPIA sul riconoscimento facciale [e la predisposizione di] una DPIA relativa a specifici trattamenti di dati personali dei corrieri, quali geo-localizzazione e punteggio di eccellenza”, modifiche “al fine di stabilire livelli di segregazione country-based per impedire la visualizzazione dei dati personali di courier in altri Paesi, tranne in pochi casi limitati supportati da una documentata necessità”, adozione di accorgimenti “di concerto con […] GlovoApp23 […] nei sei mesi successivi”.

In data 29 febbraio 2024, la Società ha presentato una ulteriore memoria con la quale ha dichiarato che: le voci ““Bad rating” e “Many reassignments” […] a partire dalla data odierna […] non compariranno più all’interno dei sistemi della Società quali potenziali ragioni per un blocco o una disattivazione”, e che “ha provveduto ad eliminare quelle che, per ragioni operative, non sono utilizzate in Italia, specificamente: Long delivery time; Courier not moving; High waiting time; B2B fraud; Data protection infringement”, ha effettuato “la DPIA relativa a specifici trattamenti di dati personali dei corrieri, quali geo-localizzazione e punteggio di eccellenza”, ha effettuato alcune modifiche “in merito ai livelli di segregazione country-based”, il permesso di accesso alla piattaforma Livemap “alla data odierna […] non è […] attivo per i dipendenti delle società del gruppo Glovo situati in altri paesi”. La Società ha rappresentato di avere fornito “le istruzioni ulteriori fornite agli operatori di call center Comdata relative al trattamento, […] avuto riguardo ad eventuali disconnessioni degli account [dei] corrieri effettuate su indicazione della Società” e di avere dismesso il servizio fornito in Italia da Trizma.

La Società ha inoltre fornito copia dei messaggi standard, non ancora implementati, da inviare ai rider in caso di sospensione dell’account al verificarsi di incidenti, nonché ad ogni cambio di status del corriere. Ha altresì fornito una copia della versione rivista dell’informativa per i rider e della versione rivista della specifica informativa relativa al punteggio di eccellenza.

Con riferimento al trattamento dei dati biometrici la Società ha fornito una versione rivista della DPIA sul riconoscimento facciale ed ha rappresentato che i dati biometrici allo stato sono conservati per l’intera durata del rapporto di lavoro sebbene “[stia] attualmente discutendo con Jumio la possibilità di ridurre tali tempistiche alla luce del principio di proporzionalità”.

Infine, nell’ambito della valutazione di impatto riferita al punteggio di eccellenza e alla geolocalizzazione, la Società ha rappresentato di voler “adottare una serie di misure correttive, tra cui una rimodulazione delle modalità di calcolo del Punteggio che consenta di determinare lo stesso riducendo ulteriormente il trattamento dei dati già utilizzati nel processo di calcolo, eliminando il processo di normalizzazione […]. Inoltre, con riferimento alla geolocalizzazione, la Società ha rappresentato di voler adottare “ulteriori misure” ossia “limitare il numero di team e personale autorizzato di Foodinho che necessitano di accedere ai dati informativi del Corriere disponibili su “livemap.view”; [e] conservare i dati relativi alla geolocalizzazione per un periodo limitato”.

Da ultimo, con nota del 5 giugno 2024, la Società ha comunicato di aver modificato i tempi di conservazione dei dati biometrici nei termini di “tre (3) mesi dall’ultimo ordine nel caso di corrieri inattivi” e di “tre (3) mesi dalla disattivazione dell’account nel caso di corrieri i cui account sono stati disattivati per ragioni non riconducibili al riconoscimento facciale”. Con riferimento ai corrieri attivi “la Società conserverà i loro Dati Biometrici per l'intera durata della collaborazione con Foodinho. In questo modo, i corrieri attivi potranno accedere e utilizzare facilmente il proprio account per tutta la durata della loro collaborazione con la Società”.

3. Questioni pregiudiziali: competenza del Garante e principio del ne bis in idem.

Preliminarmente Foodinho s.r.l., con le memorie difensive dell’11 dicembre 2023, ha contestato la competenza del Garante per la protezione dei dati personali in relazione ai trattamenti dei dati personali dei rider effettuati attraverso l’operatività della piattaforma digitale di proprietà di GlovoApp 23 SA, con sede legale in Spagna.

Tale contestazione, per le ragioni che seguono, non è fondata. La Società, infatti, effettua trattamenti di dati riferiti al personale incaricato della consegna di beni, sulla base di un contratto-tipo che, per l’esecuzione della prestazione lavorativa, prevede l’attivazione di un account sull’applicazione Glovo Courier a cui accedere mediante credenziali e password fornite dalla Società stessa (v. All. 1, memorie 29/2/2024).

I trattamenti di dati dei corrieri che operano in Italia sono dunque effettuati attraverso la piattaforma dalla Società (Foodinho s.r.l.), in qualità di titolare del trattamento, ossia di soggetto che decide le finalità e i mezzi del trattamento stesso (art. 4, n. 7 del Regolamento), come evidenziato nella stessa informativa resa ai rider (v. All. 2, p. 4, memorie 29/2/2024, “Titolare del trattamento ¿ Foodinho, S.R.L., Via Giovanni Battista Pirelli 31, 20124, Milano, Italia”) e nell’accordo stipulato con GlovoApp 23 SA, relativo all’uso della piattaforma, dove Foodinho s.r.l. assume espressamente il ruolo di titolare dei trattamenti effettuati attraverso la stessa e la controllante GlovoApp (visto che allo stato la società capogruppo non è più la stessa GlovoApp23 SA, bensì Delivery Hero SE) è designata quale responsabile del trattamento (v. All. 3, verbale ispettivo 13/12/2022, Franchise agreement tra Glovoapp23 S.L. e Foodinho s.r.l., 1/10/2019, punto 18 “Personal Data Processing and Protection”).

Pertanto, rispetto ai trattamenti posti in essere in Italia da Foodinho s.r.l., in qualità di autonomo titolare del trattamento, l’unica autorità competente è il Garante per la protezione dei dati personali.

Nel caso di specie infatti, contrariamente a quanto ritenuto, ancora in via preliminare, nelle memorie difensive, le procedure di cooperazione previste dal Regolamento (capo VII, Sez. I) non trovano applicazione (diversamente, nel corso degli accertamenti che hanno dato luogo al provvedimento n. 234 del 2021, l’Autorità aveva rinvenuto l’evidenza di alcuni trattamenti aventi natura transfrontaliera ed aveva informato senza ritardo l’Agencia Española de Protección de Datos - AEPD).

La definizione di “trattamento transfrontaliero” contenuta nel Regolamento - la cui effettuazione costituisce il presupposto per l’applicazione delle predette procedure (v. art. 56. par. 1 del Regolamento) - fa riferimento a due distinte ipotesi.

Nella prima si ha riguardo al “trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro” (art. 4, n. 23, lett. a) del Regolamento).

La seconda ipotesi fa riferimento invece al “trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro” (art. 4, n. 23, lett. b) del Regolamento).

L’attività di accertamento svolta dal Garante non rientra in nessuna delle due citate fattispecie: infatti non ha riguardato trattamenti di dati effettuati da GlovoApp23 SA, con sede legale in Spagna, nei confronti di soggetti interessati che operano sul territorio nazionale e comunque “in più di uno Stato membro”, né la società italiana risulta essere uno “stabilimento” della società controllante posto che Foodinho s.r.l., è un autonomo soggetto giuridico che ha sede legale in Italia (v. anche, in proposito, il cons. 36 del Regolamento).

I trattamenti oggetto dell’attività di controllo avviata dall’Autorità sono infatti stati effettuati in esecuzione di contratti stipulati dalla società italiana (contratti che hanno pertanto definito il quadro di riferimento per le finalità e le modalità dei trattamenti stessi), il che esclude la loro possibile natura transfrontaliera, come invece erroneamente prospettato dalla Società.

Al caso di specie si applica, pertanto, l’art. 55, paragrafo 1, del Regolamento che stabilisce la competenza delle Autorità di controllo nazionali a esercitare i poteri e ad assolvere i compiti a essa attribuiti dal Regolamento in relazione ai trattamenti effettuati sul territorio nazionale dal soggetto ivi stabilito, per i quali lo stesso agisca in qualità di autonomo titolare (v. anche il considerando 122 del Regolamento).

Inoltre, la partecipazione di Foodinho s.r.l. a un gruppo societario del quale fa parte anche la controllante società spagnola GlovoApp23 SL non comporta il venire meno della competenza del Garante, ai sensi del Regolamento Ue 2016/679, per quanto riguarda i trattamenti effettuati dalla società italiana su interessati che lavorano in Italia, né implica il venir meno della soggettività giuridica di Foodinho, come autonomo centro di imputazione.

Come già chiarito dall’Autorità, l’esistenza di un gruppo di società non ha come conseguenza la configurazione di un nuovo centro di imputazione di rapporti giuridici che si sovrappone alle singole società facenti parte del gruppo.

La partecipazione a un gruppo societario, pertanto, non determina una unificazione giuridico-formale degli enti societari coinvolti, i quali mantengono la loro distinta soggettività giuridica (v. Provv. 5/12/2022, n. 427, 3.1., doc. web n. 9856694; in senso conforme si vedano le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, versione 2.0, adottate dall’European Data Protection Board (EDPB) il 7 luglio 2021, p. 32, punto 89: “all’interno di un gruppo di società, una società diversa da quella del titolare del trattamento o del responsabile del trattamento è un terzo, anche se appartiene al medesimo gruppo al quale appartiene la società che agisce in qualità di titolare o di responsabile del trattamento”).

In conclusione, per i motivi su esposti, nessuna norma del Regolamento attribuisce la competenza all’Agencia Española de Protección de Datos (AEPD), in relazione ai trattamenti descritti in premessa, oggetto di accertamento da parte dell’Autorità italiana, come invece ritenuto dalla Società (in senso conforme v. Corte Cass., ord. 29/9/2023, n. 27189, avente ad oggetto il precedente provvedimento adottato dal Garante proprio nei confronti della Società - su cui più estesamente nel prosieguo: “Anche a fronte di un trattamento di dati mediante piattaforma, possono (e anzi debbono) esser mantenuti distinti i trattamenti posti in essere da una società italiana operante nel territorio nazionale, con propria autonomia di struttura e di negoziazione, rispetto a quelli posti in essere da un'entità sovranazionale capogruppo (nella specie GlovoApp23). Quello svolto da Foodinho, secondo l'accertamento di fatto che si desume dall'impugnata sentenza, era (ed è) un trattamento di dati autonomamente gestito dalla società italiana come titolare, in forza - si comprende tra le righe - dei contratti stipulati di volta in volta con i rider”).

Sotto diverso profilo, in merito alla qualificazione del procedimento in oggetto quale “fotocopia [dell’iniziativa] intrapresa d’ufficio il 16 luglio 2019 [da parte del Garante]” si osserva come tale assunto non abbia alcun pregio giuridico e fattuale.

Si sottolinea innanzitutto che, per poter prospettare la violazione del divieto di bis in idem, è necessario, in termini generali, che ricorrano contemporaneamente alcune specifiche condizioni: 1) che il soggetto sottoposto a sanzione sia il medesimo; 2) che il fatto giudicato coincida nei due diversi procedimenti; 3) che uno dei due procedimenti si sia concluso con una sanzione definitiva (sulla necessaria presenza di tali condizioni v. CEDU, sentenza A e B c. Norvegia, 15 novembre 2016, che ha superato quanto stabilito, in precedenza, con sentenza Grande Stevens e altri c. Italia, 4 marzo 2014; Corte di Giustizia, 20 marzo 2018, Causa C524/15 Menci; v. anche Causa C536/16 Garlsonn Real estate-Ricucci, Cause riunite 596/16 e 597/16 Di Puma e Zecca).

Nel caso di specie i procedimenti sono stati avviati dal Garante in tempi diversi e su diversi presupposti nei confronti di Foodinho s.r.l.

Con riguardo al provvedimento del 10 giugno 2021 n. 234 (doc. web 9675440), si precisa che lo stesso è stato impugnato dalla Società e annullato, in un primo tempo, dal giudice di merito (Trib. Milano, sent. n. 35612 del 12/4/2022). La Corte di Cassazione ha però successivamente disposto la cassazione della sentenza del Tribunale di Milano (Cass., I sez. civ., ord. n. 27189 del 22/9/2023). Allo stato, il provvedimento dell’Autorità è divenuto inoppugnabile, a seguito della mancata riassunzione della causa, da parte della Società, dinanzi al tribunale competente.

Nel caso di specie, risulta in ogni caso evidente come non vi sia medesimezza del fatto nei due procedimenti e quindi non possa prospettarsi, neanche in astratto, il rischio di bis in idem.

I due procedimenti hanno per oggetto trattamenti diversi, pertanto non vi è identità del fatto, ossia non vi è corrispondenza storico naturalistica tra l’oggetto dei due procedimenti, considerati tutti gli elementi costitutivi (condotta, evento, nesso causale) e avuto riguardo alle circostanze di tempo, di luogo e di persona (v. Corte Cost., sent. 8/3/2018, n. 53 sulla nozione di idem factum ai fini dell’operatività del principio del ne bis in idem, in ambito penalistico; tale decisione richiama Corte Cost. 21/07/2016, n. 200 alla quale fa riferimento, sempre in ambito penalistico e sempre con riferimento alla nozione di idem factum, Corte di Cass. Pen., sez. III, sent. 7 febbraio – 22 marzo 2023, n. 12005).

Il provvedimento n. 234 del 2021 ha infatti riguardato i trattamenti di dati personali dei rider operanti in Italia effettuati dalla Società come accertati con ispezione del 16 e del 17 luglio 2019. L’oggetto del provvedimento, quindi, concerne i trattamenti dei dati effettuati dalla Società, fino a quel momento; il presente procedimento, invece, si concentra sui trattamenti di dati effettuati dalla Società, come accertati durante le ispezioni effettuate in data 13 e 14 dicembre 2022, 28 febbraio e 1 marzo 2023 e 26 e 27 luglio 2023, ed analizza tipologie di trattamento, seppure connesse al rapporto di lavoro con i rider, che non sono state però valutate nel primo procedimento (in particolare: il trattamento di dati biometrici, oggetto, come la stessa Società pone in evidenza, solo del presente procedimento, così come il trattamento consistente nella comunicazione di dati a terze parti, la disattivazione e il blocco dell’account dei rider, i trattamenti in violazione dell’art. 47-quinquies d. lgs. 81/2015 e dell’art. 1-bis del d.lgs. n. 152/1997).

Si tratta, quindi, di procedimenti con cui sono stati effettuati accertamenti relativi a trattamenti differenti, aventi un oggetto non sovrapponibile in concreto: i trattamenti presi in considerazione, dunque, sono relativi a periodi temporali diversi, posti in essere nei confronti di interessati diversi (stante il parziale e fisiologico avvicendamento della platea dei rider), le cui modalità del trattamento sono state modificate nel tempo dalla Società (a titolo esemplificativo, con riguardo ai documenti contenenti l’informativa, ai tempi di conservazione dei dati raccolti, alla valutazione d’impatto, alle modalità di effettuazione dei trattamenti automatizzati) e relativamente ai quali l’Autorità ha esaminato aspetti non coincidenti con quelli oggetto del precedente procedimento.

La stessa Società, negli scritti difensivi dell’11 dicembre 2023, ha riconosciuto che il nuovo procedimento presenta elementi che lo distinguono da quello che ha portato all’adozione del provvedimento n. 234 del 2021 (v. nota 11/12/2023, p. 8, 9). In particolare, infatti, nell’ambito di una tabella schematica nella quale ha elencato le contestazioni motivate funditus dall’Autorità, la Società ha precisato, tra l’altro, che:

- la contestazione relativa all’art. 5, par. 1, lett. c) e d) del Regolamento nel provvedimento n. 234 del 2021 “non era elevata perché il caso di [S.G.] che l’ha determinata ancora non si era verificato. Del resto, il nuovo accertamento ispettivo è derivato proprio dalla notizia diffusa dai principali quotidiani della vicenda legata al courier defunto”;

- con riferimento agli artt. 5, par. 1, lett. a) e 13 del Regolamento il trattamento dei dati biometrici “nel 2019 non era effettuato”;

- relativamente all’art. 5, par. 1, lett. e) del Regolamento le violazioni contestate nella notifica relativa al procedimento in oggetto sono “declinate rispetto alla situazione odierna e ai risultati risultanti dai nuovi accessi”;

- con riferimento all’art. 22, par. 3, del Regolamento, con la notifica relativa al procedimento in oggetto “in aggiunta ai trattamenti connessi al sistema punteggio di eccellenza dei courier, è considerato altresì un trattamento automatizzato di dati personali la procedura di disattivazione (grievance) e blocco dell’account al ricorrere di determinate condizioni predeterminate.

Quest’ultima considerazione è figlia del caso del Sig. [S.G.] in base al quale il Garante ha iniziato il secondo accesso ispettivo”;

- relativamente all’art. 47-quinquies del D. Lgs. 81/2015 la contestazione in oggetto viene “declina[ta] sul caso Galassi e sulle ipotesi di grievance per riassegnazione dell’ordine”;

- “in aggiunta rispetto al precedente Provvedimento n. 234/21, nel nuovo procedimento è contestata la violazione degli art. 5, par. 1, lett. a), 9, par. 2, lett. b) del GDPR 11 dicembre 2023 e dell’art. 2-septies del Codice Privacy in relazione al trattamento dei dati biometrici dei courier. Ciò in quanto prima del 2020 questo trattamento non veniva effettuato”;

- “rispetto al precedente procedimento, viene in rilievo l’invio dei dati dei courier a terze parti nell’ambito dell’attività di trattamento effettuata tramite la Piattaforma mediante l’uso di sistemi come Google Firebase, Braze e mParticle”.

Emerge, pertanto, come la Società stessa abbia perfettamente percepito i molteplici aspetti di novità e di diversità del presente procedimento, rispetto a quello avviato nel 2019 e conclusosi con il provvedimento n. 234 del 2021.

Diversamente ragionando - e quindi provando a seguire l’interpretazione del principio del ne bis in idem che è stata fornita dalla Società in assenza di alcun fondamento giuridico -, si arriverebbe a ritenere che i soggetti nei cui confronti l’Autorità abbia già adottato un precedente provvedimento che ha rilevato l’illiceità di specifici trattamenti non potrebbero essere più sottoposti, da parte della stessa Autorità, a indagini volte a esaminare altri trattamenti di dati analoghi rispetto a quelli per i quali è già stato adottato un provvedimento.

Evidente il vulnus relativo alla tutela dei diritti che così verrebbe a crearsi (v. la richiamata C. Cost., sent. 8/3/2018, n. 53, che chiarisce che “la giurisprudenza di legittimità appare salda nel ritenere […] che, con riguardo al reato permanente, il divieto di un secondo giudizio riguarda soltanto la condotta posta in essere nel periodo indicato nell’imputazione e accertata con la sentenza irrevocabile, e non anche la prosecuzione o la ripresa della stessa condotta in epoca successiva, la quale integra un “fatto storico” diverso, non coperto dal giudicato, per il quale non vi è alcun impedimento a procedere (tra le molte, Corte di cassazione, sezione sesta penale, sentenza 5 marzo-15 maggio 2015, n. 20315; sezione terza penale, sentenza 21 aprile-11 maggio 2015, n. 19354; sezione seconda penale, sentenza 12 luglio-13 settembre 2011, n. 33838)”).

Si ritiene opportuno inoltre rilevare come i riferimenti all’art. 83 par. 3 del Regolamento e alle Guidelines 04/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR adottate dall’EDPB il 24 maggio 2023 (che la Società utilizza per sostenere la propria ricostruzione in merito al principio del ne bis in idem) non siano affatto conferenti.

In particolare la Società ha sostenuto, con riferimento all’art. 83 par. 3 del Regolamento, che “l’identificazione degli elementi costitutivi del diritto al ne bis in idem è significativa anche nel contesto del GDPR, laddove, anzitutto, l’art. 83 (3) stabilisce il divieto di cumulo tra le singole sanzioni” (v. nota 11/12/2023, p. 9), sostenendo quindi che il principio troverebbe applicazione nel par. 3 dell’art. 83 del Regolamento.

Dalla lettura della norma citata (“Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”) risulta invece evidente come la stessa disciplini una forma speciale di cumulo giuridico delle sanzioni amministrative pecuniarie, nel caso in cui il trattamento (o trattamenti collegati) violino varie disposizioni del Regolamento. Risulta pertanto incomprensibile come tale rinvio possa supportare la ricostruzione della Società.

Si aggiunga come anche il riferimento alle citate Guidelines dell’EDPB non risulta né utile né corretto, per supportare la tesi della Società; ciò in quanto l’EDPB, analizzando l’art. 83 par. 2 lett. e) del Regolamento ha precisato che, nel calcolo della sanzione l’autorità di controllo può considerare come fattore aggravante l’esistenza di violazioni precedenti pertinenti commesse dal titolare del trattamento.

In proposito le Guidelines citate sottolineano anche che “l’assenza di violazioni precedenti […] non può essere considerata un fattore attenuante, in quanto la conformità al GDPR è la norma. Se non vi sono violazioni precedenti, questo fattore può essere considerato neutro” (v. punto 94 delle citate Guidelines).

Pertanto la commissione di violazioni precedenti rientra tra le circostanze che il Garante deve valutare, quando adotta un provvedimento relativo a un trattamento illecito (ancor più se si tratta di violazioni pertinenti, v. punto 88 delle citate Guidelines “le violazioni aventi lo stesso oggetto devono essere considerate più importanti, in quanto più vicine alla violazione attualmente oggetto di indagine, soprattutto quando il titolare del trattamento o il responsabile del trattamento ha commesso in precedenza la stessa violazione (violazioni ripetute). Pertanto, le violazioni aventi lo stesso oggetto devono essere considerate più pertinenti rispetto alle violazioni precedenti riguardanti una diversa materia”).

Le citate Guidelines, evidenziano pertanto l’importanza, ai fini dell’inasprimento della sanzione amministrativa pecuniaria, della valutazione di precedenti fattispecie di illecito a carico del soggetto controllato, ancora più rilevanti se pertinenti (v. punto 87 delle citate Guidelines “Ai fini dell'articolo 83, paragrafo 2, lettera e), GDPR, potrebbero essere considerate "pertinenti" le precedenti violazioni aventi oggetto uguale o diverso da quello sottoposto a indagine”). Risulta pertanto pienamente in sintonia con il sistema la possibilità che un’autorità di controllo possa valutare la condotta di un soggetto, anche nel caso in cui, nei confronti dello stesso, abbia già adottato un precedente provvedimento.

Si rammenta infine che l’Autorità, visto l’art. 83 par. 1 del Regolamento, quando adotta sanzioni amministrative pecuniarie, provvede affinché le stesse siano “effettive, proporzionate e dissuasive” avuto riguardo al caso concreto.

Nel merito, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare, ha effettuato alcune operazioni di trattamento che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Considerato che nel corso del procedimento sono stati prodotti documenti redatti in lingua inglese, tra l’altro, non tutti corredati da traduzione in lingua italiana, si rammenta che la documentazione prodotta nell’ambito di procedimenti avviati dal Garante per la protezione dei dati personali deve essere redatta in italiano come previsto per gli atti processuali dall’art. 122 del codice procedura civile, vista altresì la più generale disposizione normativa (art. 1, L. 15 dicembre 1999, n. 482, Norme in materia di tutela delle minoranze linguistiche) che prevede la lingua italiana come lingua ufficiale della Repubblica italiana.

