g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. - 22 luglio 2021 [9685994]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 2 AGOSTO 2021

- VEDI ANCHE PROVVEDIMENTO DEL 16 SETTEMBRE 2021

 

[doc. web n. 9685994]

Ordinanza ingiunzione nei confronti di Deliveroo Italy s.r.l. - 22 luglio 2021

Registro dei provvedimenti
n. 285 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli accertamenti ispettivi effettuati dall’Autorità presso la sede legale di Deliveroo Italy s.r.l. in data 19 e 20 giugno 2019;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività ispettiva nei confronti della società.

1.1. Nell’ambito di una complessa istruttoria avviata d’ufficio dall’Autorità, in data 19 e 20 giugno 2019 è stato effettuato un accertamento in loco presso Deliveroo Italy s.r.l. (di seguito, la società), con sede legale in Italia, che svolge, per mezzo di una piattaforma digitale, attività consistente nella consegna, a seguito degli ordini effettuati dai clienti, di cibo o altri beni forniti da molteplici esercenti, avvalendosi di personale a ciò specificamente dedicato (c.d. rider).

L’attività di controllo dell’Autorità e il presente provvedimento riguardano i trattamenti dei dati personali dei rider.

In sede di accertamento, al quale hanno presenziato anche il rappresentante della capogruppo Roofoods LTD (società che controlla al 100% Deliveroo Italy s.r.l.) e il DPO di gruppo, e nel corso del quale sono stati effettuati accessi diretti ai sistemi informatici, è stato dichiarato che:

a. “la società utilizza un sistema centralizzato e gestito esclusivamente da Roofoods, sito nel datacenter in Irlanda” (v. verbale di operazioni compiute 19.6.2019, p. 3);

b. “i riders hanno con la società un contratto di collaborazione […]. Al momento i riders contrattualizzati in Italia sono circa 8.000” (v. verbale cit., p. 4);

c. “dopo la sottoscrizione del contratto di collaborazione, la società fornisce al rider il codice per l’accesso all’app «Deliveroo riders» [che] il collaboratore deve installare su un proprio dispositivo mobile, associandolo al proprio numero di telefono o alla propria email” (v. verbale cit., p. 4);

d. “al rider viene fornito un kit (giacca, zaino con borsa termica all’interno) e […] al momento della presa in servizio [lo stesso] deve trovarsi all’interno della zona di riferimento” (v. verbale cit., p. 4);

e. “l’anagrafica dei riders è condivisa a livello di gruppo” (v. verbale cit., p. 4);

f. “relativamente ai riders la piattaforma acquisisce i dati anagrafici e del contratto, i dati per il pagamento e i dati relativi al veicolo utilizzato per le consegne (per la copertura assicurativa)” (v. verbale cit., p. 5);

g. il DPO di gruppo ha precisato che “la determinazione delle logiche relative al trattamento dei dati dei riders è stabilita dal titolare UK” (v. verbale cit., p. 5);

h. la società ha in proposito precisato che “in una logica di separazione dei ruoli rispetto alla capogruppo, ha accesso ai soli dati sui quali può influire, alimentando il DB condiviso, senza decidere le logiche del trattamento” (v. verbale cit., p. 5);

i. “il sistema di prenotazione dei turni prevede tre fasce di accesso alle ore 11/15/17, mediante prenotazione settimanale il lunedì. […] il criterio di accesso alle fasce orarie si basa, in Italia, su due criteri: disponibilità [del rider] nelle fasce orarie critiche (venerdì, sabato e domenica sera); affidabilità della disponibilità (ovvero partecipazione effettiva [del rider] ai turni prenotati o cancellazione precedente all’inizio del turno)” (v. verbale cit., p. 5);

j. “la cancellazione del turno prima del suo inizio non influisce sulla percentuale, e viene memorizzata sui sistemi; mentre non effettuare il log-in dopo l’avvio del turno ha impatto negativo sulla percentuale. […] rifiutare un ordine, nello stato online, non genera alcun effetto sulla percentuale ma viene memorizzato nel sistema” (v. verbale cit., p. 5-6);

k. “una volta partito il turno di lavoro per cui si è data disponibilità, per accettare gli ordini i riders, per ricevere gli ordini all’interno della zona predeterminata servita dal servizio devono passare, nell’app, allo stato «online» da «offline»” (v. verbale cit., p. 6);

l. “relativamente all’attribuzione dei compensi […] il rider online, a cui non viene assegnato il numero minimo di ordini (1,5), riceve comunque un corrispettivo a ciò connesso, mentre se rifiuta o non prende in carico tutti gli ordini, tale comportamento non ha effetto sullo score ma sul compenso che è legato alla singola consegna” (v. verbale cit., p. 6);

m. “un ordine assegnato ad un rider e non preso in carico entro 60 secondi, viene automaticamente riassegnato ad un altro rider” (v. verbale cit., p. 6);

n. “la gestione dell’ordine da parte di un rider prevede diverse fasi, tutte tracciate, tramite l’app, dal sistema anche per successive attività di analisi degli ordini. Tali fasi sono: accettazione dell’ordine; segnalazione di arrivo al ristorante; segnalazione di ritiro merce; segnalazione di arrivo presso il cliente; segnalazione di ordine consegnato al cliente. […] I dati relativi all’ordine nel suo complesso sono conservati nel sistema” (v. verbale cit., p. 6);

o. “la posizione del rider viene utilizzata dal sistema in fase di assegnazione dell’ordine, per consentire la massima efficienza della consegna, tenuto conto anche della posizione del ristorante, del cliente e del mezzo di trasporto indicato dal rider stesso” (v. verbale cit., p. 7);

p. “il tempo di consegna proposto al cliente viene stimato dal sistema prima dell’assegnazione del rider” (v. verbale cit., p. 7);

q. “a conclusione dell’ordine, il cliente può fornire una valutazione che viene associata all’ordine e non al rider” (v. verbale cit., p. 7);

r. “la posizione geografica è rilevata solo quando il rider è online nell’app, in quanto l’app non geolocalizza la posizione nello stato offline. La posizione del rider è fornita esclusivamente al cliente per monitorare lo stato del proprio ordine, a partire da quando il rider ritira il prodotto” (v. verbale cit., p. 7);

s. il DPO di gruppo ha precisato che “la posizione del rider è rilevata ogni 12 secondi, memorizzata per un periodo di tempo che si riserva di verificare […]. Tale memorizzazione è funzionale al miglioramento dei tempi delle diverse fasi del servizio (es: attesa al ristorante, attesa dal cliente, tempo del tragitto…)” (v. verbale cit., p. 7);

t. “nessuno può accedere alla posizione dei rider se non il customer care che, in caso di ordini con anomalie (es: consegna con ritardo rispetto al tempo stimato), può visualizzare la posizione del rider che sta consegnando l’ordine” (v. verbale cit., p. 7-8)

u. “la posizione del rider è trattata anche per la collaborazione con le forze dell’ordine in caso di furti durante il percorso. Inoltre la posizione […] è utilizzata anche internamente per finalità antifrode” (v. verbale cit., p. 8);

v. “la comunicazione del DPO è stata inviata all’Autorità il 31 maggio 2019” (v. verbale 20.6.2019, p. 2);

w. nel corso dell’accesso ai sistemi ed in particolare al “gestionale della società denominato Atlas, tramite web portal […]” è stato accertato che “la landing page di accesso visualizza i dati dei riders di qualunque azienda del gruppo (anche di paesi extra UE), potendo impostare il filtro per «Paese» solo successivamente all’accesso” (v. verbale cit., p. 2);

x. in proposito il DPO di gruppo ha dichiarato che “tecnicamente la possibilità di accesso è la medesima indipendentemente dal Paese accedente” (v. verbale cit., p. 2);

y. con riferimento alla possibilità di visualizzare i dati dei rider attivi in un altro paese europeo (Spagna) il DPO di gruppo ha dichiarato che “tale operazione non è permessa sulla base delle misure organizzative adottate con il fine di tutelare i dati personali” (v. verbale cit., p. 2);

z.  in proposito la società e il DPO di gruppo hanno precisato che “il sistema permette di visualizzare i dati dei riders di qualunque azienda del gruppo, Ue e non UE, sebbene siano state impartite agli operatori istruzioni volte a non accedere in nessun caso ai dati relativi ai riders di altri paesi” (v. verbale cit., p. 2);

aa. nel corso dell’accesso ai sistemi è stato accertato che: “La visualizzazione di accesso di default mostra i dati senza restrizione geografica” (v. verbale cit., p. 2);

bb. in proposito la rappresentante della capogruppo ha dichiarato che “il gruppo sta implementando un ampio progetto GDPR e, come parte del progetto, un team di ingegneri dedicato sta rivedendo l’intero sistema di permessi di accesso, che comporterà un meccanismo di segregazione geografica, in relazione ai dati dei riders. Tale modifica, presumibilmente, sarà operativa entro settembre 2019” (v. verbale cit., p. 2);

cc. in sede di accesso al sistema Atlas “è stato visualizzato il dettaglio di un rider, con la «Atlas History» che contiene l’elenco delle «issues/triggers», ovvero discrepanze rispetto alle stime programmate in maniera automatizzata dal sistema e riscontrato dal customer care relativamente a quell’ordine” (v. verbale cit., p. 2);

