Foodinho, società italiana di consegna di cibo tramite l’impiego di riders, di proprietà di Glovo, è stata sanzionata per il trattamento illecito dei dati dei propri collaboratori (i riders).

Il provvedimento del Garante chiarisce ancora una volta, qualora ce ne fosse bisogno, che non è possibile affrontare gli adempimenti privacy con un approccio standardizzato, ma è necessario che tutta la documentazione richiesta fotografi i dati reali, senza generalizzazioni o approssimazioni.

La società sanzionata impiega diverse persone in Italia nella consegna di cibo che vengono coordinate tramite l’uso di una piattaforma informatica di proprietà della più nota Glovo, basata su un algoritmo che decide come impiegare i riders, le tipologie di consegna, le distanze da compiere ed una quota della retribuzione legata al punteggio assegnata al rider.

Dalle indagini compiute dal Garante è emerso che:

  • Il documento di informativa era incompleto ed inesatto poiché non venivano indicate le “concrete modalità di trattamento dei dati relativi alla posizione geografica” dei riders;
  • Il Titolare non ha chiarito per quanto tempo vengono mantenuti i dati, ma viene descritto solo un accenno generico;
  • Nell’informativa non era compreso il trattamento di dati automatizzato e l’attività di profilazione, pertanto erano state omesse le “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”;
  • Non era stato indicato il DPO nominato;
  • Non erano state specificate tutte le finalità, ad esempio non era stato spiegato ai riders che i loro dati potevano essere impiegati per finalità di marketing;
  • La società non aveva redatto e mantenuto correttamente i registri di trattamento (art. 30), poiché avevano omesso l’indicazione di alcuni trattamenti e dei tempi di conservazione dei dati;
  • ….

Pertanto il trattamento dei dati dei riders è stato considerato illecito ed il Garante ha ingiunto alla società di conformarsi al GDPR entro 60 gg. ma ha altresì comminato una sanzione amministrativa da 2,6 Milioni di Euro.

Il provvedimento del Garante è disponibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9675440