4.1. Violazione dei principi di correttezza, adeguatezza, pertinenza ed esattezza del trattamento (art. 5, par. 1, lett. a), c) e d), del Regolamento). Violazione del principio di privacy by design e by default (art. 25 del Regolamento).

Nel merito, all’esito dell’attività istruttoria, è stato accertato che la Società, in data 3/10/2022, ha inviato, sull’account di [S.G.], un messaggio avente il seguente contenuto: “Importante: account disattivato. Gentile [S.G.], Glovo intende offrire un’esperienza ottimale ai propri corrieri, partner e clienti. Per mantenere una piattaforma sana ed equa talvolta è necessario prendere dei provvedimenti quando uno di questi utenti non si comporta in modo corretto. Siamo spiacenti di doverti informare che il tuo account è stato disattivato per il mancato rispetto di Termini e Condizioni. Se avrai ancora dei pagamenti in sospeso alla fine del prossimo periodo di fatturazione riceverai i dettagli dell’ultimo ordine per la fatturazione. Se hai bisogno di contattarci per qualsiasi motivo, utilizza il modulo disponibile nel sito dei corrieri” (v. screenshot su Repubblica, cronaca di Firenze, 4/10/2022).

In base alle dichiarazioni della Società, il responsabile delle relazioni esterne e istituzionali, […], alle 17:57 del 2/10/2022 ha ricevuto una notizia ANSA del 2/10/2022 (“Scontro auto-scooter a Firenze, vittima è un rider”, dove nel prosieguo del testo si precisa che il ragazzo, non identificato, stava effettuando consegne per conto di Glovo) unitamente ad altri esponenti di Glovo.

Il giorno dopo, 3/10/2022, alle 9:01, il manager del Team Operation ha contattato un operatore addetto con la seguente indicazione “Direi di fare come per gli altri. Lo mettiamo DISABLED e lasciamo la nota in description” (verbale 28/2/2023, p. 3 e All. 6).

L’operatore ha dichiarato di “aver ricevuto l’indicazione di procedere alla disattivazione verbalmente dal Manager del Team Operation, […], e che non è a conoscenza della procedura di generazione automatica della e-mail in quanto è di competenza della capogruppo Glovoapp23 SL” (verbale ispettivo 14/12/2022, p. 8).

In proposito la Società ha altresì dichiarato che, “dopo che l’account [di S.G.] era stato manualmente disattivato, il messaggio concernente la disattivazione dell'account è stato inviato in modo automatico, dal sistema al Corriere, per errore, poiché tale disattivazione non ha avuto origine da alcuna violazione dei Termini e Condizioni, e altresì non vi era una risposta standard ad hoc per una tale drammatica situazione” (Nota scioglimento delle riserve 23/12/2022, lett. B.).

Inoltre “la comunicazione ricevuta dal Sig. [S.G.] viene trasmessa in modo automatico quando il sistema registra un cambiamento di stato. Invero, il Sig. [S.G.] non avrebbe dovuto ricevere alcuna comunicazione di disattivazione o blocco dell'account in quanto non richiesta in base alle circostanze specifiche del caso” (Nota scioglimento riserve cit., lett. C.).

A conferma di ciò, la Società ha precisato che la “comunicazione ricevuta dal sig. [S.G.] […] è inviata, in aggiunta ad una di quelle [previste per le procedure di grievance e di blocco], ad ogni modifica dello status del rider. […] Nel caso del sig. [S.G.], viste le circostanze, l’invio di questa comunicazione è dovuto ad un errore umano” (verbale ispettivo 28/2/2023, p. 7).

In base alle dichiarazioni in atti, emerge pertanto che l’invio del messaggio relativo alla disattivazione, ricevuto sull’account di S.G. due giorni dopo l’incidente mortale, non è dipeso da “un errore umano”. Infatti, sebbene la disattivazione sia stata effettuata manualmente dopo la notizia della morte del rider, il messaggio ricevuto sull’account è stato inviato a causa della configurazione del sistema di cui si avvale la Società, impostato in modo tale da inviare automaticamente un messaggio standard ad ogni cambio di status, indipendentemente dalle ragioni della disattivazione stessa.

Pertanto all’esito dell’accertamento relativo alla concreta vicenda riguardante il rider deceduto nel 2022 è emerso che l’invio automatico di un messaggio standard riguarda l’intera platea dei rider.

L’invio automatico del messaggio ad ogni cambiamento di status risulta in violazione dei principi di esattezza, adeguatezza, pertinenza e correttezza nelle ipotesi, al ricorrere delle quali, secondo quanto dichiarato, si procede ad effettuare la disattivazione dell’account, ossia nelle ipotesi di grievance/disattivazione e blocco.

Infatti, sebbene sia possibile, in base a quanto dichiarato dalla Società, procedere alla riattivazione dell’account sia in caso di disattivazione che di blocco - qualora il rider presenti controdeduzioni ritenute idonee o effettui le azioni richieste - il messaggio standard indica che l‘avvenuta disconnessione ha carattere di definitività (“il tuo account è stato disattivato per il mancato rispetto di Termini e Condizioni”), senza alcun riferimento alla possibilità di attivarsi per modificare l’avvenuto cambio di status (anzi si precisa che “alla fine del prossimo periodo di fatturazione riceverai i dettagli dell’ultimo ordine per la fatturazione”).

Considerato, infine, che il trattamento effettuato, mediante l’invio del messaggio standard sopra riportato, in base alla configurazione del sistema, avviene automaticamente e indipendentemente dalle possibili concrete casistiche, risulta che la Società non ha attuato i principi di protezione dei dati, fin dalla progettazione e per impostazione predefinita. La corretta osservanza di tali principi comporta infatti per il titolare del trattamento l’attuazione di misure volte, tra l’altro, a “offrire trasparenza per quanto riguarda le funzioni e il trattamento dei dati personali” e “consentire all’interessato di controllare il trattamento dei dati” (v. cons. 78 del Regolamento).

Il datore di lavoro deve, pertanto, adottare misure volte ad assicurare il rispetto dei principi della protezione dei dati fin dalla progettazione del trattamento e per impostazione predefinita (art. 25 del Regolamento) durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venga] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dall’EDPB il 20/10/2020).

Nel caso del rider deceduto, poi, l’invio del messaggio sopra riportato ha comportato un trattamento in violazione dei principi di esattezza, adeguatezza, pertinenza e correttezza, considerato che la disconnessione non è avvenuta a causa di una violazione dei Termini e Condizioni di utilizzo della piattaforma, come affermato dalla stessa Società, bensì allo scopo di “evitare che soggetti terzi potessero utilizzare l’account” (v. nota 27/12/2022, lett. B). D’altra parte è la stessa Società ad aver dichiarato che il rider deceduto “non avrebbe dovuto ricevere alcuna comunicazione di disattivazione o blocco dell'account in quanto non richiesta in base alle circostanze specifiche del caso”.

Inoltre, in base allo stralcio dei messaggi scambiati sul sistema di messaggistica SLACK, limitatamente a quanto messo a disposizione dell’Autorità, emerge che già in situazioni analoghe (se non identiche) la Società aveva adottato la stessa procedura (il manager del Team operation ha specificato all’operatore: “Direi di fare come per gli altri”).

Nel corso del procedimento la Società ha obiettato che la contestazione effettuata dal Garante sarebbe infondata in quanto il trattamento relativo all’invio del messaggio tramite e-mail, dopo il decesso del rider “deve ritenersi escluso dall’ambito di applicazione del GDPR” considerato che il Regolamento “non si applica alle persone decedute” (v. memorie difensive 11/12/023, p. 11-12).

Tale argomento non può essere accolto.

In termini generali il Regolamento, nel considerando 27, ha demandato agli Stati membri la possibilità di prevedere norme riguardanti il trattamento di dati riferiti alle persone decedute (tanto che le definizioni di “dato personale” e di “trattamento” contenute nell’art. 4 del Regolamento nulla specificano in proposito).

Il Codice, nell’art. 2-terdecies (Diritti riguardanti le persone decedute), stabilisce che i diritti attribuiti all’interessato (dagli artt. da 15 a 22) possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. Dunque il nostro ordinamento riconosce, a determinate condizioni, la tutela dei dati personali delle persone decedute. Il Garante si è pronunciato sul punto sottolineando come “i diritti di cui agli articoli da 15 a 22 del RGPD […] si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili (v. provv. n. 2 del 10/1/2019, in www.gpdp.it, doc. web n. 9084520. Sui dati dei deceduti cfr. anche provv. n. 118 del 7/4/2022, ivi, doc. web n. 9772545; n. 90 del 23/3/2023, ivi, doc. web n. 9888188)” (Provv. n. 82, 22/02/2024, doc. web n. 9996647).

Nel caso di specie, poi, il Garante, muovendo dal testo dell’e-mail inviata dalla Società all’utenza del rider, dopo l’incidente mortale che lo ha coinvolto, reso noto alla stampa dai familiari del ragazzo, ha avviato un’attività di controllo a partire dalle modalità con le quali la Società ha effettuato la disconnessione dalla piattaforma e l’ha resa nota all’interessato, attraverso la comunicazione e-mail del 3/10/2022. I trattamenti oggetto dell’attività ispettiva riguardano pertanto la complessiva platea dei rider che svolgono attività di consegna per conto della Società.

Si prende atto che la Società nel corso del procedimento, dopo la notifica delle violazioni effettuata dall’Autorità, ha elaborato un messaggio standard da inviare automaticamente in caso di disattivazione effettuata al verificarsi “di incidenti” e un messaggio da inviare automaticamente ad ogni cambio di status, distinguendo così le diverse ipotesi di disattivazione e preannunciando una ulteriore comunicazione che conterrà i dettagli di quanto contestato al rider e indicazioni su come fornire chiarimenti (v. nota 29/2/2024, All. 1). Anche se, allo stato, tali modifiche programmate non sono state concretamente implementate dalla Società.

Non possono inoltre essere accolti i rilievi formulati dalla Società, nelle memorie difensive, con riguardo al verificarsi di un “errore umano”, posto che - come sopra già argomentato - l’invio del messaggio al rider deceduto è avvenuto automaticamente, come del resto in occasione di ogni cambio di status. Né la circostanza che i rider contrattualizzati siano di numero elevato, con conseguente “inevitabil[e] ricor[so] ad una certa standardizzazione della comunicazione automatica”, può essere considerata idonea ad incidere sulla necessità di adottare messaggi, anche standardizzati, tuttavia differenziati e completi delle informazioni relative alle modalità per revocare la disconnessione o il blocco (attività che peraltro la Società si è impegnata ad effettuare).

Infine si osserva che, allo stato, nessuna modifica è stata ancora realizzata in ordine all’invio dei messaggi standard, pertanto, impregiudicata ogni valutazione circa la conformità ai principi di protezione dei dati dei nuovi messaggi predisposti dalla Società (oggi previsti esclusivamente in lingua inglese), ne consegue che la Società ha violato, nei termini su indicati, gli artt. 5, par. 1, lett. a), c) e d) (principi di correttezza, adeguatezza, pertinenza ed esattezza del trattamento) e 25 (protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) del Regolamento.

4.2. Violazione dell’obbligo di informativa (art. 13 del Regolamento).

Con riferimento ai documenti contenenti le informative sul trattamento dei dati predisposte dalla Società acquisiti nel corso dell’istruttoria, si osserva, in via preliminare che, nonostante la pluralità degli stessi, non possa ritenersi effettivamente realizzata la finalità dell’art. 13 del Regolamento.

La mera predisposizione di una pluralità di documenti informativi, infatti, non può considerarsi, come erroneamente ha sostenuto la Società, espressione di un “approccio stratificato” e, quindi, elemento, di per sé sufficiente per comprovare il rispetto dell’art. 13 del Regolamento.

Le valutazioni dell’Autorità in merito alla molteplicità di documenti informativi predisposti dalla Società discendono, tra l’altro, dalla considerazione degli effetti negativi derivanti dalla confusione generata da contenuti informativi non omogenei e non corrispondenti alla nozione di “informative stratificate” prevista dalle Linee guida in materia di trasparenza ai sensi del Regolamento 2016/679 adottate dal Gruppo Articolo 29 il 29 novembre 2017 ed emendate l’11 aprile 2018, fatte proprie dall’EDPB, ma che risultano discordanti e assolutamente non coordinati, come verrà illustrato di seguito.

In proposito il richiamo all’art. 12 par. 7 del Regolamento che precisa che al fine di fornire un “quadro d’insieme del trattamento previsto” “le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate”, effettuato dalla Società, appare inconferente, posto che oggetto di esame e di contestazione da parte dell’Autorità non è stato il rinvio ad eventuali icone standardizzate, ma i numerosi e non coordinati documenti che la Società ha predisposto, dall’esame dei quali è emerso che la stessa ha confuso l’esigenza di qualità delle informazioni da dare agli interessati in merito al trattamento, con la quantità di documenti che dovrebbero contenere le stesse.

Inoltre, le richiamate Linee guida sulla trasparenza precisano che “Alla luce della quantità d’informazioni da fornire all’interessato, in ambiente digitale il titolare del trattamento può seguire un approccio stratificato, optando per una combinazione di metodi al fine di assicurare la trasparenza. Per evitare un subissamento informativo, il Gruppo raccomanda in particolare l’impiego di dichiarazioni/informative sulla privacy stratificate per collegare le varie categorie d’informazioni da fornire all’interessato, piuttosto che l’inserimento di tutte le informazioni in un’unica informativa sulla schermata” (v. Linee guida cit., punto 35). Tra gli aspetti che devono essere presi in considerazione per valutare se il titolare abbia adempiuto all’obbligo di informativa nei confronti degli interessati viene indicata “la coerenza delle informazioni sia fra i diversi strati di una […] informativa sia all’interno di ogni singolo strato” (v. Linee guida cit., punto 35).

L’approccio stratificato, quindi, comporta che, a un primo livello di informativa (i.e. “il metodo principale con cui il titolare si rivolge all’interessato”, v. Linee guida cit., punto 36), seguano strati ulteriori di specificazione in merito al trattamento di dati effettuato. Il predetto approccio, pertanto, dovrebbe consentire all’interessato di comprendere più chiaramente come avviene il trattamento dei propri dati, evitando un eccesso di dettagli che potrebbe essere utile conoscere, in determinati casi, accedendo al livello ulteriore dell’informativa.

Dall’esame dei documenti predisposti dalla Società emerge, invece, l’assenza di un coerente “approccio stratificato”, nonché la totale mancanza di un reale coordinamento contenutistico tra i vari documenti informativi con la conseguente impossibilità, per gli interessati, di avere un quadro chiaro (e aderente alla realtà) della varietà di trattamenti che la Società effettua sui dati degli stessi raccolti nell’ambito del rapporto di lavoro.

Non solo, quindi, dall’esame dei singoli documenti così come dall’esame congiunto degli stessi, emerge che la Società non ha realizzato l’esigenza di fornire agli interessati le necessarie informazioni complete, ma risulta anche evidente come non sia riuscita a realizzare neppure l’esigenza di fornire le predette informazioni in una forma concisa, trasparente, intelligibile e facilmente accessibile (cfr. Linee guida cit., punto 34).

4.2.1. L’informativa tratta dal sito della Società e il documento contenente “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri”, consegnati dalla Società durante l’ispezione del 13 e 14 dicembre 2022.

Il documento contenente l’informativa, non datato, consegnato dalla Società durante l’ispezione del 13 e 14 dicembre 2022, tratto dal sito della stessa (https://glovoapp.com/it/legal/privacy-couriers/) (All. 7 del verbale del 14/12/2022), che risulta di uguale contenuto rispetto all’informativa allegata alle copie di contratti standard forniti in sede di prima ispezione (All. 2 al verbale del 13/12/2022) deve considerarsi redatto in violazione degli artt. 5, par. 1, lett. a) (principio di trasparenza e principio di correttezza), 12 e 13 del Regolamento: le informazioni contenute nel predetto documento non risultano infatti fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile” né attraverso le stesse risultano fornite “tutte le informazioni di cui agli articoli 13 e 14”.

Nell’informativa in esame, in particolare, non vengono individuate per intero le categorie di dati dei rider che la Società tratta, tanto che il punto 2 al suo interno, dedicato ai “dati raccolti”, introduce gli stessi con un’enunciazione esemplificativa (“di seguito, elenchiamo un esempio di dati che raccogliamo e le relative finalità del trattamento”); non vengono indicati, tra gli altri, i dati sulla gestione degli ordini, né i dati relativi a chat ed e-mail scambiate tra i rider e gli operatori del customer care, dati, che invece, da quanto emerso in sede di ispezione, la Società tratta.

In proposito alle categorie di dati, privo di pregio per i motivi sopra indicati (v. par. 4.2) è il rilievo della Società in base al quale “i vari documenti informativi forniti ai courier nell’ambito del rapporto con Foodinho non devono essere intesi quali informative distinte, ma vanno al contrario considerati nel loro complesso” e “per iniziare a collaborare con la Piattaforma i courier sono chiamati a scaricare la relativa app e accettare i Termini e Condizioni ove […] sono espressamente menzionate tali categorie di dati”.

In particolare e in aggiunta a quanto sopra affermato (v. par. 4.2), si osserva infatti che l’informativa qui in esame non rinvia, per l’indicazione completa dei dati trattati, a nessun ulteriore documento, quindi neanche ai “Termini e Condizioni”.

Inoltre, sostenere, come fa la Società, che “il corriere necessariamente è a conoscenza del trattamento di tali comunicazioni per finalità di supporto” per quanto riguarda i dati relativi alle “chat” e alle “email” scambiate tra i corrieri e gli operatori del customer care, in quanto nel contratto firmato dai rider a cui è allegata l’informativa vi è il richiamo all’“esistenza di scambi con una funzione di «supporto»” (v. nota del 11/12/2023, p. 13, 14), non risulta condivisibile: come già sottolineato, infatti, con l’informativa il titolare del trattamento deve fornire all’interessato tutte le informazioni in forma concisa, intelligibile e facilmente accessibile, non informazioni generiche che devono essere interpretate, desunte e ricercate all’interno dei vari documenti pertinenti che definiscono il rapporto con il rider.

Inoltre, in proposito, nonostante la Società dichiari che le informazioni in merito al trattamento dei dati relativi alle “chat” e alle “email” scambiate, tra i corrieri e gli operatori del customer care, vengano “anche rese durante il colloquio che precede l’iscrizione alla Piattaforma” (v. nota del 11/12/2023, p. 14) si prende atto che nessuna evidenza di ciò è stata prodotta dinanzi all’Autorità.

L’informativa in esame, inoltre, non risulta chiara e intelligibile, con riferimento all’individuazione delle condizioni di liceità e delle finalità del trattamento (che, tra l’altro, sono state inserite nella stessa sezione), tra le quali spesso non vi è coordinamento: sempre all’interno del punto 2, “Dati raccolti”, laddove vengono indicate, per i dati selezionati le rispettive basi giuridiche e le finalità del trattamento, infatti, non è possibile distinguere le une dalle altre.

Inoltre, nonostante all’interno del citato punto 2 vengano indicate più basi giuridiche, nel punto 4 - “finalità e base giuridica del trattamento dei dati” -, viene precisato che “i dati saranno trattati esclusivamente al fine di dare corretta esecuzione al rapporto contrattuale tra le parti”, in tal modo rendendo evidente la mancanza di allineamento tra le due sezioni all’interno dello stesso documento.

Risulta poi del tutto inconferente il richiamo della Società al principio di accountability rispetto alle contestazioni mosse dall’Autorità, con riferimento all’art. 13 del Regolamento.

La rilevanza attribuita dal Regolamento al principio di accountability non comporta, infatti, il venire meno dei poteri dell’Autorità in merito alla valutazione della conformità della condotta di un titolare rispetto alla disciplina di protezione dei dati personali, nemmeno per quanto riguarda l’obbligo che grava sul titolare di fornire le informazioni sul trattamento ai sensi dell’art. 13 del Regolamento.

L’oggetto della contestazione in merito alle informazioni sulle condizioni di liceità e le finalità del trattamento tra l’altro non ha riguardato, come sembrerebbe ritenere la Società, “il formato e le modalità” con cui tali informazioni sono state fornite, ma il fatto che le informazioni fornite non rispettino i requisiti di completezza e di chiarezza richiesti dalle norme (artt. 12 e 13 del Regolamento) e generino invece a confusione e incertezza nell’interessato, rispetto al trattamento dei suoi dati personali.

Sempre con riferimento alle condizioni di liceità del trattamento, relativamente all’indicazione, all’interno del punto 4, del “consenso esplicito del corriere” come base giuridica del trattamento, si osserva innanzitutto come il riferimento al consenso del rider per il trattamento di non meglio precisati dati sia così generico da non consentire l’individuazione dei dati in relazione ai quali la Società ritenga lo stesso idonea condizione di liceità del trattamento.

Si osserva, inoltre, che, di norma, il consenso nell’ambito del rapporto di lavoro, considerata l’asimmetria tra le parti dello stesso, non costituisce condizione di liceità del trattamento per quanto riguarda i dati relativi al rapporto di lavoro (v. Opinion n. 2/2017 del Gruppo di lavoro articolo 29, par. 2 “È importante riconoscere che i dipendenti si trovano raramente nella posizione di concedere, rifiutare o revocare liberamente il consenso al trattamento dei dati, vista la dipendenza derivante dal rapporto datore di lavoro/dipendente. Salvo in situazioni eccezionali, i datori di lavoro dovranno basarsi su un fondamento giuridico diverso dal consenso”).

In proposito il rilievo della Società in merito alla “perd[ita] di ogni ragione d’essere” della presente contestazione in quanto “la qualificazione del rapporto tra la Società e i courier proposta dal Garante […] in termini di rapporto di lavoro subordinato non è palesemente corretta” (v. memorie difensive 11/12/2023, p. 15), risulta non condivisibile posto che, come lo stesso Gruppo di lavoro articolo 29 ha sottolineato, i problemi derivanti dalla qualificazione del consenso come idonea base giuridica non riguardano solo il rapporto di lavoro subordinato, ma qualunque situazione lavorativa in cui vi sia uno squilibrio tra la posizione di chi rende la prestazione lavorativa e quella del soggetto per il quale la prestazione lavorativa è resa (v. in particolare Opinion n. 2/2017 del Gruppo di lavoro articolo 29, par. 2 “Con il termine «dipendente», nel presente parere il Gruppo di lavoro non si riferisce esclusivamente alle persone soggette a un contratto di lavoro riconosciuto come tale ai sensi delle leggi vigenti in materia. Negli ultimi decenni sono diventati più comuni nuovi modelli aziendali serviti da tipi diversi di rapporto di lavoro, in particolare il ricorso a lavoratori freelance. Il presente parere intende trattare tutte le situazioni di rapporto di lavoro, indipendentemente dal fatto che tale rapporto si basi su un contratto di lavoro”).

Inoltre, il considerando 42 del Regolamento precisa che “il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”. Circostanze che non possono ritenersi presenti nel caso di specie, considerate le caratteristiche peculiari del rapporto che intercorre tra la Società e i rider.

In proposito, si sottolinea altresì come l’Autorità abbia accertato che i trattamenti di dati personali dei rider sono effettuati dalla Società nell’ambito di un rapporto di lavoro, ora normato dall’art. 2, d. lgs. n. 81/2015 (come modificato dall’art. 1, comma 1, lett. a), nn. 1 e 2, d.l. 3.9.2019, n. 101, convertito con modificazioni in l. 2.11.2019, n. 128) e pertanto agli stessi si applica la “disciplina del rapporto di lavoro subordinato” (v. funditus par. 4.12).