dd. in proposito il DPO di gruppo ha dichiarato che “i dati relativi a tali discrepanze non hanno al momento una data di cancellazione specifica, oltre a quella prevista per policy aziendale che è pari a 6 anni” (v. verbale cit., p. 2);

ee. in sede di accesso al sistema sono stati visualizzati “l’ordine in corso da parte dei rider e un ordine già consegnato, visualizzando il percorso effettuato dal rider, nonché la sua posizione rilevata dal sistema. Sono stati visualizzati diversi stati dell’ordine […] e la mappa del percorso del rider per consegnare l’ordine” (v. verbale cit., p. 2);

ff. si è altresì acceduto direttamente alle “informazioni relative agli ordini passati gestiti da un particolare rider, visualizzando anche il percorso effettuato negli ordini passati” (v. verbale cit., p. 2);

gg. con riferimento alla funzione “Add order log” presente nel sistema Atlas, la società ha precisato che “tale funzionalità viene utilizzata, in genere dagli operatori di customer care, per inserire elementi informativi relativi all’ordine (ad esempio, la lamentela di un cliente per la qualità del cibo consegnato)” (v. verbale cit., p. 2);

hh. sempre in relazione al sistema Atlas la rappresentante della capogruppo ha rappresentato che “ancorché vietato dalla policy aziendale, il sistema potenzialmente permette di visualizzare lo storico dei medesimi dati anche riferiti ai rider di altri Paesi, tuttavia […] il team degli ingegneri in UK sta lavorando alla limitazione degli accessi” (v. verbale cit., p. 2);

ii. in sede di accesso ai diversi menu del sistema Atlas è stato verificato che “di default il sistema propone schermate che contengono i dati relativi a tutti i paesi in cui è attivo il servizio” (v. verbale cit., p. 2);

jj. con riferimento ai canali di comunicazione tra la società e i rider la stessa ha precisato che “le diverse comunicazioni sono conservate in sistemi differenti a seconda del tipo di canale (email, chat, telefonate). La consultazione deve essere effettuata separatamente su ogni piattaforma in assenza di una specifica interfaccia che mostri unitamente tutte le comunicazioni intercorse” (v. verbale cit., p. 2);

kk. il DPO di gruppo ha dichiarato che “le email scambiate con i rider sono conservate per 6 anni, secondo la privacy policy aziendale” (v. verbale cit., p. 3);

ll. in sede di accesso al sistema che conserva le conversazioni via chat con i rider è stato accertato che “il contenuto delle chat appar[e] direttamente all’operatore senza bisogno di ulteriori passaggi”; in proposito il DPO di gruppo ha precisato che “le chat scambiate con i rider sono conservate per 6 anni, secondo la privacy policy aziendale” (v. verbale cit., p. 3);

mm. in sede di accesso al sistema che conserva le conversazioni telefoniche con i rider è stato accertato che “la ricerca nel sistema può essere effettuata per «Call-ID» o per «Agent»” (v. verbale cit., p. 3);

nn. il DPO di gruppo ha precisato che “le conversazioni telefoniche con i riders sono conservate per un anno, secondo la privacy policy aziendale […] presumibilmente entro la fine di luglio il tempo di conservazione delle telefonate sarà impostato a 28 giorni, per adeguarsi al Regolamento europeo sul trattamento dei dati personali […]” (v. verbale cit., p. 3);

oo. con riferimento alle motivazioni circa l’impostazione dei tempi di conservazione delle comunicazioni telefoniche la società ha dichiarato che “tali decisioni non vengono prese da Deliveroo Italia ma dalla capogruppo UK” (v. verbale cit., p. 4);

pp. con riferimento al dichiarato utilizzo dei dati di localizzazione dei rider per “finalità antifrode interna” la società ha dichiarato che “tali dati possono essere usati per la gestione di reclami della clientela relativi ad esempio alla mancata consegna di un ordine” (v. verbale cit., p. 4);

qq. con riferimento alle modalità di calcolo degli importi da corrispondere ai rider la società ha dichiarato che “la contabilità ha un sistema integrato nel portale «Rider portal» che registra in automatico le consegne effettuate dai rider con il relativo importo […]. Le consegne possono prevedere dei pagamenti extra legati ad es. a specifiche giornate (es. 1° maggio). La contabilità calcola l’importo da corrispondere al rider, computando manualmente anche altre voci (es.: promozioni legate a specifiche campagne tipo «Porta un amico»)” (v. verbale cit., p. 4);

rr. in sede di accesso al sistema utilizzato per la contabilità è stato verificato che anche in questo “sono mostrati, di default, dati dei rider di qualunque paese, UE e non UE, in cui è attivo il servizio. […] la contabilità può accedere al dettaglio degli ordini e relativo storico e quindi anche al percorso effettuato dal rider per la consegna” (v. verbale cit., p. 4);

ss. con riferimento alla regolazione dei rapporti tra la società italiana e la capogruppo, il DPO di gruppo ha dichiarato che “le società aderenti sottoscrivono il documento denominato «Intra Group Data processing Agreement»” (v. verbale cit., p. 4);

tt. con riferimento alla valutazione di impatto sulla protezione dei dati, il DPO di gruppo ha dichiarato che “al momento la DPIA relativa al trattamento dei dati personali dei riders non è stata predisposta poiché la società non ha ritenuto che i trattamenti in esame rispondessero ai criteri in base ai quali è richiesta tale valutazione. Tale decisione viene costantemente monitorata in ragione dell’evolversi dello stato di implementazione e delle prassi interpretative delle Autorità di protezione dati dei singoli paesi” (v. verbale cit., p. 4).

1.3.1. In data 10 luglio 2019, sciogliendo la riserva effettuata in sede di accertamenti ispettivi, la società ha inviato all’Autorità la documentazione richiesta e una nota integrativa con la quale ha dichiarato che:

a. “per quanto concerne l’Italia la società […] ha concluso con successo il processo tecnologico di segregazione degli accessi su base territoriale del sistema denominato Atlas. Di conseguenza, nessun dipendente italiano è ad oggi in alcun modo in grado di accedere a dati di rider di altre country. Questo progetto di natura tecnica è attualmente in corso ed il completamento per tutti i mercati rilevanti è stimato per il mese di settembre” (v. nota della società 10.7.219, p. 2);

b. “rispetto al sistema Atlas si evidenzia che dal momento che sono stati implementati sistemi tecnici di controllo all’accesso per singola giurisdizione, le misure di sicurezza organizzative precedentemente in piedi non sono più applicabili […]. […] circa la situazione antecedente alle attività rimediali completate, si sottolinea che i dipendenti italiani sono vincolati contrattualmente al rispetto della normativa in materia di protezione dei dati personali, nonché delle policy societarie in materia. Inoltre, durante la sessione di formazione GDPR del 23 maggio 2018 è stato chiarito il significato giuridico di «trattamento di dati personali» e specificato che qualsivoglia attività di trattamento avrebbe dovuto essere rispettosa dei principi di proporzionalità e di minimizzazione” (v. nota cit., p. 3);

c. “gli altri sistemi rilevanti di Deliveroo hanno implementato la segregazione per singola giurisdizione, con eccezioni per un numero limitato di supervisor, laddove necessario. Tutto ciò è specificato nel […] documento sul controllo degli accessi […], congiuntamente con i remediation plan per tre ulteriori sistemi, attualmente sottoposti al programma rimediale GDPR” (v. nota cit., p. 3);

d. “sul tema della data retention, si desidera confermare che il periodo di conservazione di 28 giorni per le chiamate registrate è stato ad oggi implementato con successo dalla società di Deliveroo UK per i dati di ogni mercato rilevante (inclusa l’Italia), in linea con il progetto già esistente […]” (v. nota cit., p. 3);

e. ad integrazione di quanto dichiarato in sede di accertamenti ispettivi “i dati di geolocalizzazione dei rider non sono raccolti quando lo status del rider è impostato su «offline», tuttavia si desidera chiarire che tali dati sono raccolti quando il rider fa richiesta di un servizio offline, ad esempio quando desidera trovare una zona operativa o utilizzare il settore di zona mentre è offline” (v. nota cit., p. 3);

f. con riferimento al registro delle attività di trattamento “da quando è stato fornito il registro dei trattamenti di Deliveroo in data 19 giugno 2019, sono stati effettuati alcuni aggiornamenti minori: è stata aggiornata la location dei responsabili; rimossa l’attività di conservazione delle telefonate registrate come attività di Deliveroo Italy, per allinearsi alla recente decisione della capogruppo”.

2. Avvio del procedimento per l’adozione dei provvedimenti correttivi.

2.1. Il 20 febbraio 2020 l’Ufficio ha notificato alla società, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni riscontrate, con riferimento agli artt. 5, par. 1, lett. a), c) ed e) (principi di liceità, correttezza e trasparenza, principio di minimizzazione e principio di limitazione della conservazione); 13 (informativa); 22 (processo decisionale automatizzato compresa la profilazione); 25 (privacy by design e by default); 30 (registro delle attività di trattamento); 32 (sicurezza del trattamento); 35 (valutazione di impatto sulla protezione dei dati); 37 (responsabile della protezione dei dati); 88 (disposizioni più specifiche a livello nazionale) del Regolamento; art. 114 (garanzie in materia di controllo a distanza) del Codice.

