Il Garante Privacy a tutela dei “rider”: quanto cose ci insegna la sanzione milionaria irrogata a Foodinho?
A prima vista, potrebbe sembrare una delle usuali sanzioni irrogate dal Garante Privacy negli ultimi tempi. In realtà l’ordinanza di ingiunzione del Garante Privacy emessa lo scorso 10 giugno nei confronti di Foodinho costituisce un’importante opportunità per ripercorre, in meno di 50 pagine, i principi fondamentali previsti dal GDPR e dalla normativa privacy vigente in materia di trattamento dei dati dei dipendenti (e non solo).
Difatti, l’attività ispettiva del Garante Privacy - svolta in collaborazione con l’Agencia Española de Protección de Datos (AEPD) nel rispetto della procedura, ancora non del tutto conclusa, di cooperazione e assistenza reciproca prevista dal GDPR - ha avuto ad oggetto i trattamenti dei dati di circa 18 mila rider di Foodinho effettuati nel contesto di nuove tecnologie innovative basate (anche) su algoritmi automatizzati.
Emergono nel provvedimento interessanti spunti circa il rispetto dei principi fondamentali del trattamento e dei principi di privacy by design e by default, l’adozione di idonee misure di sicurezza e la predisposizione di una DPIA nel contesto di trattamenti e processi decisionali automatizzati, la corretta tenuta di un Registro del trattamento e l’individuazione dei tempi di conservazione dei dati.
Riteniamo quindi utile riassumere schematicamente qui di seguito le innumerevoli condotte illecite e infrazioni accertate nel provvedimento del Garante, riportando altresì i passaggi più rilevanti del medesimo.
***
1. Condotta illecita: i rider non sono stati correttamente informati in merito alle concrete modalità di trattamento dei dati relativi alla loro posizione geografica, né tantomeno circa la tipologia di tutti i dati raccolti da Foodinho (ivi incluse le comunicazioni via chat/e-mail/telefono e le valutazioni espresse dai clienti).
Violazione accertata: mancato rispetto dei principi di trasparenza e correttezza del trattamento [art. 5.1, lett. a) GDPR].
Secondo il Garante: “Non rileva che i rider fossero semplicemente consapevoli dell’attività di geolocalizzazione in quanto vedono loro stessi il percorso suggerito sulla mappa dell’applicazione. Evidente è la differenza tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato”.
2. Condotta illecita: la società non ha fornito ai rider specifiche indicazioni in merito ai tempi di conservazione di tutti i loro dati personali; inoltre, alcuni dati di geolocalizzazione venivano conservati dalla società per periodi di tempo non congrui rispetto alle finalità.
Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. a) GDPR], mancato rispetto del principio di limitazione della conservazione dei dati [art. 5.1, lett. e) GDPR].
Secondo il Garante: “La società ha omesso di individuare distinti tempi di conservazione dei dati riferiti ai rider oggetto di trattamento in relazione alle distinte e specifiche finalità perseguite”.
3. Condotta illecita: la società non ha comunicato ai rider che i loro dati personali avrebbero potuto essere oggetto di trattamenti automatizzati, compresa l’attività di profilazione, preordinati all’assegnazione di un punteggio.
Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. f) GDPR].
4. Condotta illecita: i sistemi informatici della società sono stati configurati in modo tale da consentire l’accesso ad un numero indiscriminato di dati personali dei rider non necessari per le finalità del trattamento, senza l’indicazione di uno specifico criterio d’accesso.
Violazione accertata: mancato rispetto del principio di minimizzazione dei dati
[art. 5.1, lett. c) GDPR], mancato rispetto dei principi di privacy by design e by default [art. 25 GDPR], mancata adozione delle misure di sicurezza [art. 32 GDPR].
Secondo il Garante: “La possibilità di accesso di default ad un numero rilevante di dati personali da parte peraltro di un numero significativo di addetti alla gestione dei sistemi con ampia gamma di mansioni relative all’operatività dei rider, non consente di assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”.
