Il Garante per la protezione ha emesso una sanzione di € 2,5 milioni contro una società di food delivery per le violazioni della normativa privacy derivanti dal trattamento dei dati dei propri rider.
Il Garante privacy ha contestato alla società di food delivery, tra gli altri, le seguenti violazioni
- carenze relative all’informativa privacy fornita ai rider con riferimento all’indicazione delle concrete modalità di trattamento dei dati relativi alla posizione geografica dei rider;
- carenze circa l’indicazione dei termini di conservazione e in particolare, rispetto alla determinazione del termine, ha contestato l’assenza di una valutazione di congruità del termine di conservazione;
- carenze nella illustrazione delle logiche con cui funziona l’algoritmo tramite il quale opera l’App di gestione dei rider e nell’adozione di misure volte a garantire l’accuratezza dei risultati algoritmici. In tale contesto è stata anche contestata la conformità con l’articolo 4 dello Statuto dei Lavoratori richiamato dal Codice Privacy circa l’assenza di garanzie a tutela dei lavoratori, la mancata esecuzione di una DPIA, l’accesso eccessivo ai dati dei rider da parte degli operatori; e
- carenza di informazioni nel registro dei trattamenti e di data di adozione, di data dell’ultimo aggiornamento e di sottoscrizione.
Si tratta della seconda sanzione di importo elevato emessa dal Garante privacy nei confronti di una società di food delivery. Le contestazioni sopra indicate presentano delle aree grigie in relazione al livello di compliance richiesto dal Garante.
A ciò si aggiunga che l’ispezione presso la società è avvenuta nel 2019, ma il procedimento è durato fino ad oggi. Questo termine è ben oltre la durata massima dei procedimenti amministrativi e sarà decisamente un argomento che la società farà valere in un eventuale ricorso.
Infine, mancano delle indicazioni chiare sui criteri di calcolo della sanzione di € 2,5 milioni. Se il procedimento davanti al Garante può durare 3 anni e le aziende non hanno criteri chiari di calcolo della sanzione, non è chiaro come le aziende possano determinare una eventuale riserva di bilancio, le informazioni da dare agli investitori e la propria strategia e rischio aziendale.
Su di un simile argomento, è possibile leggere l’articolo “Prima sanzione GDPR per dati conservati in cloud dopo la sentenza Schrems II”.