Con memorie difensive del 12 giugno 2020, la società ha dichiarato che:

a. “Deliveroo è una società controllata dalla holding UK Roofoods Ltd […] ed il suo operare in Italia è finalizzato all’implementazione sul mercato nazionale di un modello di business ideato, perseguito e costantemente aggiornato dalla Holding stessa […]. […] vi è una chiara distinzione tra gli obblighi (e le responsabilità) da titolare di Roofoods e della Società (e di ogni altra affiliata nei vari paesi), essendo ciascuna un autonomo titolare del trattamento” (nota 12.6.2021, p. 1-2);

b. con riferimento all’informativa ai rider, questa “fornisce il nucleo essenziale delle informazioni necessarie all’interessato per conoscere la natura e l’impatto dei trattamenti svolti da Deliveroo. I rider sono infatti messi nella posizione di comprendere come e quali dati sono trattati”; in ogni caso “nello spirito di leale collaborazione con l’Autorità […] la Società […] si impegna ad adeguare le proprie informative alle raccomandazioni dell’Autorità” (v. nota cit., p. 4);

c. in un contesto caratterizzato da “complessità e mutevolezza […] delle disposizioni in tema di conservazione dei dati […] la Società e la Holding hanno ritenuto che la previsione di una clausola generale fosse il miglior strumento, in questa prima fase di implementazione del GDPR, per comunicare, ai sensi dell’art. 13 agli interessati il vincolo (anche giuridico) auto-imposto a conservare i dati personali unicamente nei limiti di quanto strettamente necessario per il perseguimento delle proprie finalità” (v. nota cit., p. 4);

d. dall’informativa emerge che la posizione geografica e tipo di veicolo sono fattori utilizzati “per valutare la distanza e la velocità media di spostamento del mezzo di trasporto prescelto così da proporre in maniera efficiente gli ordini ai rider che sono online sulla app”; secondo quanto dichiarato dalla società quest’ultima opera in qualità di titolare del trattamento relativamente alle “operazioni di c.d. onboarding (la pratica e le procedure che vengono svolte all’inizio del rapporto col rider, ad es. sottoscrizione del contratto, invio dei documenti necessari ecc.), compresa la contrattualizzazione, nonché in quelle di supporto ai rider e di reporting fiscale e finanziario”, diversamente i trattamenti di profilazione “sono […] sottoposti all’integrale dominio decisionale della Holding, sia sotto il profilo della determinazione delle finalità, sia sotto quello dei mezzi del trattamento – essendo parte integrante del modello di business, poi esportato nelle singole giurisdizioni” (v. nota cit., p. 5-6);

e. la società, con riferimento alle indicazioni relative alle autorità cui poter presentare reclamo “ritiene […] importante che gli interessati ricevano una tutela piena ed effettiva dinanzi la propria Autorità di controllo a prescindere dalla nazionalità del titolare del trattamento, e che gli stessi si sentano liberi di agire dinanzi a ciascuna Autorità o a entrambe laddove vogliano esporre un reclamo” (v. nota cit., p. 8);

f. con riferimento ai tempi di conservazione dei dati personali raccolti la società, tenuto conto della ritenuta “assenza di parametri certi in tema di data retention”, “sta rivedendo integralmente i propri processi di conservazione al fine di aumentare notevolmente la quantità di tipologie differenti di dati personali, così da impostare dei tempi di retention più precisi. In particolare, una nuova policy in materia di data retention è in fase di elaborazione e sarà attuata auspicabilmente entro la fine dell'anno”; con la nuova policy che la società intende adottare “saranno indicati dei tempi generali di retention per macro-aree tematiche, per poi scendere più nel dettaglio […]. Questa nuova policy in materia di data retention verrà poi trasfusa nelle informative fornite agli interessati […]. […] In ogni caso […] anche qualora i tempi di conservazione attuali fossero ritenuti eccessivi o eccessivamente generici, la violazione del Regolamento […] sarebbe da considerarsi unicamente virtuale. Infatti, Deliveroo è una Società attiva in Italia unicamente dal 1° ottobre 2015” (v. nota cit., p. 8-9);

g. nel corso degli accertamenti ispettivi, la società ha chiarito che “«le diverse comunicazioni sono conservate in sistemi differenti a seconda del tipo di canale; [inoltre] [l]a consultazione deve essere effettuata separatamente su ogni piattaforma in assenza di una specifica interfaccia che mostri unitamente tutte le comunicazioni intercorse». Riguardo invece alla funzione “add order log” […], la Società ha chiarito (rispondendo alle domande dell’Autorità) che «tale funzionalità viene utilizzata, in genere, dagli operatori di customer care per inserire elementi informativi relativi all’ordine (ad esempio, la lamentela di un cliente per la qualità del cibo consegnato)». Ancora, la Società ha fornito con la nota del 10 luglio 2019 l’elenco dei profili di accesso, le abilitazioni e la numerosità degli utenti per ciascun profilo” (v. nota cit., p. 10); inoltre, secondo la società, “non risulta spiegato in che modo il passaggio da un sistema all’altro rappresenti una violazione del principio secondo cui i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione”)”; “Allo stesso modo, […] non si spiega perché siano necessari ulteriori passaggi per accedere alle comunicazioni con i rider affinché un addetto del customer care, una volta correttamente autenticato sul sistema informatico di riferimento con le proprie credenziali mediante un sistema di multifactor authentication, possa prendere visione delle comunicazioni con i rider al fine di svolgere la propria mansione lavorativa di supporto in tempo reale”; “si ritiene che la natura estremamente indefinita, vaga e fondamentalmente programmatica della lettera dell’art. 25 renda pressoché impossibile per i titolari obbligati identificare in maniera certa quali siano le modalità per rispettare il principio, evitando al contempo la risposta sanzionatoria dell’ordinamento” (v. nota cit., p. 10-11);

h. con riferimento alla contestata violazione dell’art. 32 del Regolamento la società ha disposto la modifica della configurazione dei sistemi “in anticipo rispetto alla data condivisa del 10 luglio 2019” ed ha “deciso di accogliere […] le anomalie segnalate nel corso delle attività ispettive, sfruttando questo episodio negativo come momento di generale autovalutazione critica dell’intera infrastruttura tecnologica posta a presidio dei dati personali” (v. nota cit., p. 11);

i. “Ogni trattamento relativo alla gestione e al funzionamento effettivo della app e del sottostante modello di business, compreso il sistema di prenotazione, è svolto in completa indipendenza dalla Holding (in qualità di autonomo titolare del trattamento)” (v. nota cit., p. 12);

j. alle attività di profilazione svolte dalla capogruppo Roofoods attraverso il sistema di prenotazione prioritaria non è applicabile l’art. 22 del Regolamento “vista l’assenza (anche astratta) di effetti giuridici o che incidano in modo analogo significativamente sull’interessato” (v. nota cit., p. 6);

k. con riferimento al funzionamento del sistema di prenotazione SSB la società precisa che “Nelle zone soggette a prenotazione (esistono anche zone in regime di free login ma al momento non in Italia, anche se la Società sta andando rapidamente in questa direzione anche nel nostro paese), ogni lunedì alle ore 17:00 è possibile prenotarsi in anticipo per lavorare la settimana successiva (quella che inizia il lunedì successivo). Tuttavia, è possibile ottenere un accesso prioritario alle prenotazioni; segnatamente, alle ore 11:00 o alle ore 15:00. La possibilità di prenotare prioritariamente è determinata in Italia da due (2) fattori: (a) la partecipazione – ossia la percentuale di sessioni prenotate a cui si è effettivamente partecipato (per partecipare effettivamente è sufficiente essere online, anche per un secondo); (b) la partecipazione al c.d. “super picco” – ossia il numero di sessioni in cui si è stati online in concomitanza con il picco di domanda (dalle 19:00 alle 21:00 di venerdì, sabato e domenica). Queste statistiche sono liberamente accessibili da parte dei singoli rider all’interno della propria pagina nella app e riguardano unicamente l’attività dei quattordici (14) giorni precedenti, aggiornandosi quotidianamente. Ogni domenica le statistiche sono congelate e il rider riceve una notifica push che lo informa sulla propria ora di accesso alla prenotazione delle sessioni (11:00, 15:00 o 17:00)” (v. nota cit., p. 6);

l. “con l’entrata in efficacia del GDPR la Holding ha ritenuto necessario nominare un responsabile della protezione dei dati (il “DPO”) e in quell’occasione ha optato per la nomina di Gruppo, come facoltizzato dall’art. 37, par. 2 del GDPR, effettuando la conseguente comunicazione dei dati di contatto all’ICO nel maggio 2018 ai sensi del Data Protection Act del 1998 e nel maggio 2019 ai sensi del GDPR, adempiendo così al dettato dell’art. 37, par. 7 del Regolamento” (v. nota cit., p. 14);