Con riferimento alla sezione “geolocalizzazione” (punto 3) alcune basi giuridiche vengono indicate in modo generico e sembrano riferirsi alle finalità del trattamento (in particolare: “lotta contro il terrorismo”, “riciclaggio di denaro”, “crimini contro la salute pubblica”), per di più le stesse, contrariamente a quanto sostenuto dalla Società, non sono in alcun modo specificate nel punto 2 dell’informativa.

In merito alla dichiarazione della Società secondo cui “l’informativa inclusa nei Termini e Condizioni include ulteriori informazioni in merito ai trattamenti per geolocalizzazione, con chiara indicazione delle basi giuridiche applicabili” (v. nota 11/12/2023, p. 15), ci si limita a precisare che, nel predetto punto 3 dell’informativa in esame, non vi è nessun rinvio al documento contenente i “Termini e condizioni” attraverso il quale l’interessato potrebbe astrattamente, secondo la Società, comprendere che ulteriori informazioni in merito alla geolocalizzazione sarebbero contenute negli stessi (sulle questioni relative al documento “Termini e condizioni”  v. infra).

Le modalità del trattamento (punto 6, “modalità del trattamento”) sono poi indicate in termini così vaghi da non fornire indicazioni utili per gli interessati.

In proposito si rammenta che la necessità di fornire informazioni in merito alle modalità del trattamento deriva dal combinato disposto degli artt. 5 e 13 del Regolamento, posto che conoscere come i propri dati vengono trattati è espressione massima del principio di trasparenza: senza indicazioni in merito alle modalità del trattamento, la c.d. informativa risulta mancante di una parte centrale ed essenziale per comprendere come in effetti il titolare del trattamento ponga in essere il trattamento stesso.

A conferma di ciò le Linee guida sulla trasparenza citate, nell’illustrare il concetto di trasparenza, richiamano il considerando 39 del Regolamento secondo cui “dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati” (v. Linee guida sulla trasparenza cit., punto 6).

Parte del contenuto dell’informativa, inoltre, non risulta coerente con quanto accertato in sede di ispezione.

In particolare all’interno del punto 7, “metriche”, viene precisato che “non vengono creati profili”, e che “il titolare non adotta decisioni in base a processi decisionali automatizzati”. Ciò tuttavia contrasta con quanto emerso in sede di accertamenti ispettivi, circa l’effettuazione di trattamenti automatizzati di dati relativi ai rider e la creazione di profili: nell’ambito del sistema di eccellenza e di assegnazione dei turni (slot) ai rider; nell’ambito del sistema di assegnazione degli ordini; in occasione di ipotesi di disconnessione e blocco dell’account (cfr. documento “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri” consegnato dalla Società durante l’ispezione del 13 e 14 dicembre 2022).

La mancanza di trasparenza e di chiarezza si rinviene anche con riferimento a quanto indicato in materia di geolocalizzazione, sempre all’interno del punto 7, “metriche”, dell’informativa in esame; la geolocalizzazione viene, infatti, definita “diretta ed esclusivamente associata al servizio”, “temporanea e non esaustiva, bensì limitata a un percorso breve tra due punti obbligatori che il Corriere non può scegliere” nonostante il trattamento effettuato attraverso i sistemi di geolocalizzazione del rider abbia per oggetto proprio i dati dello stesso e quindi costituisca a tutti gli effetti un dato personale riferito al rider e non “al servizio”.

Ciò è confermato anche da quanto emerso dall’attività ispettiva (v. verbale operazioni compiute, 14/12/2022, p. 7). La formulazione utilizzata dalla Società non consente invece agli interessati di comprendere in cosa consista effettivamente il trattamento dei dati di geolocalizzazione.

La sezione relativa alla geolocalizzazione indica anche che “il titolare potrà, unicamente nell’ipotesi in cui il Corriere attivi direttamente sul suo dispositivo la funzione di geolocalizzazione ed unicamente nelle ore in cui il Corriere svolga incarichi di consegna, ricevere informazioni relative alla posizione geografica del dispositivo mobile utilizzato”.

Tale informazione non risulta coerente con quanto emerso in sede ispettiva circa il fatto che il Gps opera anche quando l’app è in background e, fino al 22 /8/2023, anche quando l’app non era stata aperta.

Dall’analisi della predetta informativa, è emerso altresì che le indicazioni fornite, relativamente al trattamento dei dati biometrici, non sono chiare né corrispondono a quanto emerso dall’attività istruttoria: nel punto 8 (“processo di autenticazione”) viene precisato che il trattamento dei dati biometrici è effettuato “dal mese di novembre 2020” nonostante la Società abbia dichiarato, in sede di accertamento, che il trattamento dei dati biometrici è stato interrotto a luglio 2022.

La Società ha in proposito, inoltre, dichiarato che “il test di Jumio attualmente in corso consiste nelle seguenti fasi: 1. all'inizio di febbraio è stata effettuata una prima attivazione del riconoscimento facciale sul 3,28% dei Corrieri attivi in Italia. 2. Il 20 febbraio è stata estesa al 18,33% dei Corrieri attivi. 3. Il 27 febbraio è stato attivato su una percentuale minore pari al 15,55%. 4. Il 13 marzo il test è stato esteso al 32,61%”.

L’informativa esaminata è stata acquisita, in data 14 dicembre 2022, periodo nel quale, stando a quanto dichiarato dalla Società, quest’ultima non effettuava il trattamento di dati biometrici.

In proposito la Società ha riconosciuto che “il linguaggio contenuto nell’informativa agli atti non è stato tempestivamente aggiornato a seguito della temporanea sospensione del meccanismo di autenticazione biometrica a fronte dei flaw tecnici riscontrati nel luglio 2022” (v. nota 11/12/2023, p. 17).

Non risulta corretta, sempre all’interno dello stesso punto 8 dell’informativa, l’indicazione che “Questo trattamento di dati biometrici è necessario per assolvere gli obblighi in materia di diritto del lavoro, sicurezza e protezione sociale assunti dal Titolare ai sensi dell’art. 23, (rubricato “Contrasto al caporalato ed al lavoro irregolare”) del CCNL Rider”; all’interno del citato contratto collettivo, infatti, non vi è nessuna espressa disposizione che preveda l’obbligo del riconoscimento facciale.

Si ritiene infine che neanche la sezione dell’informativa denominata “Allegato I - Periodi di Conservazione”, sia stata redatta in forma chiara e intellegibile: non risultano infatti indicati chiaramente i dati trattati; non sono state indicate tutte le categorie di dati che la Società tratta; viene inoltre sovrapposta l’indicazione delle categorie di dati trattati con le finalità del trattamento.

Anche il documento contenente “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri”, tratto dal sito della stessa (https://glovoapp.com/it/legal/terms-couriers/), che indica come data di ultimo aggiornamento il 29 aprile 2022, consegnato dalla Società durante l’ispezione del 13 e 14 dicembre 2022, risulta essere stato reso in violazione degli artt. 5, par. 1, lett. a) del Regolamento (principio di trasparenza e principio di correttezza), 12 e 13 del Regolamento: la formulazione di quanto in esso contenuto non risulta chiara (v. par. 9.4, “Finalità e base giuridica per il trattamento”), inoltre, alcune indicazioni relative alla disconnessione e al blocco dell’account, non risultano corrette né corrispondenti a quanto dichiarato in sede di ispezione.

In proposito, infatti, il documento riporta che “Glovo si riserva il diritto in ogni caso di rimuovere o disabilitare l’accesso a qualsiasi Account per qualsiasi motivo o senza motivo, anche se ritiene, a sua esclusiva discrezione, che il vostro Account violi i diritti di terzi o i diritti protetti dai Termini e condizioni” (v. punto 5.4.2.).

Diversamente, nel corso dell’ispezione, la Società ha dichiarato di aver adottato una procedura che prevede la disattivazione/blocco solo al verificarsi di specifiche casistiche (che quindi non opererebbe per “qualsiasi motivo o senza motivo”), con la possibilità, inoltre, per il rider di ottenere la revoca delle misure (All. 7 verbale 14/12/2022).

4.2.2. La versione dell’informativa, aggiornata al mese di dicembre 2022, estratta dal sito internet della Società durante l’ispezione del 1° marzo 2023.

Nel corso dell’attività ispettiva, è stata estratta, dal sito internet della Società, una versione dell’informativa aggiornata al mese di dicembre 2022 (All. 10 verbale operazioni compiute 1/3/2023).

Anche tale documento non risulta tuttavia conforme alla disciplina di protezione dei dati, in particolare agli artt. 5, par. 1, lett. a) (principio di trasparenza e principio di correttezza), 12 e 13 del Regolamento.

Peraltro la Società ha dichiarato che solo “successivamente”, rispetto all’aggiornamento sul sito, la nuova informativa è stata allegata ai contratti con i rider (v. nota di scioglimento delle riserve del 16/3/2023). Questi ultimi, pertanto, hanno continuato ad avere, fino all’inserimento della nuova versione, un’informativa non aggiornata.

In proposito, priva di alcun tipo di pregio è l’affermazione della Società secondo cui “le informative cartacee allegate ai contratti riportano una chiara indicazione del fatto che eventuali aggiornamenti si possono reperire online all’hyperlink indicato” (v. memorie difensive 11/12/2023, p. 18) in quanto, tale indicazione, inserita all’interno dell’informativa allegata ai contratti firmati dai rider, può ritenersi un utile strumento per conoscere aggiornamenti dell’informativa qualora, successivamente alla sottoscrizione del contratto, questa abbia subito una modifica; di certo, però, la presenza della predetta indicazione non giustifica (né compensa) la comunicazione di un’informativa non aggiornata, già al momento della stipulazione del contratto a cui è allegata e a quella contenuta nel proprio sito internet, come invece sembra sostenere la Società.

La disciplina di protezione dei dati si ritiene violata in quanto, nel complesso, il documento aggiornato a dicembre 2022 appare non conforme ai canoni di trasparenza e intellegibilità previsti dal Regolamento (per alcuni punti la ripartizione delle informazioni è in base al soggetto interessato, es. il punto 6 è dedicato al rider - corriere -, ma alcune informazioni relative al trattamento dei dati dei rider sono contenute in altri punti, in particolare solo ai punti 13 e 14 si trovano i capitoli su decisioni automatizzate e profili, senza alcun rinvio interno), nonché di completezza delle informazioni, considerato che non sono indicati, in modo esaustivo, tutti i dati dei rider che la Società tratta: nel punto 6.2 non sono indicati i dati relativi alla gestione degli ordini; all’interno dello stesso punto non vi è menzione del trattamento dei dati biometrici (non è infatti chiaro se l’indicazione di “foto: sicurezza stradale, prevenzione delle frodi contabili e sicurezza pubblica” ricomprenda anche il trattamento dei dati biometrici); nel punto 15 sulle misure di sicurezza non viene indicato alcun dato specifico, neanche tramite rinvio ad un diverso documento).

Non si rinviene, inoltre, alcun riferimento in ordine alla disattivazione/blocco dell’account del rider da parte della Società.

Il documento non risulta chiaro e trasparente, neanche con riferimento alle condizioni di liceità del trattamento (nella sezione iniziale “1.ambito”, si fa riferimento al consenso dell’interessato senza peraltro specificare in relazione a quali trattamenti tale consenso opererebbe; inoltre si rinvia alle precedenti considerazioni relative all’inidoneità del consenso quale base giuridica in ambito lavorativo, v. paragrafo 4.2.1.; all’interno del punto 6 vengono inoltre indicati in modo confuso e contraddittorio basi giuridiche e finalità del trattamento).

Neppure la tabella contenuta nell’allegato I all’informativa aggiornata a dicembre 2022, “periodi generali di conservazione”, nella sezione dedicata ai rider (punto 6), risulta chiara in quanto è generica e non esaustiva; la stessa, tra l’altro, è divisa in due parti (“generale” e “corrieri”) senza che sia chiaro il motivo della ripartizione, dato che la tabella in esame si trova nella sezione dedicata ai rider.

Il contenuto dell’informativa aggiornata a dicembre 2022 non appare neanche del tutto conforme all’effettività dei trattamenti effettuati, per come rilevati in sede di ispezione, considerato che si afferma che non vengono assunte decisioni automatizzate né creati profili ai sensi dell’art. 22 del Regolamento (v. punti 13 e 14).

4.2.3. Ulteriori versioni dell’informativa relativa al trattamento dei dati dei rider.

Nel corso dell’accertamento ispettivo del 26 e 27 luglio 2023, sono state, inoltre, consegnate dalla Società ulteriori versioni di documenti informativi relativi al trattamento dei dati dei rider.

In particolare, alcuni risultano pressoché uguali alle informative già messe a disposizione dell’Ufficio durante l’istruttoria e per i quali si rinvia ai rilievi già indicati nei precedenti paragrafi (Informativa privacy aggiornata a dicembre 2022, Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri aggiornati al 29/4/2022), mentre l’informativa allegata al modello di “contratto occasionale” e l’informativa allegata al modello di “contratto partita IVA”, nelle versioni aggiornate a marzo 2023 (All. 3, verbale 26/7/2023), seppur in una struttura che ricalca quella delle versioni precedentemente fornite, presentano alcune modifiche.

In relazione a queste ultime si osserva quanto segue.

Pur a seguito dell’inserimento di alcune limitate modifiche apportate alle versioni delle informative allegate ai modelli di contratto stipulati con i rider (inserimento di alcuni tipi di dati raccolti che prima non comparivano quali i “dati relativi agli incarichi di consegna” e le “informazioni sulla conversazione”, seppure la formulazione non risulta sufficientemente chiara; utilizzo della geolocalizzazione per l’assegnazione degli ordini; indicazione dei tempi di conservazione dei dati di geolocalizzazione e dei dati biometrici), emerge che le predette informative risultano ancora non conformi alla disciplina di protezione dei dati personali (artt. 5, par. 1 lett. a), 12 e 13 del Regolamento), in termini analoghi a quanto già accertato in relazione alle versioni precedenti, in quanto le informazioni contenute nei predetti documenti non risultano fornite “in forma concisa, trasparente, intelligibile e facilmente accessibile” né risultano fornite “tutte le informazioni di cui agli articoli 13 e 14”.

In particolare, non vengono individuate per intero le categorie di dati dei rider che la Società tratta, tanto che il punto 2, dedicato ai “dati raccolti”, continua a introdurre gli stessi con un’enunciazione esemplificativa.

Le informative in esame, inoltre, non risultano chiare e intellegibili con riferimento all’individuazione delle condizioni di liceità e delle finalità del trattamento (tra l’altro inserite nella stessa sezione), tra le quali spesso non vi è coordinamento.

Con riferimento alla sezione “geolocalizzazione” (punto 3) alcune basi giuridiche vengono indicate in modo generico (in particolare: “lotta contro il terrorismo”, “riciclaggio di denaro”, “crimini contro la salute pubblica”).

Sempre con riferimento alle condizioni di liceità del trattamento, si sottolinea come, all’interno del punto 4, sia indicato anche il “consenso esplicito del corriere” per il quale valgono le considerazioni sopra svolte.

Anche le modalità del trattamento (punto 6, “modalità del trattamento”) sono indicate in termini così generici da non fornire indicazioni utili per gli interessati.

Parte del contenuto dell’informativa, inoltre, non risulta coerente con quanto accertato in sede di ispezione. In particolare all’interno del punto 7, “metriche”, viene precisato che “non vengono creati profili”, e che “il titolare non adotta decisioni in base a processi decisionali automatizzati”.

La mancanza di trasparenza e di chiarezza si rinviene anche con riferimento a quanto indicato in materia di geolocalizzazione (v. punto 7 “Metriche”, laddove la geolocalizzazione è riferita “al servizio” e non al rider).

Inoltre, quanto alle modalità della geolocalizzazione, l’interessato non è stato messo a conoscenza delle particolari caratteristiche della rilevazione geografica che riguardavano anche l’ipotesi in cui il rider non era impegnato nell’attività lavorativa per conto della Società e a sua insaputa, anche quando il rider non è operativo nello slot e l’app è in background.

Dall’esame delle diverse versioni dell’informativa per i rider consegnate anche da ultimo, si rileva, inoltre, una discrepanza tra le stesse in base alla tipologia di contratto - non supportata da alcuna esplicita motivazione - dalla quale deriva una evidente difficoltà, per gli interessati, di lettura e di comprensione effettiva delle stesse in ordine a come vengano trattati i dati loro riferiti (cfr. par. 3 relativo alla “geolocalizzazione” all’interno del quale è presente una sezione solo nel modello di “contratto occasionale”).

Ciò non risulta dunque conforme a quanto disposto dagli artt. 5 par. 1 lett. a), 12 e 13 del Regolamento.

4.2.4. Informative consegnate il 29 febbraio 2024.

Nelle ulteriori memorie del 15 gennaio 2024, la Società, con riferimento alla documentazione contenente l’informativa, ha indicato, tra le misure che “propone di adottare al fine di migliorare ulteriormente la compliance con la normativa a tutela dei dati personali, con specifico riferimento ai rilievi sollevati da codesta Autorità [con la notifica delle violazioni]”, quelle di: “rivedere tutte le versioni attuali dell’informativa corrieri […] al fine di garantire che le stesse abbiano un contenuto sostanzialmente uniforme”; “rivedere l’Informativa […], anche seguendo un approccio layered che rimandi eventualmente ad informative di dettaglio e/o help page dedicate”.

In tal modo la stessa Società ha confermato la necessità di rivedere i documenti informativi dalla stessa predisposti, al fine di conformarsi alla disciplina di protezione dei dati.

Con le ulteriori memorie del 29 febbraio 2024, la Società ha inviato copia “rivista” dell’“informativa sulla privacy di Glovo”, copia dei “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri” aggiornati a febbraio 2024, copia di un “contratto di prestazione d’opera ex art. 2222 c.c.” e copia della “informativa in materia di trasparenza ex Dlgs. 104/2022”.

In proposito, si osserva che anche la predetta documentazione informativa non risulta conforme alla disciplina di protezione dei dati personali per i motivi di seguito indicati.

Per quanto riguarda la “Informativa sulla privacy di Glovo” (All. 2 nota del 29/2/2024), si osserva preliminarmente che la stessa non risulta datata né, allo stato, reperibile sul sito internet della Società.

Il punto 6, dedicato ai corrieri, contiene indicazioni non conformi alla disciplina di protezione dei dati personali, in particolare: nell’elenco dei tipi di dati trattati dalla Società, con riferimento alle “caratteristiche biometriche”, nel documento si precisa di operare “senza trattamento di dati biometrici”, ciò seppure successivamente, all’interno della stessa sezione, vengono indicati i “dati biometrici” relativamente ai quali si precisa “limitatamente all’utilizzo della funzionalità di riconoscimento facciale tramite Jumio”; tra i dati trattati dalla Società sono indicati anche i “dati di traffico” e i “metadati”, relativi al dispositivo e all’uso dell’app, in assenza di alcuna indicazione circa finalità e base giuridica dei relativi trattamenti; tra le operazioni di trattamento sono altresì indicate le comunicazioni di dati di rider ad altre società del gruppo, ciò nonostante, con la medesima nota, la Società abbia dichiarato che “alla data odierna il Permesso [di accesso alla piattaforma “livemap”] non è altresì attivo per i dipendenti delle società del gruppo Glovo situati in altri paesi” (v. nota 29/2/2024, punto 3.7, lett. C); nel punto 6.5. si dà conto della effettuazione di “trattamenti parzialmente automatizzati” precisando che questi “potrebbero avere un impatto in relazione all’assunzione o al conferimento delle consegne, nonché potrebbero comportare attività di verifica dell’identità dei corrieri e/o della valutazione da parte degli stessi del rispetto dei termini e condizioni dell’utilizzo della Piattaforma”, nonostante all’esito degli accertamenti dell’Autorità sia emerso che tali trattamenti (punteggio di eccellenza, la geolocalizzazione, il sistema di riconoscimento facciale e processo di autenticazione, il blocco/sospensione e disattivazione dell’account) comportano indefettibilmente attività di verifica e di valutazione da parte della Società); con riguardo alla geolocalizzazione dei rider (punto 6.5.2.2.) permane l’indicazione che questa opera esclusivamente nelle ore in cui il corriere “presta effettivamente gli incarichi di consegna”, nonostante, nel corso dell’attività di controllo, sia emerso che il Gps opera anche quando l’app è in background e, fino al 22 /8/2023, anche quando l’app non era stata aperta.

Permane anche la sezione relativa al trattamento dei dati biometrici (riconoscimento facciale) nonostante tale trattamento, come verrà indicato meglio in seguito, non risulta conforme alla disciplina di protezione dei dati personali (punto 6.5.3. dell’informativa).

L’allegato I dei Termini e condizioni continua a contenere la designazione a responsabile del trattamento del rider, nei termini già sopra indicati, ossia in violazione dell’art. 28 del Regolamento. Il riferimento a tale designazione a responsabile del trattamento è presente anche nel modello di contratto standard contenuto nell’allegato 4. Peraltro tale modello di contratto standard, non datato, contiene il link all'informativa privacy presente sul sito della Società datata dicembre 2022.

Nel complesso, non risulta dunque che sia stata effettuata un’adeguata revisione delle informative presentate, considerato, tra l’altro che, non tutta la documentazione consegnata all’Autorità risulta effettivamente accessibile agli interessati (come precisato sopra infatti, la “Informativa sulla privacy di Glovo”, All. 2 nota del 29/2/2024, non risulta datata né reperibile sul sito internet della Società). Inoltre i documenti informativi da ultimo presentati all’Autorità contengono, nei termini su indicati, elementi di illiceità già presenti nelle precedenti versioni.

4.3. L’obbligo di informativa nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati.

L’art. 1-bis del D. Lgs. n. 152 del 1997, introdotto dall’art. 4 comma 1 lett. b) del D. Lgs. n. 104 del 2022 di attuazione della Direttiva (UE) 2019/1152, mod. con D.L. 4/5/2023, n. 48, conv. in L. 23/7/2023, n. 85, (“Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”), ha stabilito che “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell'utilizzo di sistemi decisionali o di monitoraggio integralmente automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell'incarico, della gestione o della cessazione del rapporto di lavoro, dell'assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l'adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300”.

La norma specifica anche quali informazioni devono essere fornite al lavoratore “prima dell’inizio dell’attività lavorativa”, in particolare: a) gli aspetti del rapporto di lavoro sui quali incide l'utilizzo dei sistemi; b) gli scopi e le finalità dei sistemi; c) la logica ed il funzionamento dei sistemi; d) le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi […], inclusi i meccanismi di valutazione delle prestazioni; e) le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità; f) il livello di accuratezza, robustezza e cybersicurezza dei sistemi di cui al comma 1 e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

L’Autorità, con il documento “Prime indicazioni sul d. lgs. 27 giugno 2022, n. 104, c.d. “decreto trasparenza”” (doc. web n. 9844960) ha chiarito che i nuovi obblighi informativi introdotti dall’art. 4, d. lgs.27/6/2022, n. 104 costituiscono una disciplina più specifica e di maggior tutela, per gli interessati, nel contesto lavorativo, ai sensi di quanto stabilito dall’art. 88 del Regolamento.

All’esito degli accertamenti, è emerso che, dalla data di entrata in vigore dei richiamati specifici obblighi in materia di trasparenza (1° agosto 2022) e fino al 18 maggio 2023 (data in cui la Società ha predisposto un primo documento informativo in proposito, Informativa in materia di trasparenza ex D. Lgs. 104/2022, v. nota 11/12/2023, p. 18), la Società non ha adottato nessuna informativa, in merito ai trattamenti di dati riferiti ai rider effettuati attraverso sistemi decisionali o di monitoraggio integralmente automatizzati, come invece richiesto dalla richiamata disciplina.

