Con la recente ordinanza del 22 luglio 2021 (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9685994), il Garante per la protezione dei dati personali ha ingiunto a Deliveroo Italy S.r.l. di conformare il trattamento dei dati appartenenti ad oltre ottomila riders a quanto disposto dal Regolamento (UE) 2016/679 e di pagare una sanzione amministrativa.
Secondo il Garante, le violazioni poste in essere dalla Società - che svolge, per mezzo di una piattaforma digitale, attività consistente nella consegna di cibo o altri beni forniti da molteplici esercenti, avvalendosi di personale a ciò specificamente dedicato (i c.d. riders) - sarebbero varie.
In primo luogo, la Società non avrebbe rispettato il principio di trasparenza e adeguatezza delle informazioni rese agli interessati.
In particolare, l’informativa inserita nel modello di contratto stipulato con i riders non indicherebbe le concrete modalità di trattamento dei dati relativi alla posizione geografica, conterrebbe indicazioni estremamente generiche sui tempi di conservazione dei dati, e non fornirebbe informazioni significative sulla logica utilizzata, nonché sulle conseguenze del medesimo trattamento (in relazione, in particolare, all’attività di profilazione svolta dalla stessa Società).
Altro principio violato sarebbe quello della limitazione della conservazione dei dati.
La Società, infatti, avrebbe previsto la conservazione per sei anni, successivi alla cessazione del rapporto di lavoro, di diverse tipologie di dati dei riders raccolti per una pluralità di scopi. Anche se, nel caso concreto, tale – ampio - termine non è stato ancora raggiunto (la Società è attiva dall’ottobre 2015), la vasta tipologia di dati sarebbe stata raccolta per un arco considerevole di tempo e, soprattutto, indipendentemente da una specifica valutazione di congruità in relazione alle finalità perseguite.
Di particolare interesse è, poi, l’esame della questione condotto dal Garante sul presupposto della peculiarità delle modalità di svolgimento del rapporto di lavoro dei riders i quali, per poter svolgere l’attività lavorativa, devono necessariamente installare sul proprio dispositivo personale l’applicazione ‘Deliveroo rider’.
Il Garante ha evidenziato che, poiché i trattamenti dei dati riferiti ai rider sono effettuati nell’ambito di un rapporto di lavoro, viene in rilievo l’art. 88 del Regolamento 2016/679, il quale ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle liberà con riguardo al trattamento dei dati personali dei lavoratori. In effetti, il legislatore italiano ha approvato, quale disposizione più specifica, l’art. 114 del Codice in materia di protezione dei dati personali (‘Garanzie in materia di controlli a distanza’) che, tra le condizioni di liceità del trattamento, stabilisce l’osservanza di quanto prescritto dall’art. 4, l. 300/1970.
Dopo aver esposto una ricostruzione della natura del rapporto di lavoro dei riders, richiamando anche pronunce rese dalla giurisprudenza di merito (Tribunale di Palermo n. 3570/2020) e di legittimità (Cass. n. 1663/2020), il Garante ha affermato che, ai trattamenti effettuati da Deliveroo, debba applicarsi anche quanto stabilito dalla disposizione ora richiamata la quale, come è noto, prevede che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro”.
Ciò posto, secondo il Garante, Deliveroo Italy, senza conformarsi a quanto stabilito dalla norma ora richiamata, realizzerebbe un minuzioso controllo sulla prestazione lavorativa svolta dai riders, attraverso la continua geolocalizzazione del dispositivo (effettuata con modalità che andrebbero oltre quanto necessario per assegnare l’ordine, alla luce della rilevazione effettuata ogni 12 secondi e tenuto conto della conservazione di tutti i percorsi effettuati per sei mesi). In particolare, tale minuzioso controllo verrebbe svolto attraverso una pluralità di strumenti tecnologici, quali la piattaforma digitale, l’app e i canali utilizzati dal customer care.
Il Garante ha così condannato la Società al pagamento della somma di due milioni e mezzo a titolo di sanzione amministrativa. Inoltre, entro sessanta giorni dal ricevimento del provvedimento, la Società dovrà individuare, ed applicare, le misure correttive delle violazioni riscontrate.
Non resta che attendere di conoscere le iniziative che verranno intraprese da Deliveroo Italy S.r.l…. o l’opposizione che la Società potrà presentare innanzi all’autorità giudiziaria ordinaria.