m. “con riferimento all’attività di registrazione delle telefonate con i rider bisogna precisare che la versione del registro analizzata dall’Autorità è quella fornita il primo giorno di ispezioni […]. Per quanto riguarda invece il richiamo alle policy di sicurezza, si ritiene che sebbene sia possibile e consigliabile sintetizzare le principali misure di sicurezza adottate, lo stesso sia sufficiente per approfondire la tematica in modo trasparente, consultando i documenti citati (cfr. doc. 1). Infine, Deliveroo […], prende atto del fatto che il proprio registro delle attività di trattamento possa essere migliorato e sta lavorando ad una nuova versione, la quale recepirà puntualmente le raccomandazioni che verranno fornite in questa sede dal Garante” (v. nota cit., p. 15);

n. la società non ritiene applicabili al rapporto di lavoro instaurato con i rider né l’art. 114 del Codice né l’art. 2, d. lgs. 15 giugno 2015, n. 81 “tanto nella formulazione precedente alla riforma del 2019 quanto nella attuale”; ciò in quanto “I rapporti dei rider con Deliveroo […] sono rapporti di lavoro autonomo e non collaborazioni coordinate e continuative (come quelle della nota sentenza della Cassazione cd. «Foodora», n. 1663/2020) anche in ragione […] della totale libertà del rider di determinare non solo le modalità della prestazione ma il fatto stesso di rendere, o meno, qualsivoglia servizio” (v. nota cit. p. 15-16);

o. “si ritiene radicalmente esclusa ogni forma di volontà e rappresentazione di eventuali violazioni della normativa in materia di protezione dei dati personali, né tantomeno si ritiene che la Società abbia posto in essere condotte negligenti”; “il Gruppo ha recentemente completato un audit GDPR intrapreso nell’ambito della Fase 2 delle attività di compliance al GDPR”; “il percorso intrapreso dal giugno 2019 ad oggi è caratterizzato da un crescente e costante innalzamento dei livelli di presidio, sia tecnico (mediante l’implementazione di procedure e protocolli di sicurezza) che organizzativo (grazie all’ampliamento del team del DPO, all’affiancamento costante di professionisti esterni – come gli scriventi – e all’incremento delle sessioni di formazione aziendale)” (v. nota cit., p. 16-17).

2.3. In data 9 luglio 2020, presso la sede del Garante, si è svolta l’audizione della società che ha rappresentato che “dalla data dell’ispezione ad oggi l’Azienda ha profondamente cambiato la propria struttura organizzativa, sotto il profilo privacy”.

2.4. Il 21 agosto 2020 la società ha formulato alcune richieste di confidenzialità e riservatezza delle informazioni fornite nel corso del procedimento.

2.5. Con nota del 10 dicembre 2020, infine, la società ha informato l’Autorità “di aver completato il procedimento di abbandono del sistema di prenotazione denominato “SSB” in Italia” e che pertanto “dal 3 novembre 2020, i rider potranno liberamente fare login in ogni momento nelle zone di free login, e in altre zone sarà comunque possibile per i rider lavorare prenotandosi, ma senza i criteri di priorità che facevano parte di SSB”.

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi.

3.1. Attivazione della procedura di cooperazione per i trattamenti transfrontalieri.

Dopo la conclusione dell’attività ispettiva, avendo riscontrato l’esistenza di alcuni trattamenti aventi natura transfrontaliera, l’Autorità, alla luce di quanto previsto dall’art. 56 del Regolamento in relazione ai trattamenti transfrontalieri, ha informato senza ritardo l’Autorità di controllo capofila (Information Commissioner’s Office-ICO) in precedenti procedure avviate nei confronti di Roofoods LTD (società capogruppo che ha il suo stabilimento principale in Gran Bretagna) relative a trattamenti transfrontalieri.

L’ICO, in data 29 novembre 2019, ha accettato la competenza dell’Autorità italiana, ai sensi dell’art. 56, par. 2 del Regolamento, in relazione ai trattamenti effettuati da Deliveroo Italy s.r.l. che incidono in modo sostanziale sui rider che operano unicamente in Italia in base ad un contratto di lavoro stipulato con la società italiana.

3.2. Titolarità del trattamento.

All’esito dell’accertamento effettuato e in base all’esame della documentazione acquisita, emerge che Deliveroo Italy s.r.l., in relazione ad alcuni trattamenti di dati relativi ai rider, determina le finalità e i mezzi del trattamento stesso (v. art. 4, n. 7, Regolamento). Ciò, specificamente, emerge:

dalle tipologie di attività e di dati personali indicate nel registro dei trattamenti, predisposto dalla società (v. nota 10.7.2019, All. L, “Deliveroo Italy-Registro delle attività di trattamento (Aggiornato)”, in particolare con riferimento alle attività: “Contratto con i rider”, “Discrezionalità di effettuare alcune operazioni di supporto al rider quotidianamente”, “Reporting fiscale e finanziario” e dalle relative tipologie di dati personali trattati: “Nomi e informazioni di contatto, tra cui email, contratto e firma”, “Nominativo e dati, tra cui email, telefono e qualsiasi comunicazione con il rider”), “Fatture”;

dagli esiti dell’accesso ai sistemi sviluppati da Deliveroo Italy (Rider Portal per “gestire i rider giornalmente, inclusi le informazioni chiave relative al profilo e i dettagli dei pagamenti”; Admin per “vedere il numero delle ore lavorate, la zona e il numero di telefono del rider”; Atlas per “risolvere i problemi relativi agli ordini degli ultimi 28 giorni”) e ai sistemi (dichiaratamente) di terza parte (NVM che “facilita le chiamate con i rider e la conservazione delle registrazioni delle chiamate”; Zendesk per “supportare i ticket via email”; Zopim per “supportare i ticket via chat”) attraverso i quali la società effettua trattamenti di dati personali dei rider, raccolti dal sistema, relativi a tutti i dettagli dell’ordine, alla posizione geografica raccolta attraverso il GPS, alla memorizzazione dei percorsi effettuati su mappa, ai dati raccolti e memorizzati nel corso delle comunicazioni effettuate (con modalità inbound e outbound) dal Team Supporto Rider (gestito dalla società) attraverso telefonate, chat ed e-mail anche al verificarsi delle “anomalie” indicate nell’elenco dei cc.dd. triggers (v. nota 10.7.2019, All. C e screenshot degli accessi effettuati sui sistemi in data 20.6.2019);

dal documento informativo “Privacy policy del Rider per l’Italia”, aggiornata il 24 maggio 2018, laddove si chiarisce che: Roofoods Limited e Deliveroo Italy sono “i «titolari del trattamento» delle informazioni che [verranno raccolte sui] candidati a fare i rider e [sui] rider”; eventuali domande o richieste relative alla informativa privacy potranno essere rivolte al “Team Supporto Rider Italia” o al Responsabile della protezione dei dati (DPO); eventuali reclami possono essere presentati al Garante per la protezione dei dati personali;

dalla (autonoma) decisione della società, in qualità di titolare del trattamento, di non effettuare la valutazione di impatto sulla protezione dei dati in relazione ai trattamenti effettuati, “in quanto non ritenuta necessaria” (v. nota 10.7.2019, All. J).

3.3. Osservazioni sul rispetto della normativa in materia di protezione dei dati personali e violazioni accertate.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, in relazione alle quali si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, è emerso che la società, in qualità di titolare, ha effettuato operazioni di trattamento di dati personali nei confronti di un numero elevato di interessati – pari, secondo quanto dichiarato al tempo dell’ispezione, a circa 8.000 rider che risultano non conformi alla disciplina in materia di protezione dei dati personali nei termini di seguito descritti.

3.3.1. Principio di trasparenza e inadeguatezza delle informazioni rese agli interessati.

Con riferimento all’obbligo di fornire l’informativa agli interessati, è emerso che la società ha effettuato i trattamenti dei dati dei rider sulla base di una informativa denominata “Privacy policy del rider per l’Italia”, resa disponibile attraverso un link, inserito nel punto 9.2. del modello di contratto stipulato con i rider e resa disponibile sul sito internet della società (v. All. verbale accertamento ispettivo).

Tale documento informativo – che è, allo stato, ancora presente sul sito della società con la stessa conformazione – non risulta conforme alle disposizioni di protezione dei dati sotto diversi profili. Nel predetto documento la società omette infatti di indicare le concrete modalità di trattamento dei dati relativi alla posizione geografica dei rider, così come emerse in sede di accertamento (raccolta sistematica del dato ogni 12 secondi), a fronte di un’indicazione del tutto generica e fuorviante sul punto (“quando il tuo stato è impostato su “online” […], raccogliamo in maniera discontinua i dati relativi alla tua posizione geografica”). In proposito, infatti, non può non sottolinearsi che la particolare invasività del trattamento in esame impone la necessità di fornire indicazioni circa le specifiche modalità del trattamento e sulla cadenza temporale della rilevazione della posizione geografica: in assenza di tali informazioni, l’interessato non può avere adeguata consapevolezza del trattamento dei propri dati. Ciò comporta quindi la violazione dell’art. 5, par. 1, lett. a) del Regolamento in relazione al principio di trasparenza.