5. Condotta illecita: la società non ha effettuato una valutazione di impatto sulla protezione dei dati nonostante l’utilizzo di tecnologie (e., una piattaforma digitale) innovative per il trattamento dei dati personali dei rider per finalità di profilazione che si basano su funzioni algoritmiche (cfr. anche successivo punto 9).
Violazione accertata: mancata predisposizione di una obbligatoria valutazione d’impatto sulla protezione dei dati [art. 35 GDPR].
Secondo il Garante: “L’utilizzo innovativo di una piattaforma digitale, della raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”.
6. Condotta illecita: la società non ha rispettato quanto previsto dall’art. 4 dello Statuto dei Lavoratori nonostante effettui, attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, l’app e i canali utilizzati dal customer care), trattamenti di dati personali che consentono un’attività di minuzioso controllo sulla prestazione lavorativa svolta dai rider.
Violazione accertata: mancato rispetto del principio di liceità del trattamento [art. 5.1, lett. a) GDPR], mancato rispetto dell’art. 4 della L. 300/1970.
Secondo il Garante: “Si rileva che la società effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider attraverso la geolocalizzazione del dispositivo effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine in ragione della distanza del rider dal punto di ritiro e di consegna”.
“Diversamente da quanto sostenuto dalla società, la scelta del rider in merito al se e quando effettuare la prestazione non è senza conseguenze nell’ambito del rapporto di lavoro e pertanto non può definirsi “libera”.
7. Condotta illecita: mancata indicazione nel Registro del trattamento di informazioni complete ed aggiornate in merito a tutti i trattamenti di dati personali effettuati dalla società, dei termini di conservazione dei dati e delle misure di sicurezza adottate.
Violazione accertata: tenuta di un registro del trattamento incompleto [art. 30 GDPR].
8. Condotta illecita: non sono stati pubblicati e comunicati al Garante Privacy i dati di contatto del DPO nominato a livello di gruppo.
Violazione accertata: mancata pubblicazione e comunicazione dei dati del DPO [art. 37.7 GDPR].
Secondo il Garante: “Nel caso in cui il DPO venga nominato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente”.
9. Condotta illecita: sono stati posti in essere trattamenti automatizzati dei dati personali dei rider tali da incidere sulla loro possibilità di scegliere se e quando svolgere l’attività lavorativa e contestualmente non sono state adottate misure idonee per consentire ai rider l’esercizio dei loro diritti attraverso canali dedicati.
È importante notare che il Garante Privacy ha focalizzato la sua attenzione sulle conseguenze negative che l’utilizzo di algoritmi simili a quelli utilizzati dalla società può comportare per i rider, arrivando ad affermare che la scelta del rider in merito al se e quando effettuare la prestazione lavorativa non è senza conseguenze nell’ambito del rapporto di lavoro e che tale prestazione, pertanto, non può definirsi “libera”.
L’assegnazione degli ordini dei clienti è infatti gestita direttamente dalla società tramite un algoritmo che individua il rider sulla base di una pluralità di parametri (vicinanza al luogo di consegna, carica della batteria del cellulare, ecc.) e premia i rider con il maggior numero di ordini accettati e consegnati.
Violazione accertata: mancata adozione delle misure previste dall’art. 22.3 GDPR [art. 22.3 GDPR].
Secondo il Garante: “Attraverso il punteggio la società valuta pertanto l’operato del rider e produce, in tal modo, un effetto significativo sulla sua persona proponendo o negando l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto”.
“Dall’esame del meccanismo di assegnazione del punteggio emerge, quindi, da un lato che la società effettua una attività di profilazione che incide in modo significativo sugli interessati determinando – mediante l’accesso agli slot - la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere una opportunità di impiego”.
“Si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015”.
Facebook ancora nel mirino dell’AGCM: una sanzione pecuniaria può essere la soluzione?
Il 17 febbraio 2021 l’Autorità garante della concorrenza e del mercato (“AGCM”) ha irrogato una sanzione pari a 7 milioni di euro nei confronti di Facebook Ireland e della sua controllante Facebook Inc. per non aver ottemperato ad un precedente provvedimento, sempre dell’AGCM, del 29 novembre 2018 in virtù del quale la società di Menlo Park era già stata condannata al pagamento di una sanzione pecuniaria da 5 milioni di euro per non aver informato i propri utenti che i loro dati personali sarebbero stati utilizzati per scopi commerciali.
