Il Garante per la protezione dei dati personali ha condannato una società di consegna di cibo a domicilio a una multa di 5 milioni di euro per il trattamento illecito dei dati personali di oltre 35.000 conducenti. Questa decisione è stata presa dopo aver accertato molteplici violazioni del Regolamento (GDPR), inclusa l’assenza di adeguate misure di protezione per l’utilizzo di dati biometrici per la verifica dell’identità e il mancato rispetto del diritto dei conducenti all’intervento umano nel trattamento automatico dei dati.
In particolare, la società in questione ha inviato un messaggio standard non informativo in caso di disattivazione o blocco dell’account senza dare la possibilità di contestare la decisione e chiedere il ripristino dell’account. Inoltre, sono stati rilevati ulteriori trattamenti automatizzati dei dati dei rider, come il sistema di eccellenza che assegna turni di lavoro e l’assegnazione degli ordini all’interno dello stesso turno.
E’ stato evidenziato come l’azienda abbia inviato dati personali dei lavoratori, inclusa la posizione geografica, a società terze senza il necessario consenso dei lavoratori. I dati sulla geolocalizzazione venivano inviati anche quando l’applicazione era in background o non attiva.
La società è stata quindi obbligata a riformulare i messaggi inviati ai conducenti in caso di disattivazione o blocco dell’account e garantire che le decisioni prese dal suo algoritmo siano verificate da personale adeguatamente formato. Dovrà anche evidenziare l’attività del GPS sul dispositivo dei conducenti e disattivarlo quando l’app è in background.
Infine, la società dovrà adottare opportune misure per prevenire l’uso improprio e discriminatorio dei sistemi di reputazione basati sui feedback dei clienti e rispettare il diritto dei lavoratori al controllo a distanza secondo quanto previsto dalla legge.
Questa decisione del Garante è stata presa parallelamente alla pubblicazione della Direttiva UE 2024/2831, che mira a migliorare le condizioni di lavoro tramite piattaforme digitali.