Anche relativamente ai tempi di conservazione le indicazioni fornite nell’informativa attraverso formule tautologiche, sono estremamente generiche e non consentono di comprendere quale sia il tempo di conservazione previsto (“Non conserveremo le tue informazioni per un periodo più lungo di quanto pensiamo sia necessario”, v. punto 6, Privacy policy cit.): non vengono, pertanto, fornite indicazioni rispetto ai tempi di conservazione di alcune tipologie di dati così come risultanti sia dal  registro dei trattamenti (6 anni “dopo la scadenza del contratto/rescissione” per i dati ricollegati al contratto e trattati per attività di supporto rider; “Indefinito” per i dati relativi alle fatture) sia dalle attività di accertamento (6 anni per le rilevate “discrepanze” in sede di gestione dell’ordine; 1 anno per le conversazioni telefoniche fino alla data di modifica della policy in materia di data retention, comunicata il 10.7.2019, che allo stato, secondo quanto dichiarato, prevede la conservazione per 28 giorni solo da parte della capogruppo Roofoods). Non vengono neppure indicati i criteri utilizzati per determinare il periodo di conservazione dei dati (v. Gruppo di lavoro articolo 29, Linee guida sulla trasparenza ai sensi del regolamento 2016/679, WP260 rev.01). Ciò comporta la violazione dell’art. 13, par. 2, lett. a) del Regolamento.

Considerato, inoltre, che nella predetta informativa (punto 3, lett. f), e) e punto 5) si fa riferimento alla effettuazione di attività di profilazione (dichiaratamente in base alla posizione geografica e al tipo di veicolo, nonché per “determinare il […] livello di accesso prioritario alla prenotazione”) si rileva anche che la società non ha fornito “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”; al riguardo si rileva quindi che la società, - che, come si vedrà più approfonditamente in seguito, effettua anche trattamenti automatizzati, compresa la profilazione, classificabili tra quelli di cui all’art. 22 del Regolamento -, ha violato gli obblighi di informativa “rafforzata” che il Regolamento esplicitamente richiede in questi casi (cfr. art. 13, par. 2, lett. f)).

La predetta informativa, inoltre, non può considerarsi conforme alla disciplina di protezione dei dati, in particolare all’art. 13, par. 2, lett. d), anche sotto il profilo dell’indicazione agli interessati dell’Autorità di controllo competente in relazione ai diversi trattamenti effettuati; essa infatti lascia intendere che sia possibile rivolgersi indifferentemente o congiuntamente sia al Garante per la protezione dei dati personali che all’Information Commissioner’s Office (ICO). Tale ricostruzione è stata confermata dalla società nelle memorie difensive laddove ha precisato che “ritiene […] importante che gli interessati […] si sentano liberi di agire dinanzi a ciascuna Autorità o a entrambe laddove vogliano esporre un reclamo”.

Posto tuttavia che l’ICO non è competente a conoscere i reclami relativi a trattamenti effettuati in Italia da un titolare del trattamento che ivi ha la propria sede legale, tale errata indicazione risulta fuorviante rispetto all’obbligo di fornire informazioni relative alla possibilità di presentare reclamo all’Autorità di controllo competente e non agevola l’esercizio dei diritti da parte dell’interessato.

Le violazioni di cui sopra devono essere considerate anche tenendo in considerazione che, nell’ambito del rapporto di lavoro, informare compiutamente il lavoratore sul trattamento dei suoi dati è espressione del principio generale di correttezza dei trattamenti (art. 5, lett. a del Regolamento).

3.3.2. Principio di limitazione della conservazione dei dati.

Con riferimento alla individuazione dei tempi di conservazione dei dati trattati, è emerso che la società ha previsto la conservazione per 6 anni, dopo la cessazione del rapporto di lavoro, di diverse tipologie di dati dei rider raccolti per una pluralità di scopi (dati trattati per la sottoscrizione del contratto di lavoro; dati relativi alle comunicazioni con i rider attraverso chat ed e-mail; dati relativi alle “discrepanze” riscontrate in sede di gestione dell’ordine). Fino alla data del 10 luglio 2019, la società conservava inoltre, per 1 anno, (secondo quanto dichiarato dal DPO di gruppo e accertato dall’Autorità in sede di accesso ai sistemi), i dati esterni (numero chiamante/chiamato, data, ora, durata, modalità outbound/inbound) e il contenuto (registrazioni) delle telefonate effettuate con i rider attraverso il Team Service, mentre, a partire dal 10 luglio 2019, le predette registrazioni, secondo quanto dichiarato dalla società, sono conservate dalla capogruppo - e non dalla società italiana– per 28 giorni. Infine la società, in base a quanto indicato nel registro dei trattamenti, conserva per un tempo “indefinito”, i dati relativi alle fatture emesse per il pagamento dei rider. Il percorso relativo all’ordine è invece memorizzato sui sistemi per 6 mesi (come accertato in sede di accesso ai sistemi).

La società ha individuato un unico termine di conservazione, pari a 6 anni, in sé comunque significativo, in relazione a una pluralità di trattamenti effettuati per diversi scopi nonché in relazione a distinte tipologie di dati, in alcuni casi riferiti anche al contenuto di comunicazioni (via chat ed e-mail) protette dall’ordinamento con particolari garanzie. In proposito non può condividersi l’affermazione che “la previsione di una clausola generale” sia il “miglior strumento” per fornire agli interessati elementi informativi a fronte di “complessità e mutevolezza […] delle disposizioni in tema di conservazione dei dati”, come dedotto dalla società con le memorie difensive, posto che l’Autorità ha in proposito chiarito che, alla luce della necessità di individuare tempi di conservazione ritenuti congrui in relazione a ciascuno degli scopi in concreto perseguiti con il trattamento delle diverse tipologie di dati personali, il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee (provv. 9.1.2020, n. 8, doc. web n. 9263597). Anche se nel caso concreto il termine (ampio) di conservazione previsto, pari a 6 anni, non è stato ancora raggiunto, posto che la società è attiva dal 1° ottobre 2015, la vasta tipologia di dati raccolti risultava essere stata conservata, al momento degli accertamenti, per un arco considerevole di tempo (oltre quattro anni), indipendentemente da una specifica valutazione di congruità in relazione alle finalità perseguite. Né tale valutazione, che spetta al titolare del trattamento (v. art. 5, par. 1, lett. e) del Regolamento e Considerando 39), risulta essere stata effettuata dalla società in relazione alla individuazione dei termini di conservazione nel sistema dei dati esterni e del contenuto di comunicazioni telefoniche effettuate con i rider per un periodo significativo di tempo (1 anno), validi fino al 10 luglio 2019, e delle mappe del percorso dei singoli ordini effettuati dai rider per 6 mesi. Nessuna commisurazione risulta, infine, effettuata in relazione ai dati relativi al pagamento dei rider ed alla emissione della relativa fattura, la cui conservazione è prevista per un periodo di tempo “indefinito”.

Ciò ha comportato la violazione dell’art. 5, par. 1. lett. e) del Regolamento che prevede che i dati personali siano conservati “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Sul titolare del trattamento grava, in particolare, l’obbligo “di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario” (v. Considerando 39).

Al riguardo, si prende comunque atto che la società, secondo quanto dichiarato nelle memorie difensive, ha avviato una generale revisione dei criteri di conservazione dei dati, nell’ambito della quale saranno individuati termini distinti di conservazione dei dati trattati (per “macro aree” e per “specifiche categorie di dati”).

L’Autorità si riserva di attivare un autonomo procedimento in relazione alla base giuridica del trattamento dei dati delle telefonate intercorse con i rider italiani effettuato dalla società capogruppo Roofoods Ltd nonché in relazione alla individuazione, da parte di quest’ultima, del tempo di conservazione pari a 28 giorni dei dati raccolti.

3.3.3. Principio di minimizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default).

In base alle dichiarazioni della società e agli esiti dell’accesso ai sistemi effettuato nel corso dell’ispezione è emerso che i sistemi sono configurati in modo da raccogliere e memorizzare tutti i dati relativi alla gestione dell’ordine (dati raccolti tramite l’applicativo in uso ai rider, compresa la rilevazione attraverso GPS ogni 12 secondi nonché attraverso le interazioni con il customer care, dati relativi ai tempi di consegna (stimati ed effettivi) per ciascuna fase dell’ordine, storico degli ordini relativi a ciascun rider (compresa la percentuale degli ordini accettati), indicazione dell’ultima connessione effettuata, numero e tipologia di “azioni” effettuate nei confronti del rider, con il dettaglio di ogni “azione”, zona della città ove avviene l’ordine, mappa dell’ordine effettuato, dettagli degli ordini rifiutati).

È emerso, altresì, che i sistemi (in particolare Atlas e Payments) sono configurati in modo da consentire, agli operatori autorizzati, di passare attraverso semplici funzionalità da un sistema all’altro, con conseguente condivisione dei dati raccolti nei diversi sistemi (v. funzione Add order log che consente di inserire, nella scheda relativa ai dettagli dell’ordine, informazioni provenienti dal customer care/supporto rider; v. altresì la funzione Payments dalla quale si può accedere a tutti i dettagli dell’ordine per ciascun rider compreso lo storico). Inoltre il sistema di gestione delle chat e delle e-mail è configurato in modo da consentire all’operatore di accedere direttamente al contenuto di chat ed e-mail scambiate con i rider senza ulteriori passaggi, ricostruendo, per ciascun rider, tutte le comunicazioni effettuate, fino alla data del 10 luglio 2019.