Tale ulteriore provvedimento, che non rappresenta altro che “la sanzione della sanzione”, ci induce necessariamente a riflettere sulla reale forza coercitiva delle sanzioni pecuniarie emesse dall’AGCM, oltre che sulla scelta di quest’ultima di insistere con sanzioni analoghe a quelle già emesse nel 2018 nonostante l’accertata inosservanza – e quindi inefficacia - delle stesse (di questo argomento ne avevamo già parlato in un nostro precedente articolo, disponibile qui).
Che forse sia quindi giunto il momento di riadattare il contenuto e la portata dei provvedimenti sanzionatori a tutela del mercato e della libera concorrenza, specialmente quando rivolti ai giganti del web? Si potrebbe, ad esempio, ipotizzare un provvedimento dell’Autorità che blocchi temporaneamente i servizi online offerti sino a quando la società non regolarizzi la propria posizione? O alla rimozione temporanea di un’applicazione dall’App/Play Store con conseguente impossibilità, per la società, di acquisire nuovi utenti? O, ancora, a sanzioni pecuniarie proporzionate al fatturato totale annuo di una società o del suo gruppo (in stile, “GDPR”)?
Ad avviso di chi scrive, una soluzione concreta non può che risiedere nel corretto bilanciamento degli interessi in gioco: da un lato, quelli privati delle multinazionali che tramite i loro social network acquisiscono una enorme quantità di dati personali (e, quindi, di “denaro”); dall’altro, quelli degli utenti del web che utilizzano quotidianamente le principali piattaforme social, spesso non solo per “svago” ma anche per ragioni professionali e di business.
Stampanti e oggetti intelligenti: amici o nemici?
Il 9 Dicembre 2020 l’Autorità Garante della concorrenza e del mercato, tra le altre cose, ha irrogato una sanzione pari complessivamente alla somma di 10 milioni di euro nei confronti delle società HP Inc e HP Italy S.r.l. (di seguito “HP) per due differenti pratiche commerciali relative alle stampanti a marchio HP ritenute scorrette. Per il testo integrale del provvedimento si veda il seguente link https://www.agcm.it/dotcmsdoc/allegati-news/PS11144_chiusura.
In primo luogo, l’Autorità ha sanzionato le società in questione per non aver correttamente informato i clienti della installazione nelle stampanti di un software che permetteva di stampare solo con toner e cartucce HP, mentre non consentiva la stampa in caso di utilizzo di ricariche non originali.
La seconda condotta ritenuta sanzionabile dall’AGCM consisteva invece nella registrazione, tramite firmware presenti sulle stampanti HP e all’insaputa dei consumatori, dei dati relativi alle specifiche cartucce utilizzate (originali e non): tali dati venivano utilizzati sia per creare un database utile per formulare le proprie strategie commerciali, sia per negare l’assistenza per le stampanti che avessero utilizzato cartucce non originali, ostacolando così lo sfruttamento della garanzia legale di conformità.
Proprio con riferimento a quest’ultimo comportamento, è interessante notare come si tratti di un caso di uso distorto del c.d. “Internet of Things”. Con questa espressione si intende infatti “la rete di oggetti fisici contenenti tecnologia incorporata per comunicare e rilevare o interagire con i loro stati interni o l’ambiente esterno.” (Gartner).
Sebbene nel caso in esame la tecnologia utilizzata da HP si limiti ad una raccolta delle sole informazioni relative all’utilizzo delle stampanti, è chiaro però che la diffusione di oggetti in grado di registrare e trasmettere dati riguardo ai nostri comportamenti quotidiani potrebbe assumere risvolti inquietanti. La preoccupazione nasce non solo dall’eventualità che la raccolta di dati avvenga a nostra insaputa, ma anche e soprattutto dagli utilizzi e dagli scopi che spingono le aziende ad acquisire tali dati.
Naturalmente, non possono di certo ignorarsi i risvolti positivi che un flusso costante di informazioni da parte degli oggetti potrebbe fornire, ad esempio, dal punto di vista dell’efficienza e miglioramento delle catene produttive, nonché dei sistemi di sicurezza per i cittadini (si pensi ai “semafori intelligenti”). Tuttavia, casi come quello preso in esame dall’AGCM ci inducono a riflettere sull’eventualità che queste tecnologie possano limitare eccessivamente i diritti dei consumatori.
Dal caso in esame è dunque possibile trarre alcuni insegnamenti e riflessioni e cioè che innanzitutto, prima di procedere con l’acquisto, è certamente consigliabile acquisire il maggior numero di informazioni possibili sulla tipologia di sensori e rilevatori eventualmente incorporati negli oggetti che intendiamo comprare e soprattutto appurare quale sarà l’utilizzo dei dati acquisiti da tali dispositivi.
In seconda battuta, è certamente opportuno domandarsi entro quali limiti l’utilizzo di tali dispositivi “intelligenti” possa favorire l’innovazione e il miglioramento della società e quando, invece, vada a ledere e comprimere i diritti dei consumatori, intesi sia come diritti ad essere informati sia come i diritti basilari riconosciuti a seguito di un acquisto di un prodotto (si pensi alle limitazioni all’esercizio della garanzia legale di cui si è detto sopra).
iPhone: né a prova d’acqua, né a prova di AGCM
IL CASO
Il 30 novembre 2020 l’Autorità garante della concorrenza e del mercato (AGCM) ha sanzionato per 10 milioni di euro le società Apple Distribution International e Apple Italia S.r.l. (di seguito “Apple”) per aver diffuso messaggi promozionali tramite i quali si esaltava la resistenza all’acqua di diversi modelli di iPhone, omettendo tuttavia di specificare che detta proprietà risultava vera solamente in presenza di particolari circostanze non corrispondenti alle normali condizioni d’uso da parte dei consumatori (pratica commerciale cd. “ingannevole[1]”).
Inoltre, tali messaggi promozionali risultavano contraddittori a causa della contestuale presenza del seguente disclaimer “La garanzia non copre i danni provocati da liquidi”. Di fatto, nella fase post-vendita veniva negata da Apple la riparazione degli iPhone danneggiati a causa dell’introduzione di acqua o di altri liquidi, ostacolando quindi l’esercizio del diritto di garanzia riconosciuto dal Codice del Consumo (pratica commerciale cd. “aggressiva[2]”).
QUALI CONSEGUENZE SULL’IMPRESA SANZIONATA
La presente vicenda ci consente di focalizzare l’attenzione sulle conseguenze che derivano in capo all’impresa destinataria di un provvedimento di un’autorità (nel caso in esame, l’AGCM).
Innanzitutto, tale provvedimento non può che avere ripercussioni sull’assai complesso rapporto di fiducia che si viene ad instaurare tra impresa e consumatori.
È noto infatti che il marchio d’impresa suggerisce al consumatore, proprio all’atto d’acquisto, che il prodotto contraddistinto da detto segno origina da tale azienda.
Fra il consumatore e l’impresa si viene dunque a costruire un rapporto di tipo psicologico ed emotivo che in quanto tale è facilmente condizionabile da circostanze esterne.
Ed è esattamente in questo delicato contesto che si inserisce il provvedimento sanzionatorio dell’AGCM nei confronti di Apple, giacché esso rende vulnerabili propri i presupposti di tale relazione, vale a dire fiducia ed affidabilità.
Non bisogna infatti dimenticare che la base di tale relazione è di tipo mnemonico e cioè si fonda sul ricordo (positivo) che il consumatore richiama e conserva rispetto ad un’azienda ed ai suoi prodotti e servizi. Il provvedimento sanzionatorio dell’autorità colpisce precisamente tale ricordo in quanto, tra le altre cose, si propone di mettere in guardia il consumatore per il futuro.
