The Italian Data Protection Authority has issued an injunction against Deliveroo Italy S.r.l. (Order No. 285 of 22 July 2021), for the unlawful data processing of 8,000 riders.
In addition to prescribing corrective measures to be implemented within a specific timeframe, the Authority also imposed a fine of €2.5 million on the Company.
The measure was issued due to an investigation that began way back on June 19, 2019, from which numerous and serious violations of Italian and European privacy laws, the Workers’ Statute, and recent legislation to protect workers through digital platforms emerged.
The offenses concerned, among other things, the lack of transparency of the algorithms used to manage riders, both as regards the assignment of orders and the booking of work shifts. In particular, the processing of personal data carried out using algorithmic systems involved profiling by the Company aimed at assessing some aspects regarding the individual concerned. In this context, the effect on the data subjects consisted in the possibility of allowing (or denying) access to specific job opportunities and, therefore, an employment opportunity.
This case falls within the scope of Article 22 of the Regulation (EU) 2016/679 on the Protection of Personal Data (from now on also only the “Regulation”), which reads, “The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or significantly affects him or her in a similar way.”
As correctly pointed out in the provision under review, in the present case, the application of Article 22 of the Regulation must be considered in the light of the provisions of paragraph 2, letter a) of the same provision, which excludes the application of the right not to be subjected to a decision based solely on automated processing, including profiling, which produces legal effects or significantly affects the data subject when it appears that the processing is necessary for the performance of a contract entered into between the parties. In this case, however, Article 22(3) of the Regulation requires the data controller to implement appropriate measures to “protect the rights, freedoms and legitimate interests of the data subject, at least the right to obtain human intervention […], to express his or her opinion and to contest the decision”.
Based on the inspections carried out by the Authority, Deliveroo had not adopted such measures.
Therefore, as established by the Authority by its corrective powers, the Company – which as of November 3, 2020 had declared that it would no longer use the shift booking system – will have to provide riders with precise information on the operation of the order assignment system and identify measures to protect the right to obtain human intervention capable of fully assessing and, if necessary, substantially correcting the operation of the system. To limit as much as possible the distorting or discriminatory effects deriving from the use of algorithms, the Company will then have to periodically verify the correctness of the results obtained.
Concerning the legislation provided for by the Workers’ Statute (Law no. 300/1970), the Authority ascertained the violation of art. 4, entitled “Audiovisual equipment and other control instruments,” since the Company carried out a meticulous control of the riders’ working activities, through the continuous geolocation of the device used, well beyond the time necessary to assign the order. The rule violated, however, prescribes that for the use of devices from which may also result in the remote control of the worker, before installation, it is necessary the existence of specific requirements (job security, protection of corporate assets) and, however, the conclusion of a trade union agreement or the authorization of the Inspectorate of Labor.
The Authority has given Deliveroo 60 days to comply with the violations found and a further 90 days to complete work on the algorithms.
****
TRATTAMENTO ILLECITO DEI DATI DEI RIDERS: IL GARANTE SANZIONA DELIVEROO PER 2,5 MILIONI DI EURO
L’Autorità Garante per la protezione dei dati personali ha emesso un’ordinanza ingiunzione nei confronti di Deliveroo Italy S.r.l. (provvedimento n. 285 del 22 luglio 2021), per aver trattato illecitamente i dati di 8.000 riders.
Oltre ad aver prescritto misure correttive da implementare entro tempi determinati, il Garante ha anche comminato alla Società una sanzione di 2,5 milioni di euro.
Il provvedimento è stato emesso all’esito di un’istruttoria iniziata nell’ormai lontano 19 giugno 2019, da cui sono emerse numerose e gravi violazioni della normativa privacy, italiana ed europea, dello Statuto dei lavoratori e della recente normativa a tutela dei lavoratori tramite le piattaforme digitali.
Gli illeciti riguardavano, tra l’altro, la scarsa trasparenza degli algoritmi utilizzati per la gestione dei riders, sia per quanto riguarda l’assegnazione degli ordini, sia per la prenotazione dei turni di lavoro. In particolare, i trattamenti dei dati personali effettuati utilizzando sistemi algoritmici comportavano una profilazione, da parte della Società, volta a valutare determinati aspetti relativi alla persona fisica interessata. In quest’ambito, l’effetto sugli interessati consisteva nella possibilità di consentire (o negare) l’accesso a determinate occasioni di lavoro e, dunque, un’opportunità di impiego.
La fattispecie in questione rientra nell’ambito di applicazione dell’art. 22 del Regolamento (UE) 2016/679 sulla protezione dei dati personali (di seguito anche solo il “Regolamento”), che recita: “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
Come correttamente evidenziato nel provvedimento in commento, nel caso di specie l’applicazione dell’art. 22 del Regolamento deve essere considerata alla luce di quanto previsto al par. 2, lett. a) della disposizione medesima, che esclude l’applicazione del diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo significativo sull’interessato quando risulta che il trattamento è necessario per l’esecuzione di un contratto stipulato tra le parti. In questo caso tuttavia l’art. 22, par. 3, del Regolamento prevede che il titolare del trattamento attui misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano […], di esprimere la propria opinione e di contestare la decisione”.
Sulla base degli accertamenti effettuati dal Garante, Deliveroo non aveva adottato tali misure.
Pertanto, come stabilito dall’Autorità in virtù dei propri poteri correttivi, la Società – che a partire dal 3 novembre 2020 aveva dichiarato di non utilizzare più il sistema di prenotazione dei turni – dovrà fornire ai riders informazioni precise sul funzionamento del sistema di assegnazione degli ordini ed individuare misure per tutelare il diritto di ottenere l’intervento umano in grado di valutare compiutamente e, se del caso, correggere in modo sostanziale il funzionamento del sistema. Onde limitare al massimo gli effetti distorti o discriminatori derivanti dall’utilizzo di algoritmi, la società dovrà poi verificare con cadenza periodica la correttezza dei risultati ottenuti.
Per quanto concerne la normativa prevista dallo Statuto dei lavoratori (L. n. 300/1970), il Garante ha accertato la violazione dell’art. 4, rubricato “Impianti audiovisivi ed altri strumenti di controllo”, posto che la società effettuava un controllo minuzioso dell’attività lavorativa dei riders, attraverso la continua geolocalizzazione del dispositivo utilizzato, ben oltre il tempo necessario per assegnare l’ordine. La norma violata, invece, prescrive che per l’utilizzo di dispositivi dai quali possa derivare anche il controllo a distanza del lavoratore, prima dell’installazione, è necessaria la sussistenza di esigenze determinate (sicurezza del lavoro, tutela del patrimonio aziendale) e, comunque, la stipula di un accordo sindacale o l’autorizzazione dell’Ispettorato del lavoro.
Il Garante ha concesso a Deliveroo 60 giorni di tempo per adeguarsi alle violazioni riscontrate, oltre a 90 giorni ulteriori per completare gli interventi sugli algoritmi.