Diversamente da quanto sostenuto dalla società nelle memorie difensive, non sono state rappresentate (né sono comunque emerse) specifiche ragioni in base alle quali sarebbe necessario, al fine di poter erogare efficientemente i servizi, l’accesso contestuale degli operatori ai distinti sistemi. Ciò considerato che i predetti sistemi risultano preordinati, rispettivamente, alla gestione degli ordini in tempo reale e alla visualizzazione dello storico degli ordini stessi (Atlas), nonché alla gestione di problemi verificatisi nel corso dell’ordine oppure, indipendentemente dall’ordine in corso, relativamente al rapporto con i rider. I canali di comunicazione con i rider sono funzionali rispetto a diverse evenienze di cui la gestione di eventuali problemi nella gestione degli ordini in corso costituisce solo una delle possibilità. In caso di passaggio dal sistema di gestione degli ordini a quello di gestione delle comunicazioni e viceversa, gli operatori hanno accesso non solo ai dati relativi al rider che ha gestito un determinato ordine, ma anche alle informazioni relative a tutti gli altri rider. Inoltre, i soggetti che effettuano la contabilizzazione del compenso spettante ai rider (Payments) possono accedere direttamente a tutti i dettagli degli ordini effettuati da ciascun rider, compresa la mappa degli ordini e tutti gli altri dettagli elaborati dal sistema (percentuale di ordini accettati, ultima connessione, dettagli di tutti i singoli passaggi dell’ordine).

Per le suesposte ragioni, tale configurazione dei sistemi, tenuto conto della quantità e varietà dei dati raccolti e delle modalità di trattamento, in relazione alla finalità di gestione del servizio di consegna di cibo o altri beni, ha comportato la violazione dell’art. 5, par. 1. lett. c) del Regolamento (principio di minimizzazione dei dati) e dell’art. 25 del Regolamento relativo alla protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default).

3.3.4. Misure di sicurezza.

In base alle dichiarazioni della società e all’esito dell’accesso ai sistemi effettuato nel corso dell’accertamento è emerso che tutti i sistemi (sia quelli sviluppati da Deliveroo che quelli sviluppati da terze parti, ma comunque accessibili a Deliveroo), almeno fino alla data del 10 luglio 2020, consentivano agli operatori l’accesso ai dati di tutti i rider che operano sia in territorio UE che extra UE. Tale configurazione, dopo l’attività di accertamento dell’Autorità, è stata modificata dalla società pertanto, allo stato, tutti i sistemi sono stati riconfigurati in base al principio di “segregazione per singola giurisdizione, con eccezioni per un numero limitato di supervisor, laddove necessario” (v. nota 10.7.2019, p. 3), anche se non è stato specificato in quali casi si rende necessario ai supervisor l’accesso e il raffronto tra i dati relativi a rider italiani con i dati relativi a rider di altri paesi, fatta salva la prospettata possibilità che il trattamento avvenga in forma anonima a fini statistici.

La configurazione dei sistemi adottata dalla società, fino al 10 luglio 2019, risulta essere stata pertanto effettuata in violazione di quanto stabilito dall’art. 32 del Regolamento, laddove stabilisce che “Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Infatti la società, fino alla modifica dei sistemi, non ha adottato misure tecniche adeguate ad impedire l’accesso ai dati dei rider italiani, trattati attraverso la piattaforma, da parte degli operatori delle altre società del gruppo (aventi sede sia in paesi UE sia in paesi extra UE). Nello stesso tempo gli operatori autorizzati ad accedere alla piattaforma in Italia avevano la possibilità di accesso ai dati dei rider trattati da tutte le società del gruppo, in assenza della predisposizione di un accesso selettivo al sistema per impostazione predefinita. Ciò tenuto conto che il richiamo (generico) contenuto nel contratto di lavoro con i dipendenti circa il rispetto della disciplina sulla protezione dei dati e alle policy della società, nonché il chiarimento del significato di trattamento e dei principi di proporzionalità e minimizzazione (che sarebbero stati resi nel corso di formazione effettuato il 23.5.2018), in assenza di specifiche istruzioni relative all’uso dei sistemi, non costituiscono misure organizzative idonee – anche alla luce delle concrete circostanze del caso concreto – ad assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”. In relazione a quanto sopra evidenziato non risulta quindi che la società abbia adottato, fino al 10 luglio 2019, misure tecniche e organizzative adeguate a garantire un’adeguata sicurezza del trattamento, in violazione di quanto stabilito dall’art. 32 del Regolamento.

3.3.5. Trattamenti automatizzati compresa la profilazione.

In base agli esiti dell’attività di accertamento è emerso che la società ha effettuato trattamenti automatizzati, compresa la profilazione:

- preordinati anche alla valutazione dell’“affidabilità” e “disponibilità” ad accettare turni di servizio nei giorni di picchi di frequenza al fine di determinare la prelazione nella scelta dei turni da parte dei rider (fino al 2 novembre 2020);

- per l’assegnazione degli ordini all’interno dei turni prenotati – attraverso un sistema algoritmico denominato Frank attivo anche dopo il 2 novembre 2020 considerato che la società non ha dichiarato di averlo abbandonato- che tratta quantomeno, secondo quanto dichiarato, i dati relativi alla posizione geografica e al tipo di mezzo di trasporto utilizzato dal rider considerati in relazione alla posizione del cliente e dell’esercizio commerciale (v. pag. 5 Privacy policy del rider per l’Italia: “Trattiamo i tuoi dati […] per sviluppare la nostra attività, i nostri sistemi e i nostri servizi […] per orientare i nostri algoritmi a prendere le decisioni più efficaci e accurate, ad esempio orientando il nostro algoritmo di invio degli ordini, Frank”).

Al riguardo rileva che, con riferimento ai sistemi utilizzati da Roofoods Spain S.L., anch’essa società del gruppo di cui fa parte la società Deliveroo Italy s.r.l., è stata accertata l’effettuazione di attività di profilazione da parte dello Juzgado de lo social n. 19 de Madrid, sentencia 188/2019 (“Confirmada la aceptación por el restaurante del pedido y notificada a través de la “tablet” a la aplicación Deliveroo, se seleccionaba al repartidor considerado como mejor candidato para atenderlo. Esta selección se realizaba por la aplicación Deliveroo a través de un algoritmo, esto es, a través de una fórmula matemática que realiza un conjunto de operaciones sobre los datos que nutren la aplicación, y en base a los criterios que se han establecido por la sociedad demandada (proximidad al punto de recogida, determinación de la condición de óptimo de un repartidor, etc.)”). Negli stessi termini, ancora nei confronti di Roofoods Spain S.L., si è pronunciato lo Juzgado de lo social n. 6 de Valencia, sentencia 244/2018 (“La empresa, con un cupo diario de "riders", dentro de los elegidos por los repartidores, fija el horario de cada uno de ellos, eligiendo a unos u otros en función del orden de elección de éstos y nivel de excelencia, y no asignándoles a veces algunos de los turnos solicitados”).

In primo luogo si evidenzia che i trattamenti di dati personali effettuati mediante i suddetti sistemi algoritmici presuppongono una profilazione, da parte della società, effettuata utilizzando dati personali dei rider volta a valutare determinati aspetti relativi alla persona fisica. Al riguardo rileva la definizione, fornita dal Regolamento, in base alla quale per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali “consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare e prevedere aspetti riguardanti il rendimento professionale […], l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (v. art. 4, n. 4) nonché di quanto precisato in proposito dal Considerando 71 in base al quale l’attività di profilazione produce effetti giuridici o comunque incide in modo significativo sulla persona dell’interessato.

I trattamenti effettuati dalla società in questo ambito producono certamente un effetto significativo sulla persona dell’interessato consistente nella possibilità di consentire (o negare) l’accesso ad occasioni di lavoro, in determinate fasce orarie prestabilite, e dunque offrendo (o negando) una opportunità di impiego. Non può essere pertanto accolta la ricostruzione effettuata dalla società nelle memorie difensive, in base alla quale l’effetto dell’attività di profilazione, attraverso il sistema di prenotazione prioritaria, sarebbe quello di “limitare astrattamente la possibilità per un rider di prenotare le proprie sessioni agli orari e nelle zone preferite” da cui potrebbero derivare ai rider solo meri “disagi di minore entità”.

In base al sistema di prenotazione SSB, tramite l’applicazione, il rider prenota le fasce orarie predeterminate dalla società, fino alla saturazione delle stesse. La società, inoltre, attraverso il sistema, assegna gli ordini al rider che all’interno di una zona predeterminata ha impostato la modalità online. Il sistema di prenotazione è stato configurato in Italia in modo da garantire la prenotazione con priorità in base al fattore definito “affidabilità”, ossia la partecipazione effettiva ai turni prenotati o cancellazione precedente all’inizio del turno, ed al fattore “disponibilità”, ossia la effettiva partecipazione ai turni definiti di “superpicco” (dalle 19 alle 21 di venerdì, sabato e domenica) che, secondo quanto calcolato dalla società, presentano un maggior numero di ordini.

