Sanzione privacy contro una società di food delivery per algoritmi discriminatori verso i rider

Il Garante privacy ha comminato una sanzione di € 2,6 milioni ad una nota società di food delivery per algoritmi discriminatori verso i rider.
Con un recente provvedimento, il Garante privacy ha comminato ad una nota società di food delivery una sanzione di 2,6 milioni di euro, obbligandola anche a modificare il trattamento dei dati dei propri rider, effettuato tramite l’utilizzo di una piattaforma digitale, e a verificare che gli algoritmi di prenotazione e assegnazione degli ordini di cibo e prodotti non siano discriminatori.

La complessa attività istruttoria del Garante, innestata in un primo ciclo ispettivo avete ad oggetto le principali piattaforme di food delivery operanti in Italia, ha evidenziato numerose violazioni dello Statuto dei lavoratori, della normativa applicabile in materia di protezione dei dati personali nonché del quadro normativo a tutela di dei lavoratori della c.d. gig economy (i.e., L. n. 128/2019, di conversione del D.L. n. 101/2019, che ha inserito il capo V-bis rubricato “Tutela del lavoro tramite piattaforme digitali” nel D.Lgs. n. 81/2015, nonché il nuovo periodo nell’art. 2, comma 1, D.Lgs. n. 81/2015, che fa riferimento alle “modalità di esecuzione della prestazione […] organizzate mediante piattaforme anche digitali”).

In seno all’attività istruttoria avente ad oggetto la piattaforma digitale della capogruppo, inoltre, il Garante privacy ha per la prima volta attivato un’operazione coordinata con il Garante spagnolo (AEPD) nell’ambito del meccanismo di cooperazione tra autorità di controllo europee sancito dall’art. 60 del GDPR.

Tra le pratiche in violazione della normativa privacy più gravi riscontrate dal Garante risalta l’implementazione di algoritmi decisionali non chiari e potenzialmente discriminatori per la gestione dei rider. Dall’attività di accertamento è infatti emerso che la società effettua, attraverso il sistema complessivamente utilizzato per l’operatività della piattaforma, trattamenti automatizzati, compresa la profilazione, nell’ambito del c.d. “sistema d’eccellenza” che attribuisce a ciascun rider, attraverso l’operatività di specifici e predeterminati parametri, un punteggio che consente di accedere prioritariamente al “sistema di selezione delle fasce orarie (slots)” stabilite dalla società. Il “sistema di eccellenza” si baserebbe su un sistema che penalizza i rider che non accettano tempestivamente l’ordine o lo rifiutano favorendo invece i rider che accettano nei termini stabiliti o consegnano il maggior numero di ordini (il punteggio prende in considerazione gli ordini effettivamente consegnati, l’effettuazione del check-in all’interno dello slot prenotato pochi minuti dopo l’inizio della fascia oraria, l’accettazione entro 30 secondi dell’ordine assegnato). Il funzionamento dell’algoritmo, tuttavia, amplifica il rischio di bias, errori di calcolo e di effetti distorsivi che potrebbero, ad esempio, portare alla limitazione delle consegne assegnate a ciascun rider o all’esclusione di uno o più lavoratori dalla piattaforma.

Il Garante ha contestato poi alla società di non aver adeguatamente informato i rider circa funzionamento del sistema e di non aver adottato misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, la esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale, compresi il sistema di punteggio e il sistema di assegnazione degli ordini. In tal senso, il tema della trasparenza algoritmica è stato recentemente affrontato dalla Corte di Cassazione in una pronuncia sulle piattaforme online di rating.

Nelle lettere del provvedimento, considerato che nel caso concreto risulta applicabile l’esenzione di cui all’articolo 22, comma 2, lett a) del GDPR rispetto al diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, tuttavia, non risulta che la società abbia provveduto ad attuare misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione”. Diversamente da quanto sostenuto dalla società, a giudizio del Garante non vi è evidenza alcuna della adozione di misure relative all’esercizio dei diritti attraverso l’attivazione di canali dedicati. Né risulta che gli interessati fossero in alcun modo consapevoli della possibilità di esercitare tali diritti nei confronti delle decisioni adottate mediante l’utilizzo della piattaforma.

Il Garante ha pertanto prescritto alla società di individuare misure per tutelare i diritti e le libertà dei rider a fronte di decisioni automatizzate, compresa la profilazione.

Inoltre, ha imposto alla società di verificare l’esattezza e la pertinenza dei dati utilizzati dal sistema ed i relativi periodi di conservazione nel rispetto del principio di minimizzazione dei dati (chat, email e telefonate intercorse tra i rider e il customer care, geolocalizzazione ogni 15 secondi e visualizzazione su mappa del percorso, tempi di consegna stimati ed effettivi, dettagli sulla gestione dell’ordine in corso e di quelli già effettuati, feedback di clienti e partner, livello della batteria rimanente del dispositivo etc.).

Il Garante privacy ha concesso alla società 60 giorni di tempo per implementare le misure correttive pertinenti alle criticità rilevate e ulteriori 90 giorni per perfezionare gli interventi richiesti sugli algoritmi reputazionali basati sul feedback di clienti e partner commerciali, oltre a comminare la sanzione sopra indicata.

Su un simile argomento può essere interessante l’articolo “Il consenso privacy non è valido se non è possibile comprendere le modalità di trattamento dei dati tramite un algoritmo”.