Geolocalizzazione via app in ambito lavorativo e decisioni basate integralmente su algoritmi. A voler sintetizzare all’osso, sono queste le coordinate profonde dell’esteso provvedimento sanzionatorio per 2,6 milioni di euro adottato dal Garante per la protezione dei dati personali il 10 giugno scorso. La società destinataria, Foodinho s.r.l., è meglio nota per il marchio “Glovo”, tra i principali nel settore del food delivery. Entrambi i temi non sono nuovi, il primo soprattutto vanta una solida casistica di precedenti, ma qui rileva la loro combinazione in un contesto di spiccata vulnerabilità per gli interessati, i rider. Rileva inoltre il collegamento a una serie di istituti del GDPR che da essi si dirama a raggiera.
Indice degli argomenti
La DPIA obbligatoria
Una di queste diramazioni è l’obbligo di DPIA o valutazione d’impatto. Non si tratta di un automatismo normativo, ma sono necessari alcuni presupposti che l’art. 35 GDPR enuncia succintamente e di cui la Società ha contestato la specifica ricorrenza. Il principale strumento interpretativo sono qui ovviamente le linee guida WP29/EDPB WP 248 rev. 01, che, ai fini dell’innesco dell’adempimento, richiedono la sussistenza di almeno due presupposti di rischio (da una lista di nove). Ne sono poi derivati elenchi nazionali.
Nel caso di Foodinho tale soglia limite può dirsi ampiamente superata. Innanzitutto, vengono trattati dati di geolocalizzazione, che rientrano nella tipologia cd. “altamente personale”, specialmente attenzionata in termini di rischio per l’interessato. Non sono peraltro gli unici: è stato altresì appurato dal Garante un esteso tracciamento di comunicazioni elettroniche dei rider con la società.
Altro parametro che il Garante ha considerato rilevante è l’uso innovativo di una piattaforma informatica, ossia l’uso di nuove soluzioni tecnologiche e organizzative. Questo ci porta a una terza e a una quarta ragione per la DPIA: la presenza di una profilazione con attribuzione di punteggi ai rider e la sussistenza di un processo decisionale interamente automatizzato che incide significativamente sugli interessati.
Per comprendere il passaggio, va ricordato che l’algoritmo di assegnazione delle fasce orarie ai ciclo-fattorini risulta costruito infatti su cinque principali parametri (punteggio fornito dall’utente; dal partner; determinato dalla fornitura di servizi in ore di alta domanda; ordini effettivamente consegnati; produttività della piattaforma), con peso percentuale diverso, che, in base a un meccanismo di funzionamento reso peraltro noto solo in parte, attribuisce preferenze nella scelta dei turni di lavoro per alcuni e dunque penalizzazioni per altri, cfr. anche Tribunale di Palermo, sez. lavoro, sentenza 24 novembre 2020, n. 3570. Impone cioè agli sfavoriti uno svantaggio, ritenuto significativo, ad esito di un’elaborazione computazionale.
Emergono poi altri evidenti ulteriori presupposti: quello soggettivo, ossia la condizione di vulnerabilità degli interessati, e quello volumetrico, applicato ai dati trattati, dunque, se interpretiamo correttamente, la larga scala.
Risulta in definitiva una sovrabbondanza di indici significativi che, anche al netto delle osservazioni della società, di eventuali sovrapposizioni o duplicazioni, rende francamente ineludibile la valutazione d’impatto. Peraltro, la normativa non si basa sull’arida contabilità dei presupposti, ma su una logica più profonda e sostanziale, dunque anche ove la DPIA non fosse in ipotesi necessaria, e non è questo il caso, occorrerebbe comunque procedere all’analisi del rischio per l’interessato, con l’obiettivo di ridurlo.
I controlli sui rider: art. 4 Statuto dei lavori
Ai presupposti enunciati potrebbe peraltro essere aggiunta la realizzazione di un monitoraggio sistematico, tenuto conto delle modalità di geolocalizzazione (rilevazione ogni 15 secondi e conservazione per 10 mesi) e il particolare trattamento delle comunicazioni elettroniche emerso dagli accertamenti. Non a caso, questi elementi di monitoraggio sono stati valorizzati dal Garante anche ai sensi dell’art. 4 dello Statuto dei lavoratori, dunque delle garanzie da osservare in caso di controlli cd. “preterintenzionali”, ossia non voluti in quanto tali, ma comunque derivanti dal perseguimento di “altra finalità lecita”, ad esempio da esigenze organizzative e produttive.