Tale sistema è preordinato a presentare, con priorità, la scelta dei turni di lavoro a coloro che hanno acquisito un punteggio maggiore (come risultante dalle statistiche). I turni disponibili si esauriscono man mano che i rider che accedono con priorità al calendario settimanale manifestano la loro preferenza, riducendo progressivamente la possibilità di accedere ai turni e agli ordini per gli altri rider (alle stesse conclusioni è giunto il Trib. Bologna, sez. lavoro, ordinanza 31.12.2020, resa nei confronti di Deliveroo Italy s.r.l.).

L’assegnazione del punteggio nelle statistiche elaborate all’interno del sistema SSB, derivante dalla applicazione di una formula matematica in base alla quale è effettuato il calcolo, penalizza direttamente (secondo quanto dichiarato dalla società: v. precedente punto 1.1., lett. j.) il rider che non effettua il log-in dopo l’avvio del turno e, nel premiare coloro che partecipano effettivamente, anche solo attraverso l’attivazione dello stato online sulla app alle sessioni prenotate e che partecipano alle sessioni di c.d. super picco (v. precedente punto 2.1., lett. k.), penalizza i rider che non si presentano online nella sessione prenotata e che non partecipano (o partecipano meno) alle sessioni di super picco.

Attraverso il punteggio derivante dalle statistiche la società valuta l’operato del rider producendo, in tal modo, un effetto significativo sulla sua persona.

Con riferimento alle caratteristiche dell’algoritmo di assegnazione dell’ordine, emerse all’esito delle attività di accertamento e della modifica che la società dichiara di aver effettuato con decorrenza dal 3 novembre 2020, si registra una scarsa trasparenza dei relativi meccanismi di funzionamento. Né attraverso le FAQ, messe a disposizione sul sito internet dalla società, vengono fornite informazioni esaurienti sul nuovo sistema. A seguito della dichiarata soppressione del sistema di prenotazione SSB resta comunque non chiarito, da parte della società, il funzionamento dell’attuale algoritmo di assegnazione, posto che, laddove non si determini un’assegnazione del tutto casuale/randomica, tale algoritmo deve necessariamente utilizzare criteri di priorità elaborati in base ai dati raccolti. Considerato, inoltre, che la società attraverso i diversi sistemi di gestione degli ordini continua a raccogliere una grande quantità e varietà di dati personali attraverso l’app, il customer care e i feedback dei clienti, e che la società stessa ha comunicato l’abbandono del sistema SSB, senza alcuna spiegazione relativa alle nuove modalità di assegnazione, né ha fornito alcuna informazione sui trattamenti allo stato effettuati dei dati già raccolti dal sistema di elaborazione delle statistiche, si evince che la modifica del sistema, attiva dal 3 novembre 2020, riguarda al massimo i criteri di accesso allo turno di lavoro, ma non la modalità con la quale all’interno del turno è assegnato l’ordine.

In base alle evidenze in atti, non si può condividere la ricostruzione della società secondo la quale i trattamenti relativi alla “alla gestione e al funzionamento effettivo della app […], compreso il sistema di prenotazione” siano effettuati “in completa indipendenza” dalla capogruppo Roofoods quale autonomo titolare del trattamento. Infatti la società gestisce l’app Deliveroo rider e, attraverso tale applicativo, raccoglie e riversa sulla piattaforma i dati relativi agli ordini, raccoglie i dati relativi alle comunicazioni, alle anomalie e alle azioni attuate implementando i sistemi; raccoglie inoltre i feedback dei clienti e li inserisce sui sistemi (a tale ultimo proposito la società nella Privacy policy del rider per l’Italia, si limita a rappresentare che “Trattiamo i tuoi dati […] per garantire e migliorare l’efficienza dei nostri servizi, ad esempio per capire dai tuoi dati […] nonché i dati di altri rider, cosa determina un’esperienza negativa dei clienti, dei ristoranti o dei rider, quali sono le cause di consegne inefficienti o danni a Deliveroo”).

La società può, entro certi termini, personalizzare l’uso della piattaforma, posto che può stabilire autonomamente maggiorazioni del compenso in determinate festività o altre variabili (v. precedente punto 1.1., lett. qq.). Risulta anche che è stata la società a modificare il sistema operante in Italia procedendo all’abbandono del sistema SSB (v. nota della società 10.12.2020) nonché a modificare la configurazione dei sistemi in relazione ai criteri di accesso agli stessi (v. precedente punto 1.3.1., lett. a).

La società, pertanto, raccoglie e inserisce dati sul sistema e utilizza la piattaforma per svolgere l’attività di consegna dei beni assegnata ai rider sulla base di un contratto, con ciò determinando quindi i fini e i mezzi del trattamento, in qualità di titolare.

Nel caso di specie, l’applicazione dell’art. 22 del Regolamento deve essere considerata alla luce di quanto previsto al par. 2, lett. a) che esclude l’applicazione del diritto di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo significativo sull’interessato quando risulta che il trattamento è necessario per l’esecuzione di un contratto stipulato tra le parti. In questo caso tuttavia l’art. 22, par. 3) del Regolamento prevede che il titolare del trattamento attui misure appropriate per “tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano […], di esprimere la propria opinione e di contestare la decisione”. Sulla base degli accertamenti effettuati, non risulta che la società abbia adottato tali misure.

Inoltre non risulta che la società, in relazione ai trattamenti effettuati in qualità di titolare, abbia adottato misure tecniche e organizzative a tutela degli interessati volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, l’esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale (v. in proposito specifici riferimenti in Considerando 71, cit.; v. Commissione europea, Un'Unione dell'uguaglianza: la strategia per la parità di genere 2020-2025, 5.3.2020, COM(2020) 152 final, “Gli algoritmi e l'apprendimento automatico ad essi correlato, se non sufficientemente trasparenti e robusti, rischiano di riprodurre, amplificare o contribuire a pregiudizi di genere di cui i programmatori possono non essere a conoscenza o che sono il risultato di una specifica selezione di dati”). Ciò anche in relazione agli obblighi posti dalla disciplina di settore in materia di funzionamento delle piattaforme (v. art. 47-quinquies, d. lgs. n. 81/2015, in vigore dal 3.11.2019, secondo il quale “1. Ai lavoratori di cui all'articolo 47-bis si applicano la disciplina antidiscriminatoria e quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, ivi compreso l'accesso alla piattaforma. 2. L'esclusione dalla piattaforma e le riduzioni delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione sono vietate”, su cui, più estesamente, par. 3.3.9.; v. anche Consultative Committee of the Convention for the Protection of Individuals with regard to automatic processing of personal data (Convention 108), Guidelines on Artificial Intelligence and Data Protection, Strasbourg, 25 January 2019, “AI developers, manufacturers, and service providers should adopt forms of algorithm vigilance that promote the accountability of all relevant stakeholders throughout the entire life cycle of these applications, to ensure compliance with data protection and human rights law and principles”.

Con riferimento, infine, al meccanismo di feedback, non risulta che la società abbia adottato misure appropriate per evitare usi impropri o discriminatori dei meccanismi reputazionali basati sui feedback.

Al riguardo il Garante, seppure con riferimento alla disciplina anteriore all’applicazione del Regolamento, aveva stabilito che i trattamenti automatizzati, compresa la profilazione, devono avvenire nel rispetto delle disposizioni rilevanti e in presenza di garanzie adeguate (v. provv. 29.11.2018, n. 492; v. anche, sul punto, provv. 24.11.2016, n. 488 confermato da Corte Cass. n. 14381 del 25.5.2021).

Per i suesposti motivi la società ha pertanto violato l’art. 22, par. 3, del Regolamento.

3.3.6. Valutazione di impatto sulla protezione dei dati.

Con riferimento al complesso dei trattamenti oggetto del procedimento, la società ha ritenuto di non essere tenuta a effettuare la valutazione di impatto sulla protezione dei dati prevista dall’art. 35 del Regolamento all’esito della ricognizione dei trattamenti effettuati.

In proposito la società, nelle memorie difensive, ha precisato che le attività di trattamento svolte da Deliveroo Italy s.r.l. in qualità di titolare del trattamento “si sostanziano unicamente nelle operazioni di c.d. onboarding […], compresa la contrattualizzazione, nonché in quelle di supporto ai rider e di reporting fiscale e finanziario” e che, in relazione a tali attività, la società ha valutato, poi escludendola, l’opportunità di effettuare una valutazione d’impatto. A sostegno di ciò la società ha prodotto un documento denominato “Necessità di una valutazione d'impatto sulla protezione dei dati per i trattamenti in Italia da parte di Deliveroo italy s.r.l.”, privo di data e di sottoscrizione, nel quale, senza approfondite spiegazioni relative alla valutazione circa la natura e la tipologia dei trattamenti effettuati, viene esclusa la necessità di effettuare una DPIA ai sensi dell’art. 35 del Regolamento, rinviando a una versione semplificata del registro delle attività di trattamento, integrata con la valutazione circa la non necessità di effettuare una valutazione di impatto sulla protezione dei dati.