Ciò anche alla luce della definizione più stringente, in vigore a partire dal 4 maggio 2023, che ha aggiunto l’avverbio “integralmente” alla originaria definizione dei sistemi automatizzati.

La Società, come argomentato più estesamente nel successivo paragrafo dedicato ai trattamenti automatizzati, effettua una pluralità di trattamenti attraverso sistemi integralmente automatizzati, deputati a fornire indicazioni rilevanti ai fini del conferimento dell’incarico, della gestione, della cessazione del rapporto di lavoro, dell’assegnazione di compiti, nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei rider.

Nonostante ciò, ha omesso di fornire le informazioni relative all’esistenza e alla specifica modalità di funzionamento dei predetti sistemi, non dando seguito a quanto richiesto dall’art. 1-bis citato, prima dell’inizio dell’attività lavorativa, in relazione a un numero significativo di interessati, pari a 7.405 rider (alla data in cui è stato fornito all’Autorità il dato relativo ai rider che hanno iniziato a prestare la propria attività successivamente alla data del 1° agosto 2022, v. nota scioglimento delle riserve del 27/12/2022, lett. R).

In proposito, si sottolinea infatti come, per quanto riguarda i rapporti di lavoro instaurati successivamente al 1° agosto 2022, gli obblighi informativi aggiuntivi debbano essere adempiuti, per espressa disposizione normativa, prima dell’inizio dell’attività lavorativa (art. 1, comma 2, del D. Lgs. 26 maggio 1997, n. 152).

Tra l’altro, nel senso della effettuazione, da parte della Società, di trattamenti automatizzati relativamente ai quali deve trovare applicazione quanto previsto dall’art. 1-bis citato, si è pronunciata, a più riprese, anche la giurisprudenza di merito (v. Tribunale di Torino sentenza n. 231 del 2024, pubblicata il 12/03/2024 “Foodinho utilizza sistemi che possono definirsi integralmente automatizzati per adottare decisioni che incidono sulla gestione del rapporto di lavoro”.[…] la società opponente adottava un sistema decisionale integralmente automatizzato per valutare la reputazione (ossia l’operato) dei fattorini, che incideva in modo significativo sul rapporto di lavoro poiché comportava l’assegnazione di un punteggio per accedere prioritariamente al calendario degli slot prenotabili sulla piattaforma. Il sistema prevedeva anche la profilazione dei fattorini […]. La società era quindi destinataria degli obblighi informativi previsti dal cd. decreto trasparenza, anche come modificati dal DL n. 48/2023”.

Secondo il Tribunale di Torino, inoltre, l’informativa di cui all’art. 1-bis citato, successivamente predisposta dalla Società, è stata ritenuta non conforme a quanto previsto dalla stessa norma.

Si veda altresì Tribunale Palermo 20/07/2023, secondo cui i “sistemi automatizzati utilizzati dalla resistente [Foodinho s.r.l.] risultano sistemi integralmente automatizzati, atteso che in essi l'intervento umano dedotto (e non dimostrato) comunque non interverrebbe nella fase finale, bensì eventualmente solo in quella dell'inserimento dei dati o dell'attivazione del sistema medesimo, in cui la successiva elaborazione e trattamento dei dati ed eventuale decisione finale sono affidati integralmente ad automatismi algoritmici o informatici”; in tale occasione è stato anche disposto che “l'obbligo della resistente di fornire le informazioni previste dal[l’]art. 1bis, introdotto dal D.Lgs. n. 104 del 2022, alle OO.SS. ricorrenti permane anche dopo l'entrata in vigore del D.L. n. 48 del 2023, con l'esclusione naturalmente di quelle che incidono su sistemi o parti di essi coperti da segreto industriale o commerciale”.).

Limitatamente al sistema di eccellenza, la Società ha dichiarato di fornire “le spiegazioni sul funzionamento dell[‘assegnazione del punteggio] in diversi momenti e attraverso mezzi diversi” (v. nota 27/12/2022, lett. Q), tra questi attraverso un video esplicativo messo a disposizione dei rider “durante il processo di onboarding”, attraverso informazioni presenti sul sito web della Società, newsletter e incontri, dei quali ultimi non è stata comunque fornita evidenza alcuna.

In proposito, in primo luogo, si rammenta che in base all’art. 12 del Regolamento le informazioni sul trattamento devono essere fornite agli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro; solo laddove l’interessato lo richieda, le informazioni sul trattamento possono essere fornite oralmente, ma anche in questo caso grava sul titolare del trattamento l’obbligo di dimostrare di avere posto in essere condotte conformemente alla disciplina di protezione dei dati (v. anche principio di responsabilizzazione art. 5 par. 2 del Regolamento).

Lo stesso art. 1-bis citato, al comma 6, prevede che “Le informazioni e i dati di cui ai commi da 1 a 5 del presente articolo devono essere comunicati dal datore di lavoro o dal committente ai lavoratori in modo trasparente, in formato strutturato, di uso comune e leggibile da dispositivo automatico”.

In secondo luogo, si osserva che il trattamento di dati relativi all’assegnazione del punteggio non costituisce l’unico trattamento automatizzato effettuato dalla Società, come si dirà anche più avanti.

Inoltre, le informazioni che sono risultate fornite dalla Società in merito al sistema di assegnazione del punteggio, non risultato soddisfare quanto richiesto dall’art. 1-bis citato.

Con le memorie difensive dell’11 dicembre 2023 (All. 5), la Società ha poi prodotto una “Informativa in materia di trasparenza ex Dlgs, 104/2022”, relativamente alla quale ha dichiarato che trattasi di “informativa specifica in merito ad alcuni dei trattamenti che comportano processi parzialmente automatizzati, incluso le logiche relative al Punteggio d’Eccellenza e ai criteri di assegnazione degli slot” (p. 18).

In merito a questa versione dell’informativa in materia di trasparenza - che la Società ha dichiarato di aver adottato in data 18 maggio 2023 e resa disponibile sia sul proprio sito internet sia mediante invio a tutti i rider -, si osserva che la stessa non risulta adeguata, rispetto a quanto richiesto dalla normativa, in quanto priva di alcune delle informazioni che necessariamente devono essere contenute nella stessa.

In particolare l’informativa in esame risulta non contenere alcune delle informazioni previste dal comma 2 dell’art. 1-bis: informazioni sulla logica e il funzionamento dei sistemi decisionali o di monitoraggio integralmente automatizzati (lett. c), sulle categorie di dati e sui parametri principali utilizzati per programmare o addestrare i sistemi decisionali o di monitoraggio integralmente automatizzati, inclusi i meccanismi di valutazione delle prestazioni (lett. d), sulle misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione qualità (lett. e), sul livello di accuratezza, robustezza e cybersicurezza (trasparenza circa il numero e la tipologia di operatori della Società che possono accedere ai dati trattati, protezione da accessi abusivi o illeciti ai dati, comunicazione dei dati a terze parti) dei sistemi decisionali o di monitoraggio integralmente automatizzati e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse (lett. f).

Con le memorie del 29 febbraio 2024 (all. 5), la Società ha prodotto anche una versione rivista dell’informativa, ai sensi dell’art. 1-bis del D. Lgs. n. 152 del 1997; quest’ultima versione risulta, allo stato, pubblicata sul sito della Società, sebbene non risultino indicate, né la data della stessa, né della sua pubblicazione. Il testo dell’informativa è raggiungibile attraverso la sezione relativa al punteggio di eccellenza, attivando il pulsante “scopri di più”, sempre relativo al solo funzionamento del punteggio d’eccellenza.

Neppure questa versione dell’informativa risulta tuttavia conforme alla disciplina di riferimento, in quanto non contiene alcune delle informazioni richieste dall’art. 1-bis comma 2, seppure nella stessa siano stati inseriti alcune informazioni aggiuntive sulla tipologia dei trattamenti dei dati effettuati tramite sistemi decisionali o di monitoraggio integralmente automatizzati.

In particolare, non vengono date indicazioni in merito: alle misure di controllo per le decisioni automatizzate e agli eventuali processi di correzione (art. 1-bis, comma 2, lett. e) - se non limitatamente alla procedura di c.d. grievance - né al livello di accuratezza, robustezza e cybersicurezza dei sistemi decisionali e di monitoraggio integralmente automatizzati in uso e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse (art. 1-bis, comma 2, lett. f).

In merito a tale ultimo aspetto, sebbene la Società precisi che “non sono emersi rischi di discriminazione in ragione del fatto che i parametri non prendono in considerazione neppure indirettamente fattori di possibili discriminazioni per ragioni sindacali, sesso, religione, convinzioni personali, handicap, età, orientamento sessuale, razza e origine etnica” (v. p. 3 punto 2.1), è invece del tutto evidente che un algoritmo basato sui feedback dei clienti è per sua natura soggetto a potenziali effetti discriminatori legati alla percezione del rider, da parte del cliente, e, inoltre, l’utilizzo di metriche basate strettamente sulle performance di consegna degli ordini possono discriminare i rider sulla base dell’età, del sesso e delle condizioni di salute.

La Società ha pertanto violato, a partire dal 1° agosto 2022, gli artt. 5, par. 1, lett. a) (anche con riferimento a quanto previsto dall’art. 1-bis del D. Lgs. n. 152 del 1997), 12 e 13 del Regolamento.

4.4. Violazione dell’art. 28 del Regolamento in relazione alla designazione del rider a responsabile del trattamento e alla designazione di società terze che operano in qualità di sub-responsabili.

All’interno del documento “Termini e condizioni di utilizzo della piattaforma Glovo per i corrieri”, tratto dal sito della stessa (https://glovoapp.com/it/legal/terms-couriers/), che indica come data di ultimo aggiornamento il 29 aprile 2022, consegnato dalla Società durante l’ispezione del 13 e 14 dicembre 2022, è presente anche la designazione del rider a responsabile del trattamento, in relazione ai dati riferiti ai clienti e agli ordini.

Alla luce delle concrete caratteristiche dei trattamenti riferiti all’assegnazione e all’esecuzione degli ordini, tale qualificazione non risulta tuttavia conforme a quanto stabilito dall’art. 28 del Regolamento (doc. cit., “Allegato 1 - Contratto di ordine di trattamento”, p. 21).

In particolare, la Società prevede (anche nella versione aggiornata del documento) che il rider, in qualità di responsabile del trattamento, dovrebbe, tra l’altro, tenere un registro delle attività di trattamento, assistere il titolare nella predisposizione della valutazione di impatto e, se del caso, nella presentazione dell’istanza di consultazione preliminare all’Autorità (tramite le seguenti istruzioni impartite ai responsabili/rider: “avere, per iscritto, una registrazione delle attività di trattamento svolte per conto del soggetto responsabile” (nella versione aggiornata, l’espressione “soggetto responsabile” è stata sostituita da “titolare”), “supportare il soggetto responsabile nello svolgimento delle valutazioni d’impatto sulla protezione dei dati e, se del caso, assisterlo nello svolgimento di consultazioni preliminari con l’autorità di controllo, ove appropriato” (nella versione aggiornata, l’espressione “soggetto responsabile” è stata sostituita da “titolare”), “garantire che i dipendenti della sua organizzazione per il trattamento dei dati personali si impegnino a rispettare la riservatezza delle informazioni personali elaborate per conto del soggetto responsabile” (nella versione aggiornata è stato precisato “espressamente e per iscritto”), “fornire agli interessati informazioni riguardanti il trattamento dei loro dati effettuato nell’ambito del trattamento, al momento della raccolta dei dati”, v. All. 4, memorie difensive 11/12/2023).

In proposito, pur prendendo atto che, a seguito della notifica delle violazioni da parte dell’Autorità, la Società ha provveduto a correggere l’errata qualificazione in termini di “responsabile del trattamento” attribuita sia alla Società stessa che al rider, si rileva che sono rimaste identiche le istruzioni impartite ai rider in qualità di responsabili del trattamento da parte della Società (v. memorie difensive 11/12/2023, p. 17).

Ciò considerato, si ritiene necessario sottolineare come la predetta designazione, viste le direttive impartite al rider in essa contenute, vista l’attività svolta, nel concreto, dai rider ed esaminato il tipo di rapporto lavorativo che intercorre tra la Società e i corrieri, non risulti corrispondente alla natura dei compiti in concreto affidati al rider.

La designazione del rider quale responsabile del trattamento, per come è stata prevista dalla Società, viola pertanto l’art. 28 del Regolamento posto che è evidente l’assenza, in concreto, in capo ai rider delle caratteristiche necessarie allo svolgimento dei compiti assegnati dal titolare (v. art. 28, par. 1 del Regolamento laddove prescrive al titolare di ricorrere unicamente a responsabili del trattamento che presentino in concreto garanzie sufficienti a garantire che i trattamenti effettuati per proprio conto soddisfino i requisiti del Regolamento e garantiscano la tutela dei diritti degli interessati).

Ancora con riferimento a quanto stabilito dall’art. 28 del Regolamento, nel corso degli accertamenti è emerso che le operazioni di disattivazione dalla piattaforma sono state effettuate non solo da operatori della Società, bensì anche da sub-responsabili di Glovoapp23 SL, in particolare da operatori di Comdata e Trizma.

In proposito, occorre evidenziare che la Società ha rappresentato in atti che “Foodinho S.r.l. si avvale del supporto di call center esterni, Meritus Upravljanje, d.o.o. (MPLUS) e Comdata, S.p.A. (COMDATA), limitatamente all'attività di onboarding del Corriere (MPLUS) e di assistenza al Corriere in tempo reale (COMDATA)”, nota 27/12/2022, lett. I).

Dall’esame degli atti acquisiti nel corso delle attività ispettive (v. file result.csv, presente in All. 5, verbale ispettivo 28/2/2023), è emerso invece che sono numerosi i casi in cui anche la disattivazione di un rider (dunque non solo l’attività di onboarding e di assistenza in tempo reale) è avvenuta per mano di operatori appartenenti a tali ultime società.

Alla luce delle risultanze in atti, emerge quindi che l’attività di disattivazione è affidata anche a personale appartenente a società che operano in qualità di sub-responsabili, senza che, in base all’esame della documentazione prodotta dalla Società, a tale personale (peraltro numericamente considerevole, v. nota scioglimento delle riserve 16/3/2023, p. 9, laddove si indica un totale di 256 operatori) siano state previamente fornite le necessarie istruzioni, come invece chiaramente richiesto dall’art. 28 del Regolamento.

In proposito si prende atto del fatto che, nel corso del procedimento, la Società ha dichiarato di avere dismesso il servizio fornito in Italia da Trizma e di avere fornito “istruzioni ulteriori agli operatori del call center Comdata [in relazione] ad eventuali disconnessioni degli account [dei] corrieri” (v. nota 29/2/2024).

Tenuto conto che non è stata fornita alcuna evidenza di una eventuale pregressa regolazione del rapporto con i sub-responsabili, relativamente all’attività di disconnessione dalla piattaforma, la Società ha violato l’art. 28 del Regolamento fino alla data del 29 febbraio 2024.

4.5. Violazione degli artt. 5 (principio di minimizzazione), 22 (obbligo di attuare misure appropriate a tutela degli interessati in caso di processi decisionali automatizzati) e 25 (principi di privacy by design e privacy by default).

All’esito dell’attività istruttoria, è altresì emerso che la Società effettua, in qualità di titolare, avvalendosi della piattaforma digitale Glovo (v. Contratto di franchising, 1/10/2019, All. A, nota scioglimento delle riserve 16/3/2023), processi decisionali automatizzati, ai sensi dell’art. 22 del Regolamento (definiti come una “decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici […] o che incida in modo analogo significativamente” sull’interessato).

4.5.1. Il sistema di eccellenza e il sistema di assegnazione degli ordini all’interno del turno.

I trattamenti automatizzati sono effettuati dalla Società, in primo luogo, attraverso l’operatività del c.d. sistema di eccellenza e del sistema di assegnazione degli ordini, così come allo stato risultano configurati.

Il punteggio di eccellenza opera prendendo in considerazione quattro parametri, che hanno un peso diverso, in base alle diverse città in cui i rider svolgono la propria attività, negli ultimi 28 giorni di utilizzo della piattaforma, anche non consecutivi (c.d. periodo di riferimento). Il punteggio complessivo “ha un peso progressivo e crescente nel Periodo di riferimento (es. la prestazione più recente ha un punteggio più rilevante rispetto a quella di 28 giorni fa)”.

I parametri presi in considerazione dal sistema sono i seguenti: parametro “contributo” (indicato come “Sum Seniority Normalised”) che si riferisce al numero di ordini consegnati nel periodo di riferimento; parametro “no show” (“Sum No Show Normalised”) relativo al numero di volte in cui il rider ha prenotato uno slot, ma poi non ha effettuato il check-in (ciò tenuto conto che il rider può effettuare il check-in a partire dai 25 minuti prima dell’orario di inizio dello slot fino ai 10 minuti successivi; inoltre, la prenotazione può essere disdetta fino a un minuto prima dell’orario di inizio); parametro “customer rating” (“Sum Customer Rating Normalised”), relativo ai feedback ricevuti dal cliente; infine il parametro “slot ad alta domanda” (“Sum High Demand Normalised”) prende in considerazione il tempo in cui il rider effettua la prestazione nell’ambito di slot ad alta domanda che si verificano settimanalmente (trattasi di turni nel corso dei quali si registra normalmente un maggiore afflusso di ordini e ammontano a sei ore a settimana, che generalmente corrispondono a tre ore a cena il sabato e tre ore a cena la domenica).

Il punteggio assegnato automaticamente a ciascun rider, in base all’operatività dei parametri elaborati dalla piattaforma, consente di prenotare con priorità i turni di consegna (slot) stabiliti dalla Società e messi a disposizione, attraverso la piattaforma, due volte a settimana (lunedì e giovedì alle 16.00).

Il rider che ottiene un punteggio più alto accede, con priorità rispetto agli altri, alla assegnazione del turno di lavoro e ai relativi ordini, tenuto conto che alcuni turni consentono di ricevere un numero di ordini più alto (c.d. slot ad alta domanda).

Diversamente da quanto sostenuto dalla Società, i rider non possono liberamente prenotare, tra gli slot proposti, il turno di lavoro prescelto. All’esito dell’esame della documentazione presente in atti, emerge infatti che esistono slot saturati, cioè turni di consegna prenotati al 100%, nei quali la disponibilità da parte dei rider supera la richiesta della Società, il che rende impossibile l’accesso a determinati turni a coloro che ottengono un punteggio inferiore, nell’ambito del sistema di eccellenza, con conseguente riduzione delle occasioni di lavoro, maggiormente disponibili nei turni “ad alta domanda”.

In particolare, esaminando la tabella fornita dalla Società e relativa alla percentuale di riempimento dei singoli slot (All. F, nota scioglimento delle riserve 27/12/2022), emerge che esistono numerosi slot saturati (al 100,00%) e, alla luce dei parametri relativi alle singole città italiane successivamente forniti su richiesta dell’Autorità, emerge che, almeno relativamente a due grandi città, Roma e Milano, ogni giorno si registrano slot saturi (All. 4, verbale ispettivo 28/2/2023).

La stessa Società, inoltre, ha rappresentato che la finalità del parametro “No Shows” consiste nell’”evitare che la mancata connessione senza ritiro della disponibilità danneggi altri corrieri che avrebbero potuto prenotare lo slot in parola”, sul presupposto dunque che la disponibilità di slot è inferiore alla richiesta e il rider che non riesca a prenotare il turno ne risulta “danneggiato” (v. memorie difensive 11/12/2023, All 5, “Informativa in materia di trasparenza ex D.Lgs. 104/2022”).

Pertanto, l’attribuzione, in modalità automatizzata, del punteggio di eccellenza, ha un’incidenza significativa sull’attività del rider, condizionando, come si è visto, la possibilità di prenotare determinati turni di lavoro.

Anche attraverso l’algoritmo che consente l’assegnazione degli ordini all’interno dello slot, la Società assume quindi decisioni basate unicamente su un trattamento automatizzato fondato sull’operatività di 5 parametri, secondo quanto dichiarato dalla stessa Società (nota scioglimento delle riserve 27/12/2022, lett. H.: “veicolo del Corriere; posizione del Corriere; distanza tra la posizione del Corriere e il punto di ritiro; distanza tra il punto di ritiro e il punto di consegna; batteria del dispositivo Corriere”).

Attraverso i due sistemi algoritmici, la Società effettua dunque trattamenti consistenti nell’assunzione di decisioni, basate unicamente su trattamenti automatizzati, compresa la profilazione, relative all’assegnazione dei turni di lavoro e degli ordini di consegna, che incidono significativamente sull’interessato, mediante l’aumento o la riduzione delle occasioni lavorative, proprio per effetto delle decisioni assunte dal sistema.

Il Regolamento ha disciplinato la materia con il richiamato art. 22 nonché, con riferimento alla nozione di profilazione, con l’art. 4, n. 4 e il cons. 71, laddove in particolare si definisce la profilazione come “una forma di trattamento automatizzato dei dati personali che valuta aspetti personali di una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, […] l’affidabilità o il comportamento, l’ubicazione o gli spostamenti […] ove ciò produca effetti giuridici […] o incida in modo analogo significativamente sulla sua persona”.

Tale definizione si attaglia proprio ai trattamenti effettuati mediante i parametri che compongono il punteggio di eccellenza, volti ad analizzare il rendimento professionale [“Sum Seniority Normalised” e “Sum High Demand Normalised”], l’affidabilità [“Sum No Show Normalised”] e il comportamento [“Sum Customer Rating Normalised”], tenuto conto anche dell’ubicazione, per quanto riguarda l’assegnazione degli ordini nel turno di lavoro.

La profilazione è pertanto utilizzata per assumere decisioni interamente automatizzate, attraverso il sistema di eccellenza, con effetti che, come visto, incidono significativamente sull’interessato aumentando o riducendo significativamente le occasioni di lavoro offerte tramite la piattaforma (in senso conforme, con specifico riguardo alle decisioni assunte da Foodinho s.r.l. mediante il punteggio di eccellenza, si è pronunciato il Tribunale di Torino, sez. lavoro, sent. 12/3/2024, n. 231).

Non può essere accolto, d’altra parte, quanto sostenuto dalla Società, nelle memorie difensive, a sostegno della insussistenza di trattamenti automatizzati ai sensi dell’art. 22 del Regolamento. Con riguardo al “numero di interventi umani che hanno avuto luogo nel sistema di Punteggio di Eccellenza e, in particolare, quelli relativi all'aumento manuale della capacità di una determinata fascia oraria” che emergerebbe dalla “Relazione peritale sul «Processo di grievance»”, presentata dalla Società (All. B, nota di scioglimento delle riserve 27/12/2022, documento richiamato anche nelle memorie difensive della Società, All. 7, di seguito “perizia”), si osserva che la perizia ha analizzato le attività di modifica manuale (non di attribuzione) del punteggio di eccellenza (in ipotesi, ad esempio, di contestazioni da parte dei rider, che peraltro ricorrono in casi del tutto astratti, come a seguito dell’attribuzione di un feedback negativo da parte di un cliente, su cui v. infra) e di modifica degli slot di operatività dei rider e non l’assegnazione del punteggio di eccellenza. Pertanto la tesi della Società non trova, in tale atto, alcuna dimostrazione. Ciò trova anche riprova nell’esiguo numero di elementi trovati nella query del perito: 198 modifiche, in tutto il territorio italiano durante 7 giorni di attività, valore del tutto incompatibile con la reale operatività delle migliaia di rider utilizzati da Foodinho sul territorio italiano.

Con riguardo poi all’obbligo di adottare misure a tutela dei diritti e delle libertà degli interessati, posto in capo al titolare del trattamento dall’art. 22 del Regolamento, la Società, in relazione ai feedback dei clienti, ha dichiarato che “Nel caso in cui i Corrieri non siano d'accordo con le metriche che hanno ricevuto dai Clienti, possono contattare il Team di Supporto Live Operations ("Team Live Ops") di Foodinho S.r.l., presentando una contestazione generale” (nota 27/12/2022, lett. O).

In proposito tuttavia si osserva che, poiché il rider non può “collegare le metriche ricevute ad utenti e ordini specifici”, secondo quanto dichiarato dalla stessa Società, risulta - quantomeno - estremamente difficile per l’interessato disporre degli elementi necessari per effettuare una contestazione del feedback ricevuto, avuto riguardo alle circostanze del caso concreto. In ogni caso la Società non ha fornito alcun elemento relativo alle modalità di gestione delle suddette contestazioni (che si riferiscono comunque ad uno solo dei quattro parametri presi in considerazione dal punteggio di eccellenza) e ai possibili esiti delle stesse.

Quanto alla ulteriore affermazione della Società in base alla quale “anche laddove si volesse considerare che il Punteggio di Eccellenza determini un trattamento automatizzato […], non si configurerebbe alcuna violazione dell’art. 22 GDPR in quanto l’applicabilità di tale norma è espressamente esclusa nel caso in cui «la decisione sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento»”, si osserva che l’Autorità non ha contestato l’assenza di base giuridica per l’effettuazione dei trattamenti automatizzati, bensì l’omessa adozione delle necessarie misure, poste a tutela degli interessati (art. 22, par. 3 del Regolamento, su cui infra). Pertanto l’obiezione della Società non è conferente.

4.5.2. Il “rating” del rider.

Nel corso dell’accertamento ispettivo del 26-27 luglio 2023, è emerso inoltre un ulteriore trattamento effettuato dalla Società, relativo all’assegnazione di un punteggio di “rating” del rider, dato distinto dal “punteggio di eccellenza”.

Il punteggio di “rating”, conservato dalla Società nella tabella denominata courier_rating, può assumere un valore da 0 a 1, correlato al customer feedback, ed è associato al modello di business c.d. flex, non applicato in Italia. Malgrado questo, il punteggio di “rating” è generato e trattato dal sistema, anche per i rider italiani, sebbene non sia utilizzato.

Per tale motivo, a partire dal 2021, anziché eliminare il punteggio nei paesi in cui non è adottato il modello di business flex, viene assegnato dal backend, a ciascun rider, un valore fisso di “rating” pari a 4,5 (All. 7, 8, verbale 27/7/2023).

L’assegnazione al rider di tale (ulteriore) punteggio con valore fittizio, determina un trattamento di dati personali non corretto, non pertinente ed eccedente, in quanto espressione di un sistema di calcolo che non viene applicato in Italia.

L’attribuzione di un valore fittizio, ancorché unico, per tutti i rider italiani, porta la Società ad associare comunque al rider un set di dati con valori non esatti.

In merito è per di più emerso, nel corso dell’accertamento ispettivo (cfr. verbale 27/07/2023), che la Società ha avuto consapevolezza del punteggio di “rating” solo a seguito delle verifiche effettuate nel corso di tali accertamenti.

Da quanto emerso in sede di accertamento ispettivo discende pertanto che la Società, nel configurare il sistema, non ha adottato misure adeguate volte ad attuare in modo efficace i principi di protezione dei dati.

Pur prendendo atto che la Società ha dichiarato di aver eliminato tale valore fisso del “rating”, a partire dal 10 gennaio 2024 (v. nota del 15/1/2024), l’utilizzo del punteggio “rating”, fino a tale data, ha comportato la violazione dell’obbligo, posto in capo al titolare, di trattare solo dati adeguati, esatti, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c) del Regolamento e di adottare misure per garantire che per impostazione predefinita siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento (art. 25 del Regolamento).

4.5.3. La disattivazione e il blocco dell’account.

Risulta inoltre accertato che, pure con riguardo alle ipotesi di disattivazione (grievance) e di blocco dell’account, la Società effettua trattamenti automatizzati.

Nell’ipotesi di “blocco” dell’account, la disconnessione, come rappresentato dalla stessa Società, è effettuata automaticamente dal sistema, al ricorrere di condizioni predeterminate che si verificano all’esito del trattamento di dati raccolti ed elaborati dalla piattaforma (Saldo in contanti (Cash Balance), Controlli medici (Medical checks), Limite 5K (Limit 5K), Documentazione scaduta (Expired document), Incidente INAIL (INAIL accident), Formazione obbligatoria (Mandatory trainings): v. nota 16/3/2023, lett. e).

Per quanto riguarda la disattivazione/grievance, la Società, quantomeno in relazione ad alcune delle ipotesi indicate, non ha dimostrato la significatività del margine di autonomia riservata all’operatore umano, rispetto all’operatività dell’algoritmo, dunque della componente automatica, considerato che trattasi di ipotesi che, in concreto, non consentono margini di verifica.

In particolare la Società ha indicato alcune ipotesi predeterminate di disattivazione in relazione alle quali non emergono, né sono stati indicati dalla Società stessa, effettivi e significativi margini di possibile intervento umano: nell’ambito delle “Disattivazioni effettuate in assenza di segnalazione da parte dell’utente”, si veda in particolare: n. 3 “Double accounts – Caso di corriere con più di 1 account in diverse città, con già almeno 1 account disabilitato per frode”; oppure n. 4 “Same Nif, same slot”, riguardante il “caso in cui un corriere utilizzi due account a lui intestati, appartenenti a due città/zone diverse in contemporanea rendendo evidente che uno degli account è stato ceduto”; oppure n. 6 “Bots to book slots”, laddove i dati utilizzati dal sistema consistono nell’“orario di prenotazione degli slot (individuiamo gli slot prenotati in un tempo anomalo, impossibile per un umano) es. due o più slot in giorni diversi prenotati in meno di un secondo” oppure “individuazione di bot utilizzati per prenotare slot in corso nell’esatto momento in cui un altro corriere ha ritirato la prenotazione […] (talvolta anche al di sotto del secondo)”; oppure n. 9 “Other”, relativo a “casistiche non individuate” evidenziate in base ad una “tipologia di dati raccolti non […] standard” (v. All. E, nota di scioglimento delle riserve 16/3/2023).

D’altra parte, più in generale, la Società, in relazione alla disattivazione dalla piattaforma, si è limitata ad affermare la sussistenza di una “verifica manuale” dei dati raccolti attraverso la piattaforma stessa, da parte degli operatori del Team Operation, senza fornire alcuna evidenza che tale verifica sia significativa in ordine alla decisione di effettuare la disconnessione (v. nota 16/3/2023, lett. f).

A tale riguardo, le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, adottate dal Gruppo di lavoro Articolo 29 (versione emendata e adottata in data 6 febbraio 2018, WP 251 rev.01, p. 23), chiariscono l’ambito del coinvolgimento umano ritenuto significativo alla luce di una pluralità di elementi concreti: “il titolare del trattamento deve garantire che qualsiasi controllo della decisione sia significativo e non costituisca un semplice gesto simbolico. Il controllo dovrebbe essere effettuato da una persona che dispone dell’autorità e della competenza per modificare la decisione. Nel contesto dell’analisi, tale persona dovrebbe prendere in considerazione tutti i dati pertinenti. Nell’ambito della valutazione d’impatto sulla protezione dei dati, il titolare del trattamento dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo”.

In proposito, inoltre, si ritiene che non siano conclusive le risultanze della perizia, in merito all’attività di revisione umana sulle decisioni relative all’inserimento sulla piattaforma (onboarding) e alla disattivazione dell’account dei rider nei sistemi di cui si avvale la Società.

Infatti, con riguardo alle attività di onboarding, la perizia prende in considerazione i valori medi relativi al numero di documenti validati in un’unità di tempo, per affermare che tale valore è compatibile con un’attività svolta da un operatore, senza tener conto però dei picchi di attività, presenti nei dati di dettaglio, in cui il numero di documenti analizzati, per unità di tempo, risulta significativamente maggiore di quello considerato, dagli stessi periti, compatibile con una attività umana (All. 5, verbale ispettivo del 28/02/2023, cartella Docs_check, file denominato _SELECT_date_ccp_docs_check_date_as_Docs_check_date_count_distin_202212201131.csv.).

Con riferimento alle attività di disattivazione, inoltre, si osserva che il numero medio di disattivazioni, nel periodo preso in esame dalla perizia (3.768, nel periodo 1°marzo-20 dicembre 2022; cfr. relazione peritale cit., p. 3), risulta sensibilmente inferiore al numero medio di disattivazioni che emerge dagli atti ispettivi (6.369, nel periodo 1°gennaio-31 dicembre 2022, con quasi il 40% di incremento giornaliero rispetto al dato peritale; cfr. verbale ispettivo 28/2/2023, p. 4), cui si devono sommare, per valutare compiutamente il carico di lavoro degli operatori, le 53.861 operazioni di blocco degli account dei rider.

Non appare quindi conferente quanto osservato, in proposito, dalla Società nelle memorie difensive (“Anche se il dato medio delle disattivazioni emergente dagli atti ispettivi è superiore a quello preso in considerazione nella [perizia] ciò non significa che l’output finale dell’osservazione non sia uguale o anche maggiore; il ché conferma il valore dell’intervento umano rispetto alle disattivazioni”), posto che l’aumento significativo del numero medio di disattivazioni a carico degli operatori, così come emerge dal complesso della documentazione presente in atti, comporta che non sia verificato l’assunto peritale per il quale il volume non elevato del carico di lavoro degli operatori costituisce la conferma dell’intervento umano nelle disattivazioni dalla piattaforma.

Emerge inoltre che la selezione dei record da analizzare, con riguardo alle disattivazioni, per redigere la perizia, è stata effettuata inserendo, fra i parametri in base a cui effettuare il filtro, una condizione relativa al formato dell’e-mail dell’operatore che avrebbe svolto l’attività in questione (cfr. clausola WHERE della query SQL “o.email ilike '%.%operator%'” in All. 5, file garante_privacy_manual_deactivations.sql).

Pertanto, l’indagine non ha preso in considerazione i casi in cui la disattivazione possa essere stata effettuata direttamente dal sistema e non da un operatore, posto che sono stati selezionati, in esito alla query sopra indicata, ai fini dell’analisi, solo i record nei quali era presente l’associazione con un operatore definito, impostando, come paramento di ricerca, il particolare formato dell’indirizzo e-mail dell’operatore medesimo.

Con riguardo, poi, alle azioni di disconnessione e disattivazione degli account dei rider, le informazioni complessivamente fornite dalla Società non consentono di definire con esaustività le cause e le concrete modalità di effettuazione delle stesse.

Infatti le cause all’occorrenza delle quali si procede alla disattivazione, individuate attraverso l’accesso ai sistemi nel corso dell’ispezione effettuata dall’Autorità, sono ulteriori rispetto a quelle risultanti dagli elenchi forniti dalla Società (“Lista motivi di grievance e blocco”, All. C, nota 27/12/2022, p. 5 e “Disattivazioni effettuate in assenza di segnalazione da parte dell’utente”, All. E, nota 16/3/2023) in quanto contemplavano anche le voci Reassignments e Bad rating, nonostante la Società avesse dichiarato sul punto che le due voci “non sono concretamente utilizzate in Italia, né per il blocco né per la disattivazione, pur comparendo come potenziale motivo di blocco nei nostri sistemi informatici” (nota scioglimento delle riserve 16/3/2023, lett. g.).

Si prende atto, a tale ultimo proposito, che nel corso del procedimento la Società ha dichiarato che, a partire dal 29 febbraio 2024, le voci “Bad rating” e “Many Reassignments” non compaiono più nei sistemi “quali potenziali ragioni per un blocco o una disattivazione” (v. nota 29/2/2024).

Fino a tale data, tuttavia, le predette voci erano comunque presenti nei sistemi nonché utilizzate dagli operatori (v. più avanti riferimento al file result.csv, presente in All. 5, verbale ispettivo 28/2/2023), unitamente ad altre che, pur presenti, “per ragioni operative non sono utilizzate in Italia” (Long delivery time; Courier not moving; High waiting time; B2B fraud; Data protection infringement).

Sul punto, inoltre, si rileva che, dall’esame dei predetti documenti relativi alle cause di disattivazione/blocco dalla piattaforma e alla loro operatività (se dipendente da reclami o da anomalie individuate dal sistema), emerge che gli stessi compongono un quadro impreciso in quanto la “Lista motivi di grievance e blocco” (documento definito come “la panoramica completa dei motivi che possono comportare la disattivazione o il blocco dell’account di un Corriere”) contiene una serie di ipotesi, compresi casi in cui si dovrebbe prescindere da un reclamo (ad es. n. 3, Reassign after PU [caso in cui il corriere, dopo aver ritirato l’ordine, lo riassegna ad altro corriere per tenerne il contenuto]), che non sono contemplati nella diversa lista contenente l’elenco delle “Disattivazioni effettuate in assenza di segnalazione da parte dell’utente”.

Ancora con riguardo alle cause di disconnessione, è emerso infine che la Società ha individuato ulteriori casistiche di disconnessione dal sistema che operano automaticamente, rese note all’Autorità in occasione dell’accertamento ispettivo effettuato il 26-27 luglio 2023. Trattasi in particolare di ipotesi (no show, posizione fuori area, disattivazione geolocalizzazione, disconnessione durante lo slot) al ricorrere delle quali, secondo quanto dichiarato, il sistema procede alla disconnessione dallo slot (verbale ispettivo 26-27/7/2023, p. 5).

Nonostante l’indicazione delle specifiche cause di blocco e di disconnessione dalla piattaforma risulti impreciso, all’esito dell’attività di accertamento emerge che, anche in relazione – quantomeno- a taluni di tali trattamenti, la Società adotta decisioni basate unicamente su trattamenti automatizzati che incidono significativamente sugli interessati impedendo, per il periodo considerato, di effettuare le prestazioni lavorative oggetto del contratto con il rider.

Come emerge dalla decisione della Corte di giustizia del 7 dicembre 2023 nel caso C-634/21, alla nozione di “decisione”, la cui esistenza costituisce una delle condizioni cui è soggetta l’applicabilità dell’art. 22 del Regolamento, deve essere attribuita una portata ampia (essa “può quindi includere […] diversi atti che possono incidere sulla persona interessata in vari modi”; v. sentenza cit., punto 46).

Inoltre la Corte ha ritenuto applicabile l’art. 22 del Regolamento anche all’ipotesi in cui il calcolo automatizzato di un tasso di probabilità basato su dati personali di un interessato sia trasmesso a un soggetto terzo la cui azione è guidata “in modo decisivo” da tale tasso (v. sentenza cit., punto 48).

Una interpretazione meno rigorosa comporterebbe “un rischio di elusione dell’art. 22”. È pertanto necessario, come indicato dalla Corte, procedere a individuare, nel caso concreto, i trattamenti che comportano rischi specifici per i diritti, le libertà e i legittimi interessi dell’interessato, anche al fine di valutare l’adozione da parte del titolare di misure appropriate a tutela di diritti e libertà.

4.5.4. Assenza di misure appropriate a tutela degli interessati.

In conclusione, emerge che la Società, pur effettuando una pluralità di tipologie di trattamenti automatizzati, riguardanti un numero significativo di interessati (il numero di rider che operano per la Società attivi in Italia è pari a 36.545; nota 27/12/2022), in forza di un contratto che ha ad oggetto una prestazione lavorativa effettuata mediante la piattaforma digitale (con conseguente applicazione dell’art. 22, par. 2, lett. a) del Regolamento), non ha provveduto ad approntare le misure appropriate, poste a tutela dei loro diritti, delle loro libertà e legittimi interessi, previste dall’art. 22 del Regolamento (“almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”; si veda anche quanto indicato sul punto nel cons. 71 del Regolamento “al fine di garantire un trattamento corretto e trasparente nel rispetto dell'interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico, dello stato di salute o dell'orientamento sessuale, ovvero che comportano misure aventi tali effetti”).

La necessità di adottare misure a tutela degli interessati è peraltro confermata, nel caso concreto, dalla decisione del tribunale di Palermo, sezione lavoro e previdenza, sent. 17/11/2023 che ha dichiarato “il carattere discriminatorio ex d. lgs. 216/2003 dei criteri del “contributo”, delle “ore ad alta domanda” [e] della “mancata presentazione (c.d. no show)” utilizzati da Foodinho s.r.l. per il calcolo del c.d. punteggio di eccellenza” ed ha condannato la Società “ad astenersi dalle accertate discriminazioni con l’adozione […] di un piano di rimozione degli effetti delle medesime discriminazioni”.

La Società, pertanto, per i motivi suesposti, ha effettuato (e tutt’ora effettua) una pluralità di trattamenti automatizzati, ai sensi dell’art. 22 del Regolamento (punteggio di eccellenza, sistema di assegnazione degli ordini, blocco dell’account e talune ipotesi di disconnessione dalla piattaforma per le quali - come sopra evidenziato - non è emerso alcun contributo significativo degli operatori), senza aver adottato, in relazione a ciascuno di essi, le misure a tutela dei diritti degli interessati, in violazione dell’art. 22, par. 3 del Regolamento.

Ciò ha comportato quindi la violazione dell’art. 22, par. 3, del Regolamento (“Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”).

4.6. Violazione dell’art. 5, par. 1, lett. a), del Regolamento in relazione all’art. 47-quinquies, D. Lgs. n. 81/2015.

In base ai dati forniti dalla Società nel corso delle attività ispettive, utilizzati dal perito incaricato di redigere la “Relazione peritale sul «Processo di grievance»” (All. B, nota di scioglimento delle riserve 27/12/2022 e All. 5, verbale ispettivo 28/2/2023, file result.csv), emerge che una delle cause di disconnessione dalla piattaforma, così come riportato dagli stessi operatori che hanno effettuato la disconnessione, è la riassegnazione dell’ordine (indicato con: "reason":"REASSIGNMENTS"; in base a quanto riportato sul sito internet della Società, la riassegnazione consiste nel rifiuto di un ordine o nella sua cancellazione una volta accettato: in https://delivery.glovoapp.com/it/faq/hc_excellence/reassignments/).

Pertanto, diversamente da quanto dichiarato dalla Società, dagli stessi dati trattati dal sistema emerge che la richiesta del rider di riassegnare l’ordine prenotato comporta, al ricorrere di condizioni che non sono state rese note dalla Società, l’esclusione dalla piattaforma.

Inoltre emerge che la riassegnazione dell’ordine può anche comportare, quantomeno, una riduzione delle occasioni di lavoro. Infatti nelle slide utilizzate per la formazione del personale (All. F, nota di scioglimento riserve 16/3/2023) si afferma che “Garantito: Da CCNL siamo legittimati a togliere il Garantito da tutti gli slot adiacenti allo slot in cui il corriere riassegna un solo ordine.

Ad oggi rimuoviamo il garantito solo negli slot in cui il corriere riassegna il 100% degli ordini che gli vengono assegnati. Questo può essere customizzabile da città a città”.

Pertanto, al ricorrere di condizioni che possono variare da città a città, la riassegnazione degli ordini fa venir meno la prenotazione dello slot (lo stato di “Garantito” viene rimosso), con conseguente perdita delle occasioni di lavoro derivanti dagli ordini che pervengono nel relativo turno.

La stessa Società, d’altronde, nella pagina dedicata alla spiegazione del punteggio di eccellenza disponibile sul proprio sito internet, alla voce “Riassegnazione”, chiarisce ai rider che “Riassegnare spesso gli ordini potrebbe avere un impatto negativo sui tuoi guadagni: quando riassegni un ordine l’algoritmo potrebbe richiedere del tempo prima di trovare un nuovo ordine per te, facendoti così perdere tempo e rallentando la crescita del tuo punteggio di eccellenza!” (in Glovo Italia Riassegnazioni - Italia (glovoapp.com)).

In proposito, quanto dedotto dalla Società nelle memorie difensive (“la possibilità, da parte di Foodinho, di togliere il c.d. Garantito negli slot in corrispondenza di riassegnazioni […] rappresenta una forma di tutela nei confronti degli utenti della Piattaforma e del corretto funzionamento del servizio, senza di fatto rappresentare una riduzione delle occasioni di lavoro”) conferma che, in presenza di riassegnazioni, il sistema elimina il c.d. Garantito, e la conseguenza è proprio la riduzione delle occasioni di lavoro veicolate dagli ordini nel turno prenotato dal rider che ha effettuato una riassegnazione.

Più in generale, gli stessi parametri che compongono il sistema di eccellenza, volti ad assegnare maggior punteggio al rider che effettua un maggior numero di consegne (“Sum Seniority Normalised”), che prenota un maggior numero di slot ad alta domanda (“Sum High Demand Normalised”), che effettua il check in nello slot prenotato nei termini previsti (“Sum No Show Normalised”) e che non ottiene un cattivo feedback dai clienti (“Sum Customer Rating Normalised”), sono preordinati a ridurre le occasioni di lavoro ai rider che non accettano la prestazione offerta.

Ciò comporta quindi la violazione di quanto stabilito dall’art. 47-quinquies, D. Lgs. n. 81/2015, che ha stabilito specifiche tutele, nell’ambito del lavoro tramite piattaforme digitali, in particolare il divieto di disporre “l'esclusione dalla piattaforma e [la] riduzion[e] delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” che determina il venir meno della condizione di liceità del trattamento richiesta dall’art. 5, par. 1, lett. a) del Regolamento.

4.7. Trattamento di dati biometrici, in assenza delle condizioni di liceità previste dall’ordinamento (art. 5, par. 1, lett. a), 9, par. 2, lett. b, del Regolamento; art. 2-septies del Codice).

Con riferimento al trattamento dei dati biometrici (in particolare mediante riconoscimento facciale) dei rider, la Società ha precisato di avere iniziato il trattamento, in data 23 novembre 2020, “nell'ambito dei primi test relativi alla procedura di autenticazione” e di avere “smesso di utilizzare tale procedura di autenticazione e, di conseguenza, di raccogliere e trattare dati biometrici dei Corrieri a partire dal luglio 2022” (v. nota 27/12/2022, lett. s).

La Società ha successivamente precisato che il trattamento, interrotto a causa di “bug interni” in conseguenza dei quali si potevano realizzare “potenziali blocchi ingiustificati dei profili dei Corrieri”, è ripreso in alcune città, come Milano, “al fine di individuare eventuali malfunzionamenti” (v. nota 16/3/2023, lett. q); in particolare a inizio febbraio 2023 il test è stato attivato sul 3,28% dei Corrieri attivi in Italia, il 20 febbraio è stata estesa al 18,33% dei Corrieri attivi, il 27 febbraio è stato attivato su una percentuale minore pari al 15,55%, il 13 marzo il test è stato esteso al 32,61%.

La Società ha inoltre dichiarato che, a partire dal 27 marzo 2023, prevedeva di attivare nuovamente il riconoscimento facciale su tutti i Corrieri attivi.

Con nota di scioglimento delle riserve del 15 settembre 2023, la Società ha infine rappresentato che il sistema “è di nuovo in uso in tutto il paese”. L’operatività del sistema di riconoscimento biometrico è confermata anche dall’utilizzo dell’autorizzazione “high_sampling_sensor_rate”, il cui scopo è quello “di consentire la certezza che la persona che cerca di essere riconosciuta è una persona reale e non solo una foto del proprietario dell’account” (v. nota scioglimento riserve 15/09/2023, p. 3).

La circostanza che la Società abbia sospeso per un periodo di oltre sette mesi il trattamento dei dati biometrici evidenzia che tale trattamento non è indispensabile per l’erogazione del servizio di food delivery.

In particolare, quanto alle specifiche modalità del trattamento, è emerso che il trattamento, effettuato come “test” dalla Società, consiste “nel richiedere il riconoscimento facciale una volta al giorno a tutti i Corrieri coinvolti e verificare se ci sono errori nel processo” (v. nota 16/3/2023, lett. q).

È stato inoltre accertato che la Società, nell’effettuare il trattamento di dati biometrici, si avvale di un software fornito dalla società statunitense Jumio Corporation che ha assunto il ruolo di responsabile del trattamento.

In base a quanto rappresentato, il trattamento si articola in due fasi: la prima, volta alla scansione della fotografia contenuta in un documento d’identità del rider e la seconda, nella quale viene chiesto al rider di effettuare un “selfie” al fine di verificare quest’ultimo con la foto scansionata del proprio documento.

In proposito la Società ha sottolineato che, non effettuare il riconoscimento, può portare alla disattivazione dell’account per ragioni di sicurezza e che “se il Corriere non effettua il riconoscimento o in caso di mancato riconoscimento prima della disattivazione dell'account, il calendario tramite il quale il Corriere prenota gli slot verrà bloccato e al Corriere verrà chiesto di procedere al riconoscimento per riattivare il calendario. Si noti che l'account sarà ancora attivo, ma il Corriere non potrà prenotare nuovi slot oltre a quelli già prenotati in precedenza” (v. nota 16/3/2023, lett. p).

In base a quanto rappresentato dalla Società, il trattamento, consistente nel riconoscimento biometrico, è finalizzato a contrastare eventi di “caporalato nel settore del delivery food” sebbene non costituisca una “misura di per sé […] sufficiente a evitare il fenomeno” bensì “un efficace deterrente” rispetto al compimento di condotte penalmente sanzionate (v. memorie difensive, nota 11/12/2023).

Quanto alla base giuridica, il trattamento di dati biometrici dei rider, sarebbe riconducibile all’art. 9, par. 2, lett. b) del Regolamento in relazione all’obbligo di “predisporre un modello organizzativo con efficacia scriminante ai sensi del D. Lgs. 231/01” (v. memorie difensive cit.). La Società ha anche sottolineato di aver effettuato una valutazione di impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento (una versione aggiornata di tale documento è stata consegnata all’Autorità con nota del 29/2/2024, con la quale è stato anche precisato che i dati biometrici sono conservati per tutta la durata del rapporto di lavoro).

In proposito, si osserva che, in base alla normativa posta in materia di protezione dei dati personali, il trattamento di dati biometrici (di regola vietato ai sensi dell’art. 9, par. 1 del Regolamento), è consentito esclusivamente qualora ricorra una delle condizioni indicate dall’art. 9, par. 2 del Regolamento e, con riguardo ai trattamenti effettuati in ambito lavorativo, solo quando il trattamento sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. anche: art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede, inoltre, che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento).

A tale ultima disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice. La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Ciò è stato ribadito dal Garante con riguardo a trattamenti di dati biometrici (basati sul riconoscimento facciale) per finalità di rilevazione delle presenze con i provvedimenti del 22/2/2024, nn. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785 (si vedano anche, con riguardo al trattamento di dati tratti dall’impronta digitale, i provv. ti 10/11/2022, n. 369, doc. web n. 9832838 e 14/1/2021 n. 16, doc. web n. 9542071).

Con riguardo al caso di specie, si evidenzia che, allo stato, l’ordinamento vigente non consente il trattamento di dati biometrici dei lavoratori per finalità di identificazione degli stessi (effettuato dopo il primo riconoscimento e successivamente in modo casuale) al fine di scongiurare sostituzioni di persona nell’adempimento della prestazione, posto che tale trattamento non trova il proprio fondamento in una disposizione normativa che abbia le caratteristiche richieste dalla disciplina di protezione dei dati, anche in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire.

Infine, si rappresenta che, in ogni caso l’adozione del sistema biometrico da parte della Società non è idonea a impedire fenomeni di scambi di persona, come riconosciuto dalla stessa Società (la misura “di per sé non è sufficiente a evitare il fenomeno” della cessione dell’account) posto che, anche laddove il grado di affidabilità e accuratezza del sistema biometrico prescelto fosse sufficientemente elevato (circostanza che comunque non può dirsi raggiunta considerato che la Società stessa ha ritenuto, seppur per un periodo circoscritto, di interrompere il trattamento dei dati biometrici a causa di bug interni al sistema, in seguito ai quali è stato necessario avviare una fase di “test”), sarebbe sempre possibile consegnare il dispositivo a persona diversa, dopo aver effettuato il riconoscimento (in materia di riconoscimento facciale si veda anche: Provv. n. 50 del 10/2/2022, doc. web n. 9751362).

Pertanto, tenuto conto della richiamata normativa, la decisione della Società (comunicata all’Autorità con nota del 5 giugno 2024) di ridurre i termini di conservazione dei dati biometrici raccolti - per quanto i nuovi termini siano comunque considerevoli - (“tre (3) mesi dall’ultimo ordine nel caso di corrieri inattivi” e di “tre (3) mesi dalla disattivazione dell’account nel caso di corrieri i cui account sono stati disattivati per ragioni non riconducibili al riconoscimento facciale”, mentre per i corrieri attivi i dati sono conservati per tutta la durata del rapporto di lavoro), non modifica la valutazione di illiceità del trattamento dei dati biometrici.

Ciò considerato, risulta che la Società ha effettuato, dal 23/11/2020 al mese di luglio 2022 (dopo la sospensione, il trattamento è ripreso a partire da inizio febbraio 2023) e tutt’ora effettua, il trattamento dei dati biometrici in assenza di idonea base giuridica in violazione degli artt. 5, par. 1, lett. a), e 9, par. 2, lett. b) del Regolamento.

4.8. Violazione dell’obbligo di effettuare una valutazione di impatto dei trattamenti (art. 35 del Regolamento).

In base all’art. 35 del Regolamento, “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali”.

La Società, al tempo della effettuazione delle attività ispettive, aveva svolto una valutazione di impatto sulla protezione dei dati, così come previsto dall’art. 35 del Regolamento, con esclusivo riferimento al trattamento dei dati biometrici (in particolare: riconoscimento facciale).

La valutazione di impatto relativa al trattamento di dati biometrici riferiti ai rider è datata ottobre 2020 (v. nota 16/3/2023, All. B) e aggiornata nel corso del procedimento in data 29 febbraio 2024 (v. nota 29/2/2024, All. 8).

Pertanto, nonostante la Società abbia ritenuto necessario interrompere il trattamento nel mese di luglio 2022 a causa di bug interni che comportavano “potenziali blocchi ingiustificati dei profili dei Corrieri”, non ha proceduto ad effettuare un tempestivo aggiornamento della stessa, quanto meno sotto il profilo dei rischi residui per gli interessati, come pure astrattamente previsto decorsi tre mesi dalla pubblicazione del primo documento (All. B, nota 16/3/2023 cit., p. 73).

Inoltre, e più radicalmente, la valutazione di impatto - anche nella versione aggiornata a fine febbraio 2024 - non tiene in adeguata considerazione il profilo relativo alla liceità dei trattamenti dei dati biometrici nell’ambito della gestione del rapporto di lavoro.

Nella sezione del documento dedicata alla valutazione della base giuridica, infatti, si ritiene applicabile al caso di specie la condizione rappresentata dalla necessità di adempiere ad obblighi contrattuali, nonostante ai sensi dell’art. 9, par. 2 del Regolamento in caso di trattamento di dati particolari la necessità di eseguire un contratto non costituisca base giuridica idonea al trattamento.

Si ritiene altresì applicabile l’art. 9, par. 2, lett. b) del Regolamento reputando, tuttavia, che tale norma possa essere integrata dal “contratto collettivo recentemente sottoscritto da Glovo” e dal “protocollo d'intesa […] con la Prefettura” in materia di prevenzione di fenomeni di interposizione illecita e sfruttamento di manodopera (All. B, nota 16/3/2023 cit., p. 42 e All. 8, nota 29/2/2024, p. 40).

Premesso che la necessità di assolvere gli obblighi ed esercitare i diritti in materia di diritto del lavoro “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri” (l’art. 9, par. 2, lett. b) del Regolamento) non può essere soddisfatto da un contratto collettivo, se non nella misura in cui sia previsto dal diritto nazionale, né, tantomeno, da un protocollo di intesa, la disposizione in materia di trattamento di categorie particolari di dati personali, sopra richiamata, richiede che la disposizione di rango primario preveda nello specifico il trattamento di dati biometrici, comunque in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato.

Ciò vale anche in relazione all’“adempimento di un obbligo di legge”, prospettato dalla Società, con riguardo alla legge 29/10/2016 n. 199 (“Disposizioni in materia di contrasto ai fenomeni del lavoro nero, dello sfruttamento del lavoro in agricoltura e di riallineamento retributivo nel settore agricolo”), in relazione alla responsabilità prevista dal D. Lgs. 8/6/2001, n. 231 (“Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”) (All. 8, nota 29/2/2024, p. 37). L’espresso riferimento al trattamento di dati biometrici non è invece previsto, né dal richiamato contratto collettivo, né dal protocollo di intesa, né dalle norme richiamate dalla Società.

Considerato che il trattamento dei dati biometrici dei rider è risultato illecito, per i motivi indicati nel paragrafo precedente, la predetta valutazione di impatto, a seguito della quale la Società ha ritenuto di poter porre in essere il trattamento dei dati biometrici, deve considerarsi quindi non conforme all’art. 35 del Regolamento, in quanto non è stata correttamente e preliminarmente valutata l’assenza di condizioni di liceità per l’effettuazione del trattamento in esame.

Inoltre, come accertato nel corso del procedimento, la Società, oltre ai dati biometrici, tratta una molteplicità di dati di un numero rilevante di interessati (rider) ai fini della gestione del rapporto di lavoro, attraverso una piattaforma digitale che basa il proprio funzionamento su complessi algoritmi, ciò anche attraverso processi decisionali automatizzati disciplinati dall’art. 22 del Regolamento.

In proposito, non può essere accolto quanto sostenuto dalla Società nelle memorie difensive, ossia che la predisposizione di una valutazione di impatto non sarebbe stata “obbligatoria […] essendo dimostrato, tanto per il punteggio di eccellenza che per il processo di grievance, che non sussiste un’attività di trattamento automatizzato dei dati dei courier e di profilazione degli stessi”.

In base agli esiti del procedimento risulta accertato che la Società adotta decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, come argomentato nel paragrafo relativo ai trattamenti riconducibili all’art. 22 del Regolamento (che qui si richiama).

Alla luce di quanto stabilito dall’art. 35 del Regolamento, nonché delle indicazioni fornite in proposito dalle Linee guida adottate dal Gruppo di lavoro Articolo 29 (da ultimo il 4 ottobre 2017, WP 248rev.01) e dal provvedimento del Garante 11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19/11/2018), l’attività di trattamento svolta da Foodinho s.r.l., in quanto caratterizzata dall’utilizzo innovativo di una piattaforma digitale, dalla raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini, compresa la localizzazione geografica, e delle comunicazioni avvenute tramite chat ed e-mail nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro; v. Linee guida WP 248rev.01 del 4.4.2017, cap. III, B, n. 7), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”, con conseguente necessità di effettuare, prima dell’inizio del trattamento, una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

Inoltre, l’obbligo di effettuare una valutazione di impatto è stato ribadito dal legislatore, con riguardo ai trattamenti derivanti dall’utilizzo di sistemi decisionali o di monitoraggio automatizzati, dall’art. 1-bis, co. 4, d. lgs. n. 152/1997, aggiunto dall’art. 4, co. 1, lett. b), d. lgs. n. 104/2022.

Quanto al numero di interessati coinvolti dai trattamenti, si osserva che i "Corrieri attivi" (al tempo dello scioglimento delle riserve il 27/12/2023) che utilizzano l'APP in Italia a partire da gennaio 2022 è stato indicato dalla Società in numero di 36.545 (con la precisazione che “per «Corrieri attivi» si intende qualsiasi Corriere, registrato nell’APP, che abbia effettuato almeno un ordine utilizzando la Piattaforma Glovo da gennaio 2022”).

Tra i rider che prestano la propria attività lavorativa per la Società, sono 7.405, secondo quanto dichiarato dalla Società stessa, i “corrieri attivi” che “hanno iniziato a utilizzare l'APP in Italia dal 1° agosto 2022” (v. nota scioglimento delle riserve 27/12/2022, lett. R).

Si prende atto, in ogni caso, che, nel corso del procedimento, la Società ha prodotto copia di una valutazione di impatto, datata 29/2/2024, avente ad oggetto i trattamenti effettuati mediante il sistema di eccellenza e la geolocalizzazione dei rider, “con particolare riferimento al processo di assegnazione degli ordini, consegna e calcolo dei compensi dei Corrieri” (v. nota 29/2/2024, All. 9). Nel documento si enfatizza l’impegno a mantenere aggiornata la valutazione “specialmente in caso di introduzione di nuove attività di trattamento dei dati nella Piattaforma che potrebbero risultare particolarmente invasive per i Corrieri nel territorio italiano”.

Nonostante tale valutazione di impatto contenga un‘approfondita descrizione di alcuni trattamenti effettuati dalla Società (sebbene non siano stati presi in considerazione trattamenti che comportano rischi per gli interessati quali la disconnessione/blocco dalla piattaforma e il sistema di assegnazione degli ordini), di alcune misure adottate a tutela degli interessati e di altre misure di cui si preannuncia la volontà di adozione (in particolare riformulazione di alcune informative, minimizzazione dei dati trattati nel sistema di eccellenza, modifica di alcuni termini di conservazione), si rileva che il documento non prende in considerazione, né nella sezione relativa alla individuazione dei rischi, né in quella dedicata alle misure previste per attenuare i rischi, i rischi specifici derivanti dai trattamenti automatizzati effettuati attraverso la piattaforma digitale, né prevede misure appropriate, volte a tutelare i diritti, le libertà e i legittimi interessi dell’interessato indicate dall’art. 22 del Regolamento, idonee anche a garantire che siano rettificati i fattori che comportano inesattezze dei dati, che sia minimizzato il rischio di errori e di effetti discriminatori.

Per i suesposti motivi la Società ha violato l’art. 35 del Regolamento nei termini su esposti.

4.9.Violazione dell’obbligo di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento).

All’esito dell’accesso diretto ai sistemi effettuato nel corso dell’ispezione (utilizzando le credenziali di Head of operations, v. screenshot All. 2, verbale operazioni compiute 28/2/2023), è emerso che gli operatori della Società possono accedere ad alcuni dati dei rider che operano per società del gruppo Glovo sia in paesi, diversi dall’Italia, in Europa sia fuori dall’Europa.

In particolare, accedendo alla sezione “Live Map”, gli operatori della società italiana possono visualizzare, sulla mappa della città (UE ed extra UE) presa come riferimento, alcuni dati personali dei rider in servizio, in particolare ID, numero di telefono e posizione geografica.

Considerato che la piattaforma di cui si avvale la Società opera con modalità uniformi, indipendentemente dal paese in cui viene utilizzata, anche gli operatori delle altre società del gruppo Glovo possono, o comunque hanno potuto, accedere ad alcuni dati dei rider che operano in Italia.

Ciò è confermato da quanto dichiarato dalla stessa Società, con la nota del 15 gennaio 2024, laddove ha dichiarato di essersi attivata con GlovoApp23 “al fine di stabilire livelli di segregazione country-based per impedire la visualizzazione dei dati personali di courier in altri paesi, tranne in pochi casi limitati” (v. nota cit. punto 3.7).

Diversamente da quanto sostenuto nelle memorie difensive, i trattamenti di dati effettuati da operatori che operano fuori dall’Italia sui rider che operano in Italia non “esula[no] dalle competenze del Garante, in quanto [attengono] ai livelli di accesso e alle specifiche tecniche della Piattaforma […], nonché a trattamenti che afferiscono ad altre società del gruppo Glovo in qualità di titolari del trattamento autonomi” (v. nota 11/12/2023, p. 25), considerato che rientra tra i compiti della Società, in qualità di titolare del trattamento, garantire che non siano consentiti trattamenti effettuati da soggetti terzi, privi di base giuridica e per finalità non riconducibili alla gestione del sistema.

Con successiva nota del 29/2/2024, in ogni caso, la Società ha dichiarato che le modifiche relative alla introduzione di livelli di segregazione country-based sono state applicate alla piattaforma, posto che “alla data odierna il Permesso [di accesso alla piattaforma “livemap”] non è altresì attivo per i dipendenti delle società del gruppo Glovo situati in altri paesi” (v. nota 29/2/2024, punto 3.7, lett. C).

Pertanto, quantomeno fino al 29/2/2024, dunque per un periodo significativo di tempo, la Società non si è attivata presso GlovoApp23 S.L. affinché gli accessi ai dati personali dei rider operanti in Italia fossero limitati e pertinenti rispetto alle finalità del trattamento e che fosse garantita la riservatezza di tali dati, attraverso misure di segregazione, volte a non consentire, ad operatori delle altre società collegate che operano in altri paesi, di accedere, attraverso la piattaforma Live Map, ai dati personali dei rider che operano in Italia (in particolare ID, numero di telefono e posizione geografica).

Il numero di operatori dipendenti di Foodinho che accedono alla sezione “Live Map” è di 65 (v. nota scioglimento riserve 17/3/2023); il numero di agenti di Comdata è di 82; il numero di utenti di Team Leads che vi accedono è di 7 (v. nota scioglimento delle riserve 16/3/2023, lett. j); il numero di agenti di Mplus è di 149 e quelli di Team Leads è di 18 (v. nota scioglimento delle riserve 16/3/2023, lett. j). In base a quanto dichiarato dalla Società, pertanto, il numero complessivo di operatori che possono accedere alla sezione “Live Map” per la Società è pari a 321. Si tratta dunque di un numero elevato di operatori con privilegi di accesso alla sezione “Live Map” (che contiene una pluralità di dati riferiti ai rider) tenuto conto che non risulta che la Società abbia effettuato una valutazione puntuale delle specifiche esigenze che legittimerebbero l’accesso a un tale numero di operatori.

La Società non ha invece fornito riscontro, nonostante la specifica richiesta in proposito, in ordine al numero degli operatori complessivamente attivi sulla piattaforma Glovo che hanno acceduto (alla luce delle modifiche intervenute il 29/2/2024) alla sezione “Live map”, con possibilità di accessi con operatività cross-country.

Si prende atto tuttavia che, con la nota del 29/2/2024, la Società ha rappresentato di aver introdotto alcune modifiche consistenti nella introduzione di livelli di segregazione country-based, anche per l’attività degli operatori che operano in Italia (v. nota 29/2/2024 cit., punto 3.7).

In conclusione, dagli atti è emerso che fino alle modifiche introdotte nel corso del procedimento (con decorrenza 29/2/2024) la Società non ha posto in essere misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, volte ad evitare, in particolare, che dati relativi ai rider operanti in Italia fossero visualizzabili anche da operatori di altre società del gruppo Glovo, senza che ciò risultasse in alcun modo rilevante ai fini dell’operatività del servizio.

Pertanto, tenuto conto del numero elevato di operatori che, per conto della Società e anche da paesi diversi dall’Italia - considerato l’utilizzo della medesima piattaforma da parte di tutte le società del gruppo Glovo -, possono accedere ai dati personali dei rider conservati nei sistemi della Società stessa, si ritiene che il sistema non sia stato configurato in modo tale da garantire la riservatezza dei dati personali e un’adeguata protezione rispetto agli accessi accidentali, in violazione dell’art. 5 par. 1 lett. f) e dell’art. 32 del Regolamento.

4.10. Violazione dell’obbligo di determinare tempi di conservazione per un periodo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par. 1, lett. e), del Regolamento).

È altresì emerso che la Società conserva per 36 mesi la registrazione delle chiamate telefoniche intercorse con i rider, in relazione alle seguenti finalità: valutare la qualità del servizio reso da COMDATA e MPLUS; “avere un supporto documentale di tutte le interazioni effettuate con una terza parte in caso di reclamo o processo”; “Gestire e rispondere debitamente alle richieste avanzate dalle autorità competenti […] e dalle forze dell'ordine […]”; “Gestire correttamente e documentare il corretto adempimento delle richieste degli interessati […] ai sensi del GDPR” (nota scioglimento riserve 16/3/2023, lett. m.).

Tale esteso termine di conservazione, peraltro relativo ad una tipologia di dati personali assistita da particolari garanzie da parte dell’ordinamento, in quanto riferiti alle comunicazioni (v. artt. 2 e 15 Cost), non appare congruo rispetto al perseguimento delle finalità indicate (in particolare tenuto conto dei termini entro i quali è possibile presentare un reclamo relativo ad un dato ordine, oppure valutare la qualità del servizio di call center reso dalle società sub-responsabili del trattamento, senz’altro di gran lunga inferiori a tre anni; non è stato inoltre chiarito dalla Società quali siano gli obblighi legali che imporrebbero tale conservazione).

In proposito, è inoltre emerso che le mappe delle consegne eseguite dai rider sono conservate, a partire dall’ottobre 2018 (dunque, al momento dell’accertamento effettuato, più di 4 anni). Mentre prima di tale data, risulta conservato il dato relativo a inizio e fine percorso, senza dettagli del percorso (verbale 14/12/2022, p. 7).

Sotto questo profilo, la Società non ha indicato le specifiche ragioni per le quali, in relazione a specifiche finalità, si sia reso necessario prevedere una così estesa conservazione dei dati.

In proposito la Società, nelle memorie difensive, ha sostenuto che i termini di conservazione di telefonate e mappe avrebbero potuto essere fissati nel più ampio spazio temporale di 10 anni, considerato che “attengono di fatto alla gestione del rapporto contrattuale tra la Società e i courier, all’adempimento di obblighi legali (es. nel caso di richieste di autorità) e a finalità di sicurezza” (v. nota 11/12/2023, p. 26). Pertanto i termini allo stato fissati, inferiori a 10 anni, sarebbero conformi ai principi di minimizzazione e di privacy by design.

Tale argomento non può essere accolto, posto che il termine di conservazione dei singoli dati raccolti deve essere commisurato alle specifiche finalità del trattamento. Non si vede, né è stato illustrato dalla Società, come, in concreto, la conservazione delle telefonate o anche delle mappe dei percorsi possa essere necessaria, per il titolare, in forza di norme in materia fiscale, previdenziale o relative ai termini prescrizionali.

Anche in relazione alla gestione dei reclami dei clienti o delle contestazioni dei compensi ricevuti dai rider o di ricostruzione di incidenti occorsi o di richieste di accesso di autorità pubbliche si osserva che il termine decennale e i termini, rispettivamente, di 36 mesi (tre anni) e 4 anni, non appaiono affatto congrui, in relazione a tali finalità.

Si osserva altresì che, in base a quanto indicato nell’informativa aggiornata nel mese di dicembre 2022 (v. verbale ispettivo 1/3/2023, All. 10), in termini generali i dati relativi ai rider sono conservati, dopo la cessazione del rapporto di lavoro, per un periodo “massimo di dieci (10) anni per adempiere agli obblighi di legge […] e difendersi da o intraprendere qualsiasi azione in relazione a questioni civili, penali, fiscali e previdenziali” (informativa cit., punto 6.4).

L’allegata tabella relativa ai “Periodi generali di conservazione” non distingue i tempi di conservazione, in relazione alle diverse tipologie di dati e di trattamenti effettuati (comprendendo dunque anche i dati relativi alla geolocalizzazione e tutti i dati relativi alla gestione dell’ordine ad esclusione delle su menzionate mappe), e indica comunque l’unico termine di 10 anni, in relazione a macrocategorie di documenti (contabilità e documentazione fiscale; accordi commerciali o contratti; azioni civili personali).

Analogamente, nell’informativa allegata alla nota del 29/2/2024 (All. 2), che tuttavia non risulta reperibile, allo stato, sul sito internet della Società, si precisa che il temine di conservazione, con riferimento a “contratti e informazioni relative agli account dei Corrieri (es. ID corriere, altre informazioni trattate nell’ambito del rapporto contrattuale)”, “dati relativi agli ordini”, “slot prenotato/in cui il corriere ha fatto check-in”, “punteggio di eccellenza” è pari a “10 anni dalla cessazione del rapporto contrattuale”. Con particolare riguardo alle “conversazioni via chat” viene indicato il termine di “36 mesi dal giorno in cui la conversazione ha avuto luogo nell’APP”, mentre relativamente ai “dati di geolocalizzazione” è indicato il termine di “1 anno dal termine della geolocalizzazione”.

All’esito degli accessi effettuati sui sistemi in occasione degli accertamenti ispettivi, inoltre, è emerso che “la piattaforma conserva i dati personali e i documenti dei rider con account disattivato a far data dal 2016” (verbale ispettivo 14/12/2023, p. 7).

Si osserva, infine, che l’argomento addotto in proposito dalla Società nelle memorie difensive non è conferente (“il termine di conservazione relativo ai trattamenti effettuati per finalità di gestione del rapporto è dettato da specifiche norme di legge (si pensi, ad esempio, a quelle in materia fiscale, previdenziale, etc.) o, comunque, da norme generali dell’ordinamento che forniscono un’indicazione circa il ragionevole periodo di tempo entro cui i dati possono ritenersi ancora “utili” per il titolare”, v. memorie difensive 11/12/2023, p. 26).

Il riferimento alle norme di legge è indicato infatti in termini generici, senza specificare, in relazione a ciascun trattamento, perché una specifica normativa richiederebbe la conservazione decennale. Da questo punto di vista la conservazione non deve essere meramente “utile” per il titolare, bensì specificamente preordinata al conseguimento delle finalità lecitamente perseguite con il trattamento.

Pertanto, anche a seguito di alcune parziali modifiche introdotte nel corso del procedimento, emerge che la Società ha individuato un unico termine di conservazione pari a 10 anni, in relazione ad una pluralità di dati diversi raccolti in occasione dell’assegnazione e della gestione degli ordini, compresi i valori assegnati nell’ambito del sistema del punteggio di eccellenza, senza parametrare tale termine alle specifiche finalità perseguite con ciascun trattamento.

Inoltre è emerso che, oltre alle comunicazioni telefoniche, anche le comunicazioni via chat effettuate con i rider sono conservate, per un termine esteso pari a 36 mesi, in assenza di alcuna indicazione relativa alle finalità che renderebbero congruo tale termine. Anche l’individuazione del termine pari ad 1 anno del tempo di conservazione dei dati relativi alla rilevazione della posizione geografica raccolta tramite l’applicativo, sebbene ridotto (ma comunque significativo in termini assoluti) rispetto a quanto disposto in precedenza, non è stata rapportata alla necessità di perseguire esplicite e determinate finalità legittime.

Per i motivi suesposti la Società ha violato il principio di limitazione della conservazione, in base al quale il titolare del trattamento ha l’obbligo di conservare i dati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per i quali sono trattati (art. 5, par. 1, lett. e) del Regolamento).

4.11. Invio di dati dei rider a terze parti. Violazione degli artt. 5, par. 1, lett. c), 6, 13, 14 e 25 del Regolamento.

All’esito degli accertamenti ispettivi del 26 e 27 luglio 2023, è emerso che la Società invia a terze parti - in particolare Google Firebase, Braze e mParticle - una pluralità di dati personali riferiti ai rider.

La Società ha in proposito dichiarato che tali fornitori di servizi “agiscono in qualità di responsabili del trattamento per conto di Foodinho S.r.l. […]. Pertanto, i dati dei corrieri sono divulgati e/o resi disponibili a tali società sulla base dei rispettivi art. 28 GDPR [e degli] accordi sul trattamento dei dati stipulati dalla società madre Glovoapp23, S.A. […] anche per conto e a beneficio” della Società (nota scioglimento delle riserve 15/9/2023).

È dunque la Società che ha individuato, in qualità di titolare, “la finalità […] e la base giuridica […] per le attività di trattamento in essere (nell’ambito delle quali i fornitori possono offrire i loro servizi)” (nota scioglimento delle riserve cit.).

Per quanto riguarda Google Firebase, che mette a disposizione la funzione Crashlytics “per rilevare e gestire i crash anomali delle applicazioni mobili e web utilizzate dai corrieri”, la Società invia le seguenti informazioni: ID del rider e “informazioni di registro” (“metadati relativi a ciò che l’utente stava facendo quando l’evento è registrato: La schermata corrente in cui si trovavano quando si verifica l'evento, Gli attivatori di funzionalità abilitati per quell'utente specifico, L'azione eseguita dall'utente per attivare l'evento, lasciare che sia un clic o una notifica arrivata”). La base giuridica è costituita dall’esecuzione del contratto con i rider, anche in relazione alla possibilità di risolvere eventuali malfunzionamenti dell’applicazione.

Ulteriori informazioni relative al rider sono poi acquisite attraverso l’SDK di Google Firebase (Software Development Kit ): informazioni sul sistema operativo, informazioni sul dispositivo e “informazioni geografiche” (indirizzo IP, “dove è collegato il dispositivo”, ossia la città e la nazione da cui si collega il dispositivo).

La Società ha inoltre specificato di aver usato anche il prodotto Firebase Analytics, allo stato non più utilizzato. Tuttavia “in occasione dell'approfondimento effettuato per redigere questo rapporto, i nostri team tecnici hanno scoperto che, per motivi tecnici, una parte residua del codice non è mai stata rimossa e alcune informazioni (come, ad esempio, l'ID del corriere, il codice della città o il trasporto) potrebbero essere state ancora inviate a Google, sebbene tali dati non avessero alcun uso corrente da parte nostra. Ad oggi, confermiamo che l'SDK e i rispettivi dati sono stati definitivamente ripuliti dall'App, così come dai nostri sistemi” (All. 7, nota 15/9/2023, cit.).

La Società invia inoltre a Braze, “al fine di inviare comunicazioni transazionali ai rider, oltre che commerciali” (nota 15/9/2023, cit.), i seguenti dati relativi ai rider: ID del rider, e-mail e numero di telefono (se presente nel database).

Ulteriori informazioni raccolte attraverso l’SDK sono: informazioni sul dispositivo (lingua, modello), informazioni sul sistema operativo, localizzazione (paese, posizione Geolp), inizio e fine della sessione di utilizzo dell’App.

La Società, con riguardo all’invio a Braze, tramite l’SDK, del dato relativo alla “posizione precisa dell’utente”, ha anche chiarito che “Durante l'esecuzione dell'approfondimento tecnico nella stesura di questo report, ci siamo resi conto che l'app del corriere aveva questa configurazione abilitata in modo permanente. […] confermiamo che è stato definitivamente risolto e a partire dal 22 agosto 2023 […] abbiamo abilitato questa configurazione” (All.5, nota 15/9/2023, cit.).

La Società, infine, invia a mParticle, “che fornisce servizi di customer data platform (CDP) che aggregano informazioni (eventi) attraverso vari canali digitali al fine di inviare la comunicazione giusta al destinatario giusto”, i seguenti dati relativi al rider: ID del rider, ultima posizione nota nonché “dati comportamentali (dati relativi alla modalità di utilizzo dell’app da parte del corriere), le interazioni del corriere con la […] app”.

La Società inoltre “può […] condividere informazioni con mParticle per scopi di analisi [in base al] legittimo interesse di Glovo di comprendere come i corrieri interagiscono con l’App, a sviluppare nuovi servizi e ad analizzare le informazioni derivate dai servizi” (v. nota 15/9/2024).

Ulteriori informazioni raccolte attraverso l’SDK sono: informazioni sul dispositivo, informazioni sul sistema operativo, localizzazione (paese, posizione Geolp), utilizzo dell’app (“ogni volta che l’utente accede all’app o l’app viene messa in background o finalizzata”).

Con riguardo, infine, al “tracciamento della posizione” (“Questa impostazione consente all'SDK di raccogliere la posizione dell'utente, non rivela quando acquisisce questi dati, quindi finché l'app dispone dell'autorizzazione alla posizione concessa dall'utente, può acquisire questi dati a piacimento”), la Società ha “programmato di disabilitare il tracciamento della posizione e fare affidamento solo sull’ultimo inoltro della posizione nota quando si utilizzano le schermate” (All.6, nota 15/9/2023, cit.).

La Società ha pertanto trattato, attraverso l’utilizzo di servizi forniti da società designate sub-responsabili del trattamento, per un lungo periodo di tempo, una significativa quantità di dati personali riferiti ai rider, non necessari rispetto alle finalità perseguite e, talvolta, con modalità di trattamento addirittura non note alla medesima, tanto che la stessa Società ha ritenuto di interrompere alcuni di questi trattamenti, successivamente alle verifiche effettuate dall’Autorità.

Con riguardo ad alcuni di questi dati, dunque, si prende atto che la Società ha interrotto l’invio, nel corso del procedimento: in particolare il trattamento dei dati raccolti dall’SDK di Braze è avvenuto fino al 22 agosto 2023; invece il trattamento dei dati inviati a Google attraverso Firebase Analytics è avvenuto fino ad una data non precisata, a ridosso dell’invio della nota di scioglimento delle riserve del 15/9/2023.

Con specifico riguardo al trattamento dei dati relativi alla posizione geografica dei rider, è emerso che la raccolta e l’invio, a terze parti, di tali dati opera anche quando il rider non è operativo nello slot, l’app è in background e, perlomeno fino al 22 agosto 2023, anche quando l’app non è attiva.

Pertanto le informazioni relative alla posizione e agli spostamenti dei rider sono state sistematicamente inviate (a Google Maps e a Braze), anche quando il rider non era impegnato nell’attività lavorativa per conto della Società e a sua insaputa.

Nelle memorie difensive la Società ha richiamato “la buona fede e lo spirito di cooperazione” con l’Autorità, nonché “il ravvedimento operoso [considerato che] non appena è venuta a conoscenza di tali errori tecnici, ha provveduto immediatamente a cessare le irregolarità” (nota 11/12/2023).

In realtà le uniche misure concretamente adottate sono state, come sopra rilevato, l’interruzione dell’invio di alcuni dati a Braze e a Firebase Analytics tramite i rispettivi SDK.

Infatti la Società, nella nota del 15/1/2024, ha annunciato che nei sei mesi successivi avrebbe adottato, di concerto con la controllante, alcuni “accorgimenti” relativi alle attività di invio di dati a terze parti, in particolare: approfondire il funzionamento degli SDK installati da Google Firebase, Braze e mParticle; aumentare la trasparenza nei confronti dei rider su questi trattamenti; programmare, di concerto con la controllante, l’effettuazione di “audit tecnici periodici […] per verificare i flussi di dati nei confronti dei fornitori dei servizi contrattualizzati”.

Tuttavia nessun aggiornamento sul punto è stato fornito dalla Società, con la successiva nota del 29/2/2024. Al di là degli annunci, dunque, nessuna misura è stata adottata (o anche concretamente programmata) dalla Società nonostante l’esistenza di un flusso di comunicazioni a terze parti di dati relativi ai rider fosse stato verificato nel corso delle attività ispettive del 26 e 27 luglio 2023.

La Società, in qualità di titolare del trattamento, avrebbe dovuto valutare che l’impiego di SDK comporta necessariamente l’utilizzo di un codice predisposto da terze parti per l’interazione con la piattaforma di riferimento, del quale la Società non conosceva appieno, né le sottese logiche di funzionamento, né le interazioni verso i sistemi terzi realizzate tramite l’SDK stessa (con riguardo ai rapporti tra titolare e fornitore del servizio, relativamente alla necessità di procedere all’esatta individuazione dei tipi di dati raccolti e le finalità del trattamento si veda la decisione dell’E.D.P.S.- European Data Protection Supervisor dell’8 marzo 2024, “EDPS investigation into use of Microsoft 365 by the European Commission (Case 2021-0518)”).

Posto che il titolare non ha la possibilità di esercitare alcun controllo preventivo sui dati inviati e sulle modalità di invio, è suo preciso dovere e responsabilità adottare misure effettive volte a verificare i flussi e soprattutto a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni singola finalità del trattamento.

La descritta attività di invio a terze parti di una pluralità di dati riferiti ai rider da parte della Società, in assenza di misure appropriate, ha pertanto comportato (e tutt’ora comporta) la violazione del principio di minimizzazione (art. 5, par. 1, lett. c) del Regolamento) posto che i dati raccolti, anche relativi alla localizzazione geografica attraverso la funzionalità di Google Maps integrata nell’applicativo, non risultano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Risulta altresì violato il principio di privacy by design e by default (art. 25 del Regolamento), che impone al titolare di adottare misure tecniche ed organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e a garantire il trattamento dei soli dati necessari al trattamento.

Non risulta inoltre che la Società abbia fornito, al riguardo, un‘idonea informativa ai rider relativa a tali flussi di dati, visto che, neanche nella ultima versione dell’informativa fornita all’Autorità con la nota del 29/2/2024, risultano essere fornite agli interessati le informazioni prescritte dall’art. 13 del Regolamento, in particolare le categorie di dati trattati e le modalità del trattamento (“I vostri dati potranno essere comunicati a terzi […] quali fornitori di servizi di comunicazione elettronica, di servizi di supporto alle comunicazioni, fornitori di cloud, di servizi di analytics […] nel rispetto delle finalità del trattamento e a fronte delle basi giuridiche indicate al punto 6 in precedenza”).

Con riferimento, infine, alla base giuridica del trattamento di dati dei rider, per finalità di invio di comunicazioni commerciali, la Società ha indicato il consenso del rider “o il soft-spam deroga ai sensi dell’articolo 130.4 del D.Lgs. n. 196/2003” (nota 15/9/2023 cit., p.1-2).

Posto che nell’ambito del rapporto di lavoro il consenso non è di regola base giuridica idonea per l’effettuazione di trattamenti da parte del datore di lavoro e che la richiamata disciplina in materia di comunicazioni indesiderate non è applicabile al rapporto di lavoro, il trattamento, consistente nell’invio di comunicazioni commerciali, è quindi avvenuto in assenza di base giuridica idonea.

Non può essere accolto, quanto sostenuto dalla Società nelle memorie difensive, relativamente alla ritenuta insussistenza di “alcun rapporto di lavoro subordinato” con i rider da cui deriverebbe l’ammissibilità dell’utilizzo del consenso come base giuridica “per finalità di soft-spam o marketing”, dato che il consenso non può di regola costituire idonea condizione di liceità del trattamento nell’ambito di tutti quei rapporti di lavoro caratterizzati da uno squilibrio di potere tra le parti dello stesso (quindi tra chi fornisce la prestazione lavorativa e il soggetto per il quale è svolta; in proposito, in particolare, la già richiamata Opinion n. 2/2017 del Gruppo di lavoro articolo 29, par. 2 “Con il termine «dipendente», nel presente parere il Gruppo di lavoro non si riferisce esclusivamente alle persone soggette a un contratto di lavoro riconosciuto come tale ai sensi delle leggi vigenti in materia. Negli ultimi decenni sono diventati più comuni nuovi modelli aziendali serviti da tipi diversi di rapporto di lavoro, in particolare il ricorso a lavoratori freelance. Il presente parere intende trattare tutte le situazioni di rapporto di lavoro, indipendentemente dal fatto che tale rapporto si basi su un contratto di lavoro”).

Ciò ha comportato pertanto la violazione dell’art. 6 del Regolamento.

4.12.Controllo sull’attività dei rider. Violazione degli artt. 5, par. 1, lett. a) e 88 del Regolamento e dell’art. 114 del Codice.

All’esito degli accertamenti ispettivi, è emerso che la Società si avvale di prestazioni lavorative di rider che svolgono il servizio di consegna a domicilio di cibo e altri beni sulla base di un contratto standard predisposto dalla Società stessa. Lo schema di contratto, quanto alla durata, prevede che alla scadenza “il contratto si intenderà automaticamente rinnovato di anno in anno per un periodo di 12 mesi” (v. All. 2, verbale 16/12/2022).

Ai rider è attribuito un account per accedere alla piattaforma digitale attraverso la quale l’attività di consegna è organizzata e gestita.

Risulta accertato che, per lo svolgimento dell’attività dei rider, la Società, attraverso la piattaforma, raccoglie e memorizza sistematicamente la posizione geografica del corriere secondo le tempistiche di Google Maps (assai ravvicinate), anche quando il rider non è attivo nello slot.

Inoltre la Società raccoglie il dato di geolocalizzazione, anche quando l’app è in background e, fino al mese di agosto 2023, anche quando l’app non era attiva, in occasione dell’invio a terze parti che operano in qualità di responsabili per conto della Società stessa (v. par. 4.11. del presente provvedimento).

Nei sistemi dei responsabili del trattamento, i dati relativi alla posizione geografica del rider sono pertanto a disposizione del titolare che ha la concreta possibilità di utilizzarli. Ciò consente alla Società di trattare il dato relativo alla geolocalizzazione, anche quando il rider non sta svolgendo la propria attività lavorativa.

Sempre in occasione dell’invio a terze parti, la Società tratta, tra gli altri dati, anche quello relativo al comportamento dei rider nell’utilizzo dell’app.

Attraverso la piattaforma, inoltre, la Società raccoglie e memorizza sistematicamente un’ampia gamma di dati relativi all’esecuzione dell’ordine, tra cui le mappe dei percorsi effettuati, il tempo stimato e il tempo effettivo di consegna, lo storico degli ordini effettuati, rifiutati e riassegnati. Inoltre la stessa Società ha dichiarato di effettuare il “monitoraggio” degli account assegnati ai rider “finalizzato a rilevare potenziali utilizzi impropri della piattaforma”.

Sempre attraverso la piattaforma, è effettuata la profilazione del rider attraverso l’operatività del “punteggio di eccellenza”, preordinato ad assegnare priorità nella scelta dei turni di lavoro (slot).

Come già illustrato nel paragrafo dedicato all’analisi dei trattamenti automatizzati effettuati dalla Società i parametri che compongono il sistema di eccellenza sono volti ad assegnare maggior punteggio al rider che effettua un maggior numero di consegne (“Sum Seniority Normalised”), che prenota un maggior numero di slot ad alta domanda (“Sum High Demand Normalised”), che effettua il check in nello slot prenotato nei termini previsti (“Sum No Show Normalised”) e che non ottiene un cattivo feedback dai clienti (“Sum Customer Rating Normalised”).

Il sistema del “punteggio di eccellenza” è dunque configurato in modo tale da assegnare maggiori occasioni di lavoro a coloro che effettuano un maggior numero di consegne e dunque a incoraggiare la continuità nell’offerta della prestazione lavorativa tanto che, a conferma di ciò, il sistema riduce le occasioni di lavoro ai rider che non accettano la prestazione offerta (v. par. 4.5. del presente provvedimento).

Dunque non solo la Società assegna ai rider i turni di lavoro, ma l’assegnazione privilegia coloro che offrono maggiore disponibilità ad effettuare le consegne e in concreto ne effettuano un maggior numero.

La Società inoltre valuta la prestazione, attraverso l’operatività dei feedback dei clienti, ed effettua il blocco e la disconnessione dalla piattaforma, al verificarsi di occorrenze predeterminate, interrompendo la possibilità di effettuare la prestazione di lavoro da parte del rider, anche attraverso l’effettuazione di attività di “monitoraggio” da parte degli operatori del Team Ops, “finalizzato a rilevare potenziali utilizzi impropri della Piattaforma Glovo” (tra queste occorrenze è emerso che gli operatori hanno disconnesso dalla piattaforma anche a seguito di “bad rating” sulla prestazione del rider: All. 5, verbale ispettivo 28/2/2023, file result.csv). Alcune di queste occorrenze comportano invece automaticamente la disconnessione o il blocco dalla piattaforma o dallo slot prenotato (v. par. 4.5. del presente provvedimento).

La Società inoltre raccoglie e memorizza sistematicamente tutte le interlocuzioni che avvengono con i rider attraverso telefonate, chat ed e-mail.

La società, infine, determina il compenso da corrispondere al rider e provvede a predisporre la relativa fattura.

All’esito dell’esame degli elementi su esposti, che caratterizzano i trattamenti di dati personali, riferiti ai rider, effettuati dalla Società nell’ambito del rapporto di lavoro disciplinato dal contratto-tipo acquisito in atti, e documentati nel corso delle attività ispettive effettuate presso la sede legale della Società e il successivo procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, è emerso che la Società organizza, principalmente attraverso la piattaforma digitale, l’attività di consegna consistente in una prestazione prevalentemente personale, individuando il tempo e il luogo della prestazione, offrendo occasioni di lavoro prioritariamente a coloro che, con assiduità e continuità, effettuano attività di consegna (e d’altra parte, il medesimo contratto standard prevede il rinnovo automatico di anno in anno, manifestando l’evidente interesse della Società alla continuità della prestazione), controllando il corretto utilizzo della piattaforma e la corretta effettuazione della prestazione attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni).

Ciò posto, il Garante, allo scopo di verificare il rispetto del principio generale di liceità dei trattamenti contenuto nell’art. 5, par. 1, lett. a) del Regolamento, è tenuto a valutare anche alla stregua delle discipline di settore applicabili nel caso concreto i trattamenti effettuati dal titolare.

Il legislatore nazionale, con riferimento alle collaborazioni c.d. etero-organizzate (ex art. 2, d. lgs 15/6/2015, n.81), ha stabilito che “A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione che si concretano in prestazioni di lavoro prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente. Le disposizioni di cui al presente comma si applicano anche qualora le modalità di esecuzione della prestazione siano organizzate mediante piattaforme anche digitali”.

In proposito la Corte di Cassazione, con sentenza 24 gennaio 2020, n. 1663, in relazione alle condizioni di applicabilità della disciplina da ultimo richiamata ad un caso avente ad oggetto il rapporto di lavoro tra una società di “food delivery” ed alcuni rider, ha chiarito che l’art. 2, d.lgs. n. 81/2015 deve qualificarsi come norma di disciplina che non crea una nuova fattispecie, posto che “al verificarsi delle caratteristiche delle collaborazioni individuate dall’art. 2, comma 1, del d.lgs. 81 del 2015, la legge ricollega imperativamente l’applicazione della disciplina della subordinazione”.

Ritenuto dunque di dover applicare al caso di specie la richiamata disciplina relativa alle collaborazioni c.d. etero-organizzate, si osserva che, nell’ambito della disciplina del rapporto di lavoro subordinato, rientrano le tutele stabilite dalla legge 20/5/1970, n. 300, di cui costituiscono una significativa manifestazione, in particolare quelle poste dall’art. 4 in materia di controlli a distanza (in senso conforme si è pronunciato anche il Trib. Firenze, sent. 24/11/2021, n. 781 resa nei confronti di diversa società che opera nel campo del food delivery, stabilendo che il riconoscimento alle collaborazioni organizzate dal committente ex art. 2, comma 1, d.lgs. 81/2015, di “una protezione equivalente” a quella dei lavoratori subordinati con “applicazione integrale della disciplina del lavoro subordinato” - come stabilito da Cass. Sez. lav., sent. n. 1663 del 24/01/2020 - ricomprende all’interno di quest’ultima “i diritti affermati nello Statuto dei lavoratori”; di recente si veda anche Trib. Civitavecchia, sent. 15/5/2024, la quale ha confermato che l’art. 2, co. 1, d.lgs. 81/2015 “effettua un generico e integrale rinvio alla disciplina applicabile ai lavoratori subordinati ex art. 2094 c.c.” e che “nel caso in cui il legislatore ha inteso escludere uno o più istituti di legge propri della disciplina del rapporto di lavoro subordinato […] lo ha fatto espressamente”).

D’altra parte, anche con riguardo alle garanzie previste per coloro che risultino parte, in concreto, di un rapporto di lavoro autonomo, il legislatore ha disposto l’applicazione della disciplina posta “a tutela della libertà e dignità del lavoratore” prevista per i lavoratori subordinati (v. art. 47-bis, d.lgs. n. 81/2015, che ha stabilito “livelli minimi di tutela per i lavoratori autonomi che svolgono attività di consegna di beni per conto altrui […] attraverso piattaforme anche digitali” e art. 47-quinquies, in base al quale “Ai lavoratori di cui all'articolo 47-bis si applicano la disciplina antidiscriminatoria e quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, ivi compreso l'accesso alla piattaforma”) (in senso conforme v. circolare INL 14 aprile 2023, “Indicazioni operative in ordine al rilascio di provvedimenti autorizzativi ai sensi dell’art. 4 della legge n. 300/1970”).

Pertanto, anche ritenendo di dover applicare, sotto questo profilo, la disciplina relativa ai rapporti di lavoro autonomo, troverebbero altresì applicazione le norme in materia di controlli a distanza.

Infatti, come è noto, proprio il Titolo I della l. n. 300/1970, che comprende anche l’art. 4, reca nel titolo “Della libertà e dignità del lavoratore” (nello stesso senso v. Circolare Ministero del lavoro 19.11.2020).

Proprio in relazione ai trattamenti effettuati nell’ambito del rapporto di lavoro, in considerazione delle peculiarità che li caratterizzano e delle specifiche esigenze di tutela degli interessati derivanti dalla asimmetria delle parti che, di regola, connota il rapporto datore/lavoratore, l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, indipendentemente dalla specifica tipologia del rapporto di lavoro.

Tra le norme di maggior tutela rientra, come notificato dall’Italia alla Commissione, ai sensi del medesimo art. 88, par. 3, anche l’art. 114 del Codice (“Garanzie in materia di controllo a distanza”) che individua, tra le condizioni di liceità del trattamento, il rispetto dall’art. 4, legge 20 maggio 1970, n. 300.

Il richiamato art. 4, l. n. 300/1970 stabilisce che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

Nel caso di specie la Società, pur effettuando un’attività di sistematico controllo della prestazione lavorativa svolta dai rider, attraverso le impostazioni e le funzionalità di strumenti tecnologici che operano a distanza (piattaforma digitale, app, sistemi di registrazione delle comunicazioni), nei termini sopra esposti, non si è conformata a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970, posto che non ha verificato che gli strumenti utilizzati siano riconducibili alle finalità tassativamente ammesse dall’ordinamento (esigenze organizzative e produttive, sicurezza del lavoro e tutela del patrimonio aziendale) né ha attivato la procedura di garanzia prevista in caso di sussistenza di una delle predette finalità (accordo collettivo stipulato con le rappresentanze sindacali o, in mancanza, autorizzazione dell’Ispettorato nazionale del lavoro).

Si osserva, in proposito, che diverse pronunce dell’Autorità giudiziaria ordinaria hanno stabilito che alla Società si applicano le garanzie stabilite dall’ordinamento a tutela del lavoro subordinato: Trib. Torino, sez. lav., sent. 12/3/2024, n. 231; Corte App. Torino, sez. lav., sent. 11/7/2023, n. 340; Trib. Palermo, sez. lav., 20/6/2023; Trib. Milano, sez. lav., sent. 29/11/2022, n. 2864; Trib. Torino, sez. lav., sent. 15/11/2022; Trib. Palermo, sez. lav., ord. 3/8/2022; Trib. Palermo, sez. lav., sent. 24/11/2020, n. 3570.

Non possono, al riguardo, essere accolti gli argomenti avanzati dalla Società nelle proprie memorie difensive.

Preliminarmente si rappresenta che, diversamente da quanto sostenuto dalla Società in relazione alla contestata violazione dell’art. 88 del Regolamento (“la norma non si applica in quanto non impone obblighi a carico di società private come Foodinho, bensì soltanto obblighi di facere in capo agli Stati membri”), è lo stesso Regolamento ad aver previsto l’irrogazione di una sanzione amministrativa pecuniaria in caso di violazione di “qualsiasi obbligo ai sensi delle legislazioni degli stati membri adottate a norma del capo IX” (capo che ricomprende l’art. 88, “Trattamento dei dati nell’ambito dei rapporti di lavoro”; sull’art. 88 del Regolamento e la nozione di “norme più specifiche” per garantire la protezione dei diritti e delle libertà dei dipendenti per quanto riguarda il trattamento dei loro dati personali nell’ambito dei rapporti di lavoro, v. CGUE, 30/3/2023, causa C-34/21).

La Società ha inoltre sostenuto che i rider “non sono lavoratori subordinati” e “sono sempre liberi di dare o meno la propria disponibilità per i vari slot offerti da Foodinho”. Inoltre i rider “decidono in piena autonomia se e quando lavorare senza dovere in alcun modo comunicare e/o giustificare le loro decisioni anche in termini di mancata disponibilità”.

Premesso che l’Autorità non intende qualificare la natura del rapporto di lavoro che intercorre tra la Società e i rider, bensì applicare le norme dell’ordinamento, in base al principio di liceità dei trattamenti, le risultanze dell’attività di controllo effettuata sui trattamenti dei dati dei rider hanno evidenziato che la prenotazione dei turni di lavoro offerti dalla Società non è “libera” bensì condizionata dall’operatività dei meccanismi del punteggio di eccellenza. Pertanto, la prestazione lavorativa del rider non è svolta “in piena autonomia”, considerato anche che la mancata disponibilità ad effettuare la prestazione lo penalizza anche a seguito della riassegnazione dell’ordine.

Né può essere accolta la tesi secondo la quale la Società non esercita alcun controllo sull’attività dei rider in quanto “la geolocalizzazione nonché il meccanismo di attribuzione del Punteggio di Eccellenza” costituiscono le “caratteristiche intrinseche dell’attività dei courier e [dello] svolgimento del servizio tramite la Piattaforma stessa”.

Le modalità con le quali la Società gestisce e organizza il servizio di delivery non sono “intrinseche” all’attività bensì determinate nelle proprie concrete caratteristiche dal modello organizzativo prescelto e determinato dalla Società.

Analogamente, con riferimento alla applicabilità, prospettata dalla Società in via subordinata, dell’art. 4, co. 2, l. n. 300/1970 sul presupposto della qualificazione degli strumenti utilizzati dalla Società come “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”, si osserva che, in base alle risultanze istruttorie, nessun elemento è emerso tale da rappresentare che la prestazione richiesta ai rider non possa essere resa se non attraverso gli strumenti tecnologici e le modalità allo stato utilizzate.

È invece emerso che i complessi sistemi impiegati dalla Società realizzano trattamenti che vanno ben al di là di quanto indispensabile per rendere la prestazione avente ad oggetto l’efficiente consegna di un bene (si veda, ad esempio, la rilevazione della posizione geografica del rider con le tempistiche ravvicinate di Google Maps anche quando l’app è in background; l’attribuzione di un punteggio e la profilazione del rider; la raccolta e la conservazione di una grande quantità di dati relativi alla gestione degli ordini mediante una pluralità di strumenti (app, piattaforma digitale, customer service) che consentono ulteriori elaborazioni da parte del titolare).

Tutto ciò premesso risulta pertanto accertata la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento che consente al diritto nazionale di prevedere misure “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.

5. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi, alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, tra l’altro connotate da immotivata prolissità narrativa e talvolta da ricostruzioni non coerenti, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla Società e segnatamente il trattamento di dati di rider effettuati per lo più attraverso la piattaforma digitale risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a) - anche con riferimento a quanto previsto dall’art. 1-bis del D. Lgs. n. 152 del 1997 -, c) e d) (principi di trasparenza, correttezza, adeguatezza, pertinenza ed esattezza del trattamento), e), 6, 9, par. 2, lett. b), 12, 13, 22, par. 3, 25, 28, 32, 35, 88 del Regolamento, agli artt. 2-septies e 114 del Codice e all’art. 47-quinquies, D. Lgs. n. 81/2015.

Sebbene la Società, nel corso del procedimento, abbia adottato alcune - limitate - modifiche ai trattamenti oggetto di notifica delle violazioni da parte del Garante (dell’11/10/2023), questi sono per la gran parte, allo stato, ancora attivi. Ciò, inoltre, nonostante l’adozione di un precedente provvedimento da parte di questa Autorità con riguardo ai trattamenti dei dati dei rider effettuati attraverso la piattaforma digitale (Provv. 10 giugno 2021 n. 234).

La violazione, accertata nei termini di cui in motivazione, non può essere considerata “minore”, tenuto conto della natura della violazione che ha riguardato, tra l’altro, i principi generali e le condizioni di liceità del trattamento anche di dati particolari (dati biometrici) nonché della gravità della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. Considerando 148 del Regolamento).

L’Autorità ha altresì ritenuto che il livello di gravità della violazione sia elevato, alla luce di tutti i fattori rilevanti nel caso concreto, e in particolare la natura, la gravità e la durata della violazione, tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito.

L’Autorità ha altresì preso in considerazione i criteri relativi al carattere doloso o colposo della violazione e le categorie di dati personali interessate dalla violazione nonché la maniera in cui l'autorità di controllo ha preso conoscenza della violazione (v. art. 83, par. 2 e Considerando 148 del Regolamento).

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, si ritiene necessario assegnare alla Società un termine per conformare al Regolamento i trattamenti di dati tutt’ora in essere.

Alla luce di quanto sopra pertanto l’Autorità:

vieta alla Società l’ulteriore trattamento dei dati biometrici dei rider (art. 58, par. 2, lett. f), del Regolamento);

ingiunge di cancellare i dati biometrici trattati nell’ambito della procedura di autenticazione dei rider;

ingiunge di riformulare i messaggi inviati ai rider, a seguito della disattivazione e/o blocco, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla corretta predisposizione dei documenti contenenti l’informativa e alla valutazione di impatto, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione dei tempi di conservazione dei dati trattati, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, garantendo un’adeguata formazione degli operatori addetti nonché  la possibilità per gli operatori stessi di ignorare, se del caso, l’output del processo algoritmico, per evitare la possibile tendenza a farvi automaticamente affidamento (art. 58, par. 2, lett. d), Regolamento);

ingiunge di individuare le misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori nonché l’utilizzo di dati eccedenti, non aggiornati o inesatti, da avviare, entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla individuazione di misure appropriate, volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback; tale verifica dovrà essere ripetuta ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015, con riferimento al divieto di disporre “l'esclusione dalla piattaforma e [la] riduzion[e] delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformare al Regolamento i propri trattamenti relativi all’invio a terze parti di dati personali riferiti ai rider, con riferimento all’applicazione dei principi di minimizzazione e di privacy by design e by default, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

ingiunge di effettuare un’analisi puntuale volta a verificare le categorie di dati personali scambiati con terze parti, tramite l’utilizzo di SDK o API, realizzati da tali ultimi soggetti;

ingiunge di verificare, con cadenza almeno semestrale, l’elenco degli operatori che, con abilitazione all’accesso di tipo cross country, possono accedere ai dati dei rider operanti sul territorio italiano;

ingiunge di conformare al Regolamento i propri trattamenti, con riferimento alla disattivazione della localizzazione GPS quando l’app è in background e comunque l’attivazione sul dispositivo del rider di una icona che indichi che il GPS è attivo (art. 58, par. 2, lett. d), Regolamento);

ingiunge di conformare al Regolamento i propri trattamenti, con riguardo alla designazione dei rider ai sensi dell’art. 28 del Regolamento nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

ingiunge alla Società di conformare al Regolamento i propri trattamenti, con riferimento all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento).

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta che Foodinho s.r.l. ha violato gli artt. 5, par. 1, lett. a) - anche con riferimento a quanto previsto dall’art. 1-bis del D. Lgs. n. 152 del 1997 -, c), d) ed e) (principi di liceità, correttezza, trasparenza, minimizzazione ed esattezza del trattamento), 6, 9, par. 2, lett. b), 12, 13, 22, par. 3, 25, 28, 32, 35, 88 del Regolamento, gli artt. 2-septies e 114 del Codice e l’art. 47-quinquies, D. Lgs. n. 81/2015. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere da Foodinho s.r.l., di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, ritenuto che il livello di gravità della violazione sia elevato, tenuto conto che la sanzione deve “in ogni singolo caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura della violazione, questa ha riguardato anche fattispecie punite più severamente ai sensi dell’art. 83, par. 5, del Regolamento in ragione dell’interesse protetto dalle norme violate (riguardanti i principi generali di liceità, correttezza e trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza del trattamento; le condizioni di liceità anche per il trattamento di dati particolari; il diritto di informativa; i diritti degli interessati a fronte della adozione di decisioni basate unicamente sul trattamento automatizzato; le disposizioni più specifiche in materia di controlli a distanza espressamente richiamate dalla disciplina di protezione dei dati personali);

b) in relazione alla gravità della violazione, è stata presa in considerazione la natura del trattamento che ha riguardato, a livello nazionale, una pluralità di dati riferiti a interessati vulnerabili, compresi dati particolari e dati relativi alle comunicazioni; tale trattamento risulta caratterizzato dall’utilizzo di complessi sistemi algoritmici in un contesto lavorativo contraddistinto dalla significativa asimmetria dei poteri delle parti del rapporto, tenuto altresì conto della centrale rilevanza del trattamento rispetto alle attività principali del titolare;

c) con riguardo alla durata della violazione, è stata considerata la estesa durata della stessa, considerato, tra l’altro, che la maggior parte dei trattamenti è ancora in atto (in particolare, per i trattamenti indicati nei par. 4.2., , 4.5., 4.6., , 4.8., 4.9., 4.10., 4.12. il trattamento è stato effettuato in violazione della disciplina di protezione dei dati personali per un tempo non determinato, quantomeno dall’accertamento ispettivo del 13 e 14 dicembre 2022; per i trattamenti indicati nel par. 4.1. il trattamento è stato effettuato in violazione della disciplina di protezione dei dati personali per un tempo non determinato, quantomeno dal 3/10/2022, data di invio di un messaggio all’account di S.G.; per i trattamenti indicati nel par. 4.3. il trattamento è stato effettuato in violazione della disciplina di protezione dei dati personali per un tempo non determinato, quantomeno dall’1/08/2022, data di entrata in vigore dell’art. 1-bis del d. lgs. n. 152 del 1997; per i trattamenti relativi alla designazione del rider a responsabile del trattamento, indicati nel par. 4.4., la violazione è stata posta in essere per un tempo non determinato, quantomeno dal 29/04/2022, data indicata nel documento Termini e condizioni consegnato nel corso dell’accertamento ispettivo del 13 e 14 dicembre 2022; per i trattamenti relativi alla designazione a responsabile del trattamento dei sub-responsabili di GlovoApp23 SL (operatori di Comdata e Trizma), indicati nel par. 4.4., la violazione è proseguita fino al 29/02/2024, data in cui la Società ha rappresentato di avere fornito istruzioni agli operatori del call center; per i trattamenti relativi al rating, indicati nel par. 4.5.2., il trattamento è stato effettuato in violazione della disciplina di protezione dei dati personali dall’accertamento ispettivo del 26, 27 luglio 2023 fino al 10/01/2024, data in cui la Società ha eliminato tale valore; per il trattamento relativo ai dati biometrici indicato nel par. 4.7. il trattamento in violazione della disciplina di protezione dei dati è iniziato il 23/11/2020; per i trattamenti indicati nel par. 4.11. il trattamento è stato effettuato in violazione della disciplina di protezione dei dati personali per un tempo non determinato, quantomeno dagli accertamenti ispettivi del 26, 27 luglio 2023);

d) è stato altresì considerato il numero rilevante degli interessati concretamente coinvolti (36.545 rider attivi alla data del 27 dicembre 2022) tenuto altresì conto degli ulteriori interessati potenzialmente coinvolti successivamente alla data del 27 dicembre 2022;

e) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare, sono stati presi in considerazione gli elementi oggettivi della condotta della Società e il grado di responsabilità della stessa che ha violato l’obbligo di diligenza previsto dall’ordinamento e non si è conformata alla disciplina in materia di protezione dei dati, relativamente a una pluralità di disposizioni. In relazione a tale parametro è stato altresì considerato che la Società, nel corso del procedimento, ha rappresentato, per quanto riguarda l’attribuzione di un rating fisso ai rider e la comunicazione di dati a terze parti anche attraverso gli SDK di queste ultime, di non essere stata al corrente dei relativi trattamenti; ciò denota una condotta gravemente colposa, tenuto conto che il trattamento è stato posto in essere con tecnologie particolarmente complesse, in relazione alle quali è necessario attuare attività di verifica e controllo adeguate. Per di più, allo stato, non risultano essere state concretamente implementate specifiche misure a tutela degli interessati (eccetto la cancellazione dell’attribuzione del rating fisso ai rider);

f) come fattore aggravante è stato considerato che la Società è stata destinataria del provvedimento del Garante n. 234 del 2021, a seguito dell’accertamento della violazione degli artt. 5, par. 1, lett. a), c) e e); 13; 22, par. 3; 25; 30, par. 1, lett. a), b), c), f) e g); 32; 35; 37, par. 7; 88 del Regolamento; 114 del Codice. Nonostante tale provvedimento abbia accertato a carico della Società il compimento di precedenti violazioni pertinenti con riferimento al trattamento dei dati dei rider la Società non ha posto in essere alcuna significativa modifica in merito ai trattamenti dei dati dei rider dalla stessa effettuati;

g) come fattore aggravante è stato considerato altresì il livello del pregiudizio subito dagli interessati a causa dei trattamenti effettuati, per lo più attraverso la piattaforma digitale, in assenza delle complessive cautele previste dal sistema di protezione dei dati personali, a fronte dei rischi elevati che presenta l’utilizzo di sistemi tecnologici complessi e altamente invasivi che consentono di valutare e controllare l’operato degli interessati e di adottare decisioni che incidono significativamente sugli interessati, in relazione alla possibilità di ottenere occasioni di lavoro;

h) come fattore attenuante, a favore della Società, si è tenuto conto della disponibilità di quest’ultima, rappresentata all’Autorità nel corso del procedimento, ad apportare e programmare alcune modifiche ai trattamenti effettuati, che seppur limitatamente ad aspetti circoscritti, hanno consentito di limitare le conseguenze negative sui diritti degli interessati relativamente a tali aspetti.

Si ritiene inoltre che assumano rilevanza nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti con riferimento al volume d’affari della Società relativo al periodo d’imposta 2023.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Foodinho s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 5.000.000 (cinque milioni).

In tale quadro si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della tipologia delle violazioni accertate che hanno riguardato i principi generali del trattamento, le condizioni di liceità anche per il trattamento di dati particolari, il diritto di informativa, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, le disposizioni più specifiche in materia di controlli a distanza, nonché il rilevante numero di interessati coinvolti.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) e 83 del Regolamento, rileva l’illiceità del trattamento effettuato da Foodinho s.r.l., in persona del legale rappresentante, con sede legale in Via Giovanni Battista Pirelli, 31, Milano (MI), C.F. 09080990964, nei termini di cui in motivazione, per la violazione degli artt. gli artt. 5, par. 1, lett. a) - anche con riferimento a quanto previsto dall’art. 1-bis del D. Lgs. n. 152 del 1997 -, c) e d) (principi di trasparenza, correttezza, adeguatezza, pertinenza ed esattezza del trattamento), e), 6, 9, par. 2, lett. b), 12, 13, 22, par. 3, 25, 28, 32, 35, 88 del Regolamento, agli artt. 2-septies e 114 del Codice e all’art. 47-quinquies, D. Lgs. n. 81/2015;

ai sensi dell’art. 58, par. 2, lett. f) del Regolamento impone a Foodinho s.r.l. il divieto dell’ulteriore trattamento dei dati biometrici dei rider;

ai sensi dell’art. 58, par. 2, lett. g), del Regolamento ordina a Foodinho s.r.l. di cancellare i dati biometrici dei rider entro 30 giorni dal ricevimento del presente provvedimento;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, prescrive a Foodinho s.r.l. di conformare i propri trattamenti al Regolamento con riferimento:

- alla riformulazione dei messaggi inviati ai rider a seguito della disattivazione e/o blocco nei termini di cui in motivazione entro 60 giorni dalla notifica del presente provvedimento;

- alla corretta predisposizione dei documenti contenenti l’informativa e la valutazione di impatto nei termini di cui in motivazione entro 60 giorni dalla notifica del presente provvedimento;

- alla individuazione dei tempi di conservazione dei dati trattati, nei termini di cui in motivazione entro 60 giorni dalla notifica del presente provvedimento;

- alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, garantendo un’adeguata formazione degli operatori addetti nonché  la possibilità per gli operatori stessi di ignorare, se del caso, l’output del processo algoritmico, per evitare la possibile tendenza a farvi automaticamente affidamento,entro 60 giorni dalla notifica del presente provvedimento;

- alla individuazione di misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici anche al fine di garantire che sia minimizzato il rischio di errori nonché l’utilizzo di dati eccedenti, non aggiornati o inesatti, da avviare entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

- alla individuazione di misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback; tale verifica dovrà essere ripetuta ad ogni modifica dell’algoritmo relativamente all’utilizzo dei feedback per il calcolo del punteggio da avviare entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

- all’adempimento di quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015 con riferimento al divieto di disporre “l'esclusione dalla piattaforma e [la] riduzion[e] delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione”, da avviare entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

- all’applicazione dei principi di minimizzazione e di privacy by design e by default in relazione all’invio a terze parti di dati personali riferiti ai rider , nei termini di cui in motivazione, da avviare entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 120 giorni;

- all’effettuazione di un’analisi puntuale volta a verificare le categorie di dati personali scambiati con terze parti tramite l’utilizzo di SDK o API realizzati da tali ultimi soggetti da avviare entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

- alla verifica, con cadenza almeno semestrale, dell’elenco degli operatori che, con abilitazione all’accesso di tipo cross country, possono accedere ai dati dei rider operanti sul territorio italiano entro 60 giorni dalla notifica del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

- alla disattivazione della localizzazione GPS quando l’app è in background e comunque l’attivazione sul dispositivo del rider di una icona che indichi che il GPS è attivo entro 60 giorni dalla notifica del presente provvedimento;

- alla designazione dei rider ai sensi dell’art. 28 del Regolamento nei termini di cui in motivazione entro 60 giorni dalla notifica del presente provvedimento;

- all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20/5/1970, n. 300, nei termini di cui in motivazione entro 60 giorni dalla notifica del presente provvedimento;

Si richiede a Foodinho s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

 

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Foodinho s.r.l., di pagare la somma di euro 5.000.000 (cinque milioni) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

 

INGIUNGE

quindi di pagare la predetta somma di euro 5.000.000 (cinque milioni) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

 

DISPONE

a) ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

b) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet del Garante;

c) ai sensi dell’art. 17 del Regolamento n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.