Qui si coglie appunto un secondo, significativo, raggio di diramazione, che collega il GDPR con la disciplina lavoristica. In proposito, il Garante ha contestato una carente analisi della normativa nazionale alla Società, che, dalla lettura del provvedimento, sembrerebbe avere limitato la propria indagine al diritto spagnolo, in coerenza con la sede della capogruppo.
Ora, ai fini del richiamo allo Statuto occorre l’applicabilità ai rider delle tutele in materia di dignità e libertà dei lavoratori. In merito al corretto inquadramento giuslavoristico affiorano le evidenze di un contraddittorio tra società e Garante. Esiste un dato normativo di limpida formulazione rappresentato dall’art. 2 d.lgs. 81/2015, che, com’è noto, fa leva sui tre parametri della prevalenza personale della prestazione, della continuità, della etero-organizzazione per applicare la disciplina del lavoro subordinato. Esiste tuttavia anche una deroga espressa, che la Società valorizza per sottrarsi alla forza gravitazionale di questa disciplina di garanzia: è infatti lo stesso art. 2 citato a indicare, discutibilmente (ma occorre prenderne atto), come recessivo l’assetto citato rispetto a un eventuale specifico CCNL.
Nella specie viene richiamato quello stipulato da Assodelivery e U.G.L. il 15 settembre 2020, oggetto – giova evidenziarlo – di notevoli contrasti e soprattutto a forte dubbio di inidoneità rispetto ai requisiti di una contrattazione collettiva, come pare evincibile dalla circolare 19 novembre 2020 del Ministero del lavoro.
Le tutele minime
Il richiamo al CCNL è in ogni caso inconferente, rispetto al punto che qui rileva, perché non sposta il piano delle tutele minime che sarebbero comunque assicurate dal Capo V-bis del citato decreto legislativo; tale porzione della normativa – rammenta la circolare – riguarda infatti le ipotesi in cui “i rider lavorino in mancanza delle condizioni di subordinazione e dei requisiti previsti dall’articolo 2”, questa del resto è la prevalente lettura della clausola di salvezza che leggiamo in testa all’art. 47-bis del decreto.
Bene, il Capo V-bis fissa livelli basici di tutela, tra i quali spicca il ben noto baluardo dell’art. 47-quinquies, che estende ai ciclo-fattorini la disciplina antidiscriminatoria e quella a tutela della libertà e dignità previste per i lavoratori subordinati. È su quest’ultimo passaggio che si salda il collegamento con lo Statuto e in particolare con l’articolo 4.
L’articolo 4 è per eccellenza uno dei più cospicui punti di intersezione – ma non l’unico – tra la disciplina lavoristica e quella sulla protezione dei dati personali, e la sua violazione determina in quest’ultimo dominio ben precise e gravi conseguenze, in termini di inutilizzabilità delle informazioni, di responsabilità e di sanzioni.
Ne discende, a catena, anche l’estensione ai rider della qualifica di soggetti vulnerabili, ossia, lo abbiamo notato, uno degli indici rilevanti per l’innesco dell’obbligo di DPIA, e in generale uno dei parametri di rischio da considerare quando si svolge una seria analisi. Del resto, pare evidente che la vulnerabilità vada a maggior ragione ravvisata nelle categorie equiparate ai lavori subordinati, se è vero che questa equiparazione trova ragione in una presa d’atto della loro debolezza giuridica e dei pericoli di elusione della tutela, cfr. Cass., sez. lavoro, 24 gennaio 2020, n. 1663.
Rider: decisioni automatizzate senza trasparenza né misure correttive
Una terza diramazione, tutta interna alla disciplina sulla protezione dei dati personali, riguarda il sistema di decisioni automatizzate adottato dalla Società. Diciamo subito che non si pone qui un problema di base giuridica, ossia non è in contestazione la liceità dell’adozione di un sistema siffatto, che la Società ravvisa nell’esecuzione del contratto con i rider. Ad ogni modo gli accertamenti del Garante non sembrano avere riguardato il “test di necessità”, ossia la verifica che rende spendibile la base contrattuale, ma essersi concentrati piuttosto su tre elementi di garanzia, tutti risultati carenti: innanzitutto quello dell’adozione delle misure appropriate correttive previste dall’art. 22, par. 3 GDPR, ossia quantomeno la disponibilità dell’intervento umano, il diritto di esprimere la propria opinione e quello di contestare la decisione.
Sono risultati altresì manchevoli tanto gli obblighi informativi connessi, non avendo reale contezza i rider delle suddette misure, quanto la verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, inclusa la loro eventuale ricalibrazione, il che costituisce, riteniamo, violazione quantomeno degli artt. 5 e 32 GDPR, anche alla luce del cons. 71.