In base alle evidenze in atti non si può, in primo luogo, condividere la ricostruzione della società secondo la quale “ogni trattamento relativo alla gestione e al funzionamento effettivo della app […], compreso il sistema di prenotazione, è svolto in completa indipendenza dalla holding (in qualità di autonomo titolare del trattamento)”. Infatti, come si è argomentato più estesamente nel precedente paragrafo 3.3.5., la società italiana effettua direttamente i trattamenti di dati personali dei rider avvalendosi della piattaforma digitale provvedendo al popolamento della stessa e al suo utilizzo per la gestione di tutte le fasi della consegna degli ordini affidata ai rider. Per tali motivi non sussistono dubbi circa la titolarità del trattamento da parte della stessa.

Quando un trattamento che comporta “l’uso di nuove tecnologie, considerati la natura, l’oggetto il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, l’art. 35, par. 3, lett. a) del Regolamento stabilisce che il titolare del trattamento debba procedere all’effettuazione della valutazione di impatto. Il par. 2, lett. a) prevede che tale valutazione è in particolare richiesta in caso di “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basate su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Alla luce di quanto stabilito dalla norma richiamata, nonché delle indicazioni fornite in proposito dalle Linee guida WP 248rev.01 del 4.4.2017 (con riferimento ai criteri n. 1, 2, 3, 4, 5 e 7) e dal provvedimento del Garante dell’11 ottobre 2018, n. 467 (“Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679”, in G.U., S. G. n. 269 del 19.11.2018), l’attività di trattamento svolta da Deliveroo Italy s.r.l. rientra tra quelle che presentano “un rischio elevato per i diritti e le libertà delle persone fisiche” con conseguente necessità di effettuare, prima dell’inizio del trattamento, una valutazione di impatto ai sensi dell’art. 35 del Regolamento. Ciò considerato, in particolare, che il trattamento dei dati viene effettuato anche attraverso l’utilizzo innovativo di una piattaforma digitale, il cui meccanismo di funzionamento è stato reso noto solo in parte, e che costituisce l’oggetto dell’attività svolta dalla società italiana, come messo in luce anche dalla visura della stessa società (“organizzazione e gestione di una piattaforma software online (basata su web e applicazioni) per mettere in relazione i ristoratori e gli altri partner con i potenziali clienti e facilitare la consegna di cibo e altro attraverso una rete di fornitori indipendenti di servizi di trasporto”). Il trattamento è caratterizzato dalla raccolta e memorizzazione di una pluralità di dati personali, comprese la localizzazione geografica e le comunicazioni avvenute tramite telefonate (fino al 10.7.2019), chat ed e-mail, nonché tutti i dettagli relativi ad ogni fase di gestione degli ordini, compresa la rilevazione (e relativa gestione) di anomalie (triggers), e dalla conseguente effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro; v. Linee guida cit., cap. III, B, n. 7).

Considerato, quindi, che Deliveroo Italy s.r.l. è il titolare del trattamento con riferimento ai dati dei rider che lavorano per la società italiana e che l’art. 35 del Regolamento riconosce, proprio in capo al titolare del trattamento, l’obbligo di effettuare una valutazione di impatto, prima del trattamento, qualora ne ricorrano le condizioni, Deliveroo Italy s.r.l. era tenuta a tale adempimento, con riferimento alle attività di trattamento effettuate dalla stessa società italiana.

Si osserva, altresì, che il carattere innovativo della tecnologia utilizzata dalla società (di cui la funzionalità di geolocalizzazione costituisce solo una parte, seppur rilevante) - e il conseguente rischio elevato per i diritti e le libertà degli interessati - risulta evidente dall’esame stesso del funzionamento della piattaforma digitale intorno a cui ruota l’attività svolta da Deliveroo Italy s.r.l.; ciò tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della c.d. “gig economy” nell’ambito di continui cambiamenti tecnologici che stanno caratterizzando il mercato del lavoro nonché del pieno riconoscimento di tale evoluzione da parte del legislatore nazionale (v. l. n. 128/2019, di conversione del d.l. n. 101 del 3.09.2019, che ha inserito il capo V-bis nel d. lgs. n. 81 del 2015, “Tutela del lavoro tramite piattaforme digitali”, nonché il nuovo periodo nell’art. 2, comma 1, d. lgs. n. 81/2015, che fa riferimento alle “modalità di esecuzione della prestazione […] organizzate mediante piattaforme anche digitali”) e dell’attenzione rivolta, a tale fenomeno, anche da parte delle istituzioni europee (v. Commissione europea, documento del 24.2.2021, contenente “Questions and Answers: First stage social partners consultation on improving the working conditions in platform work”; European Parliament, Legislative Observatory, Fair working conditions, rights and social protection for platform workers - New forms of employment linked to digital development, 2019/2186(INI), 2019; European Parliament and Council, Directive 2019/1152 on transparent and predictable working conditions, 2019, contenente riferimenti anche ai lavoratori delle piattaforme digitali) nonché della giurisprudenza, a livello nazionale ed europeo (v. par. 3.3.9.). Il trattamento di un numero elevato di dati di diverso tipo, riferiti ad un numero rilevante di interessati, effettuato anche attraverso la piattaforma digitale che si basa sulle funzioni algoritmiche precedentemente descritte, infatti, combinando domanda e offerta, ha un evidente carattere innovativo.

Si ritiene quindi che da tali trattamenti possano derivare rischi per i diritti e le libertà degli interessati in quanto relativi alla “valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, [ …], l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati di persone fisiche vulnerabili […]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati” nonché “se il trattamento può creare discriminazioni” (v. considerando 75 del Regolamento).

Per i suesposti motivi la società ha violato l’art. 35 del Regolamento.

3.3.7. Comunicazione dell’avvenuta designazione del responsabile della protezione dei dati.

La società, ai sensi dell’art. 37, par. 1, lett. b) del Regolamento, è tenuta a effettuare la designazione di un RPD, tenuto conto che i trattamenti effettuati comprendono il monitoraggio regolare e sistematico di interessati su larga scala, anche mediante la raccolta di dati relativi alla posizione geografica attraverso un applicativo installato su dispositivi mobili (v. Gruppo art. 29, Linee guida sui responsabili della protezione dei dati, 5 aprile 2017, WP 243 rev.01, par. 2.1.4, recepite dall’EDPB il 25.5.2018). In base alla documentazione acquisita in atti, è emerso che la società ha effettuato la comunicazione all’Autorità dei dati di contatto del responsabile della protezione dei dati ex art. 37, par. 7 del Regolamento, solo in data 31 maggio 2019. La società, nelle memorie difensive, ha precisato che la comunicazione dei dati di contatto del RPD di gruppo è stata effettuata dalla società capogruppo ad ICO “nel maggio del 2018 ai sensi del Data Protection Act del 1998 e nel maggio 2019 ai sensi del GDPR”. Solo successivamente, “in connessione alla generale riorganizzazione della struttura di data protection governance del Gruppo, è stato ritenuto opportuno comunicare l’avvenuta nomina anche all’Autorità Garante italiana”.

Ritenuta conforme alla normativa di protezione dei dati la designazione, a livello di gruppo societario, del RPD (v. art. 37, par. 2 del Regolamento), l’art. 37, par. 7 del Regolamento dispone che “il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo”: conseguentemente, anche nel caso in cui il RPD venga designato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo societario, titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente (ciò risulta chiarito anche dalle FAQ dell’Autorità adottate con provvedimento del 29 aprile 2021, n. 186). Ciò posto, essendo Deliveroo Italy s.r.l. il titolare del trattamento dei dati dei rider che prestano l’attività lavorativa per la stessa società italiana in Italia, la comunicazione al Garante dell’avvenuta designazione del RPD - pur effettuata a livello di gruppo - che si ritiene idonea ai sensi di quanto stabilito nel richiamato art. 37, par. 7, del Regolamento, è stata effettuata dalla società italiana solo in data 31 maggio 2019; risulta quindi accertato che, fino a quella data, la società ha omesso, essendovi tenuta, di effettuare la comunicazione prevista dall’art. 37, par. 7 del Regolamento.

3.3.8. Registro delle attività di trattamento.

In base alla documentazione complessivamente acquisita in atti è emerso che all’interno del registro delle attività di trattamento consegnato all’Autorità (sia nella versione in lingua inglese, fornita durante l’ispezione, sia nella versione aggiornata del registro trasmessa il 10.7.2019) non risultano indicate alcune tipologie di dati personali riferiti ai rider, il cui trattamento è stato accertato nel corso delle attività di controllo. In particolare non risultano censiti i trattamenti dei dati relativi alla posizione geografica, raccolti mediante GPS posto sul dispositivo in uso agli stessi, nonché la pluralità di dati relativi ai dettagli degli ordini rilevati attraverso l’app.

Con riferimento all’individuazione dei tempi di conservazione è inoltre emerso che, in relazione ad alcuni trattamenti dei dati dei “dipendenti” di Deliveroo Italy s.r.l., peraltro di particolare rilevanza, in quanto concernenti i procedimenti disciplinari, i reclami interni, le informazioni sulla salute e sulla sicurezza, le controversie e i procedimenti legali, il periodo di conservazione è indicato in termini del tutto generici (“generalmente 6-7 anni”) e in relazione ad alcuni trattamenti di dati sia di “dipendenti” sia di “rