Multa da 5 milioni: GPDP sanziona società per uso illecito di dati

Con la newsletter del 22 novembre 2024, il Garante per la protezione dei dati personali (GPDP) rende noto di aver ordinato una sanzione di 5 milioni di euro a una società per il trattamento illecito dei dati personali di oltre 35.000 rider tramite una piattaforma digitale.

Il provvedimento adottato dall’Autorità ha imposto l’adozione di nuove prescrizioni e ha vietato l’utilizzo dei dati biometrici per verificare l’identità dei lavoratori.

Attività istruttoria

L’indagine è stata avviata dal Garante a seguito di notizie di stampa relative alla disattivazione dell’account di un rider deceduto in un incidente stradale durante una consegna nel 2022, oltre che sulla base della segnalazione di un gruppo di esperti informatici. L’istruttoria ha fatto emergere gravi violazioni del Regolamento generale sulla protezione dei dati, nonostante la società fosse già stata sanzionata nel 2021.

Le attività ispettive, svolte in collaborazione con il Nucleo Speciale della Guardia di Finanza, hanno rivelato che la piattaforma inviava automaticamente un unico messaggio standard in caso di disattivazione o blocco dell’account, senza fornire ai rider informazioni sulla possibilità di contestare la decisione o richiedere il ripristino dell’account.

Dall’accesso diretto ai sistemi, è stato inoltre accertato che la società effettuava trattamenti automatizzati dei dati personali dei rider senza adottare le misure previste dal GDPR, violando il diritto dei lavoratori di ottenere l’intervento umano, di esprimere la propria opinione e di contestare decisioni algoritmiche. Tra i trattamenti automatizzati rilevati figuravano:

• il sistema di “eccellenza”, che assegna un punteggio ai rider per consentire loro di prenotare turni di lavoro con priorità;
• il sistema di assegnazione degli ordini durante i turni.

È emerso, inoltre, che la società trasmetteva, senza consenso, i dati personali e di geolocalizzazione dei rider anche al di fuori dell’orario di lavoro, compreso quando l’app era in background o inattiva. I dati venivano poi condivisi con terze parti.

Provvedimento del Garante

Con il provvedimento del 13 novembre 2024, il Garante ha accertato gravi illeciti nel trattamento dei dati personali dei rider e ha imposto misure correttive, oltre alla sanzione di 5 milioni di euro, da versare entro 30 giorni. Il provvedimento, reso pubblico per garantire trasparenza e consapevolezza, prevede anche la possibilità di ulteriori sanzioni in caso di mancata conformità.

La società dovrà:

• riformulare i messaggi inviati ai rider in caso di blocco o disattivazione dell’account, garantendo maggiore chiarezza e correttezza;
• verificare le decisioni algoritmiche tramite operatori adeguatamente formati;
• implementare un sistema che notifichi, tramite un’icona, l’attivazione del GPS, disattivandolo automaticamente quando l’app è in background;
• adottare misure per prevenire l’uso improprio o discriminatorio dei sistemi di valutazione basati sui feedback dei clienti.

Infine, il Garante ha ordinato alla società di adeguare il trattamento dei dati ai principi di trasparenza, minimizzazione e accuratezza, assicurando la tutela dei diritti dei lavoratori e la conformità alle normative sui controlli a distanza.