I punti qui toccati rappresentano altrettanti elementi minimi nell’investimento in accountability e conformità normativa. Si coglie in definitiva un vuoto di attenzione e di allocazione di risorse, che ci conduce all’altro filo conduttore del provvedimento in esame, quello che di primo acchito e già a una rapida lettura colpisce maggiormente: le numerose mancanze tanto concettuali (es. coesistenza nel medesimo trattamento delle basi del consenso e dell’interesse legittimo) quanto organizzative emerse nelle verifiche sulla Società.
Un vademecum su come condurre la data protection due diligence
Informative molteplici e tra loro difformi su medesimi trattamenti, o per dirla con il Garante disorganiche, vaghe, imprecise; registri non coordinati con le informative e mancanti di categorie significative di dati; tempi di conservazione caotici e diversamente riportati nei documenti; confusione tra categorie di interessati e categorie di dati personali; omessa notificazione del DPO al Garante: queste sono solo alcune tra le più vistose negligenze catturate dal provvedimento, e sono basiche, vengono cioè prima di questioni altrettanto fondamentali ma certamente più sofisticate, quali l’obbligo di DPIA, gli inquadramenti giuslavoristici o gli strumenti correttivi di garanzia.
Senza esagerare, l’intero provvedimento si presta dunque a essere visto come un manualetto operativo sulla modalità di condurre la data protection due diligence e applicare in concreto l’accountability. Potrebbe addirittura esserne estratta una checklist: hai accertato che il registro sia collegato con le informative? Hai mappato tutte le tipologie di dati riportandole nel registro e nelle informative? Hai indicato gli stessi termini di conservazione in tutti i documenti? Hai collegato i termini di durata non alla tipologia di dato personale ma alla finalità, valorizzando le specificità di ciascuna, anziché operare per “blocchi”? Hai compreso la reazione a catena che il trattamento di certe categorie di dati personali determina? E le conseguenze se gli interessati siano soggetti vulnerabili? Ti sei chiesto chi può vedere cosa oppure sei stato largo e hai permesso che tutti potessero accedere a tutto o comunque a troppo? Sono controlli di base, applicabili a qualsiasi organizzazione di trattamento.
La sensazione è che nella specie si sia lavorato molto su modelli e formulari, perfino costruiti con clausole di stile e riempitivi verbali (vedasi per esempio i rilievi del Garante sull’indicazione dei tempi di conservazione), senza una reale analisi a monte, una mappatura per evitare omissioni, una fotografia del rischio e senza avere cercato la tessitura reciproca dei vari “documenti privacy”. L’imprenditore che ha un modello di business intimamente basato sul trattamento di dati personali non può non considerare l’adeguamento alla normativa di settore come una parte stessa di quel modello. Il provvedimento odierno va preso allora come un monito, non il primo, a integrare effettivamente la privacy nella progettazione della propria attività economica e ad agire in senso profondo: perché gli elementi tangibili, a cui spesso la percezione comune riduce “la privacy”, ad esempio le informative e i registri, non sono che il mero precipitato documentale di elementi intangibili a monte, ossia di scelte, operazioni, progettazione, comprensione dei processi, verifiche normative e applicative, mappature, analisi, tempo dedicato. Questi elementi intangibili costituiscono il cuore stesso della compliance e ciò su cui si deve realmente investire.
Conclusioni
L’ordinanza-ingiunzione in esame ci racconta una volta di più quanto stiano diventando o siano già strettamente interconnessi il diritto alla protezione dei dati personali e il diritto al lavoro. Ciò è del resto autoevidente in un contesto in cui l’attività lavorativa passa attraverso piattaforme digitali e si misura con strumenti di tracciatura, funzionali, probabilmente, all’assolvimento della prestazione ma altresì idonei a porre in essere forme inedite di controllo e più in generale ad accentuare il disequilibrio nei rapporti, anche già solo in termini di opacità informativa. Per questo, la vicenda che ci occupa ha il sapore di un case study o quantomeno di una finestra affacciata sull’attualità.
Soprattutto, credo ne emerga la portata concreta della normativa sulla protezione dei dati personali, quella costruzione di un guscio giuridico attorno alla fragilità dell’elemento umano che è così decisivo in un contesto di automazione digitale. Vale la pena evidenziarlo oggi che si moltiplicano voci, anche di provenienza istituzionale, tendenti a ridurre la “privacy” a un fastidioso orpello burocratico: evidentemente non si è compreso, o in altri casi si è compreso fin troppo bene, che il controllo dei dati personali è la chiave del presente.