È facile infatti immaginare che oggigiorno la notizia di tale provvedimento venga diffusa rapidamente tramite i social network e raggiunga dunque una considerevole fetta dei clienti dell’impresa punita. Su questo punto è certamente condivisibile la scelta dell’AGCM di obbligare Apple ad altresì pubblicare il provvedimento nella sezione del proprio sito web dedicata alla vendita degli iPhone, sotto la dicitura “Informazioni a tutela del consumatore”.
Questo ha per l’impresa venditrice effetti più gravi rispetto ad una sanzione economica poiché lede la sua immagine e suggerisce al consumatore di prestare maggiore attenzione qualora intenda acquistare ulteriori prodotti provenienti dall’azienda colpita dal provvedimento.
Tutto questo si traduce per l’azienda in ulteriori costi “invisibili” e cioè costi che la stessa azienda dovrà sostenere nei mesi successivi al fine di ricostruire il rapporto di fiducia/affidabilità con il proprio cliente (cd. “pubblicità ricostruttiva”). Senza qui voler dimenticare le attività correttive (e relativi costi) che, a seguito del monito ricevuto dall’Autorità, l’azienda sanzionata dovrà porre in essere in relazione ai prodotti già presenti sul mercato o in procinto di esserlo.
Sotto diverso profilo, il provvedimento dell’AGCM è anche portatore di una sanzione pecuniaria.
Nel caso in esame, la sanzione irrogata, pur costituendo il massimo edittale previsto dalla normativa vigente, rappresenta tuttavia meno del 5% del fatturato globale realizzato dal gruppo Apple nell’esercizio concluso a settembre 2019, pari a circa 231,57 miliardi di euro.
Ci si domanda quindi se tale sanzione possa avere un concreto effetto deterrente.
La risposta non può che essere negativa. Bisogna però soffermarsi su un diverso aspetto e cioè sul criterio di determinazione del quantum della sanzione pecuniaria.
Se l’asserita resistenza all’acqua degli Iphone fosse stata la ragione unica che ha determinato il consumatore ad acquistare un prodotto Apple piuttosto che di un rivale, sarebbe corretta una sanzione di soli 10 milioni di euro?
Evidentemente no ed infatti in tale specifico caso bisognerebbe tenere in considerazione l’intero costo di un iPhone (circa 1.000 euro) e applicare perlomeno una percentuale a titolo di sanzione sul fatturato generato dalla vendita (scorretta) dello stesso nel territorio in cui opera l’autorità competente.
Ne deriva che un criterio predeterminato di quantificazione di una sanzione – qual è quello previsto dal Codice del Consumo per le pratiche scorrette - è di per sé insufficiente a valutare tutte le circostanze del caso e di conseguenza a punire appropriatamente una condotta commercialmente scorretta di un’impresa.
CONSIDERAZIONI FINALI
La sensazione è che le imprese, specie quelle con fatturati da capogiro, stiano sottovalutando l’importanza di mantenere una maggiore trasparenza nei confronti del mercato, forse nell’errata convinzione che talune pratiche passino inosservate. In realtà, come visto, esse hanno conseguenze piuttosto negative sul rapporto con la propria clientela. Peraltro, in settori dove la concorrenza è agguerrita, il rischio che il cliente scelga il concorrente è sempre dietro l’angolo.
La disciplina sanzionatoria potrebbe quindi non essere sufficientemente severa da sortire gli effetti deterrenti sperati. Certo è che ad essere penalizzato è lo stesso consumatore che non riceve una tutela e protezione adeguata.
E’ ragionevole quindi domandarsi l’utilità di forme sanzionatorie diverse da quelle pecuniarie perché vi sia una concreta tutela degli interessi del consumatore.
Potrebbe dunque essere opportuno valutare l’introduzione di diverse misure restrittive (che abbiano anche una portata pratica e che siano proporzionate alle quote di mercato detenute dall’azienda) nei confronti delle aziende responsabili di porre in essere pratiche commerciali scorrette.
[1] Le pratiche scorrette si definiscono ingannevoli quando rappresentano elementi e/o caratteristiche di un prodotto non corrispondenti al vero.
[2] Le pratiche scorrette si definiscono aggressive quando consistono in molestie, coercizioni o altre forme di indebito condizionamento psicologico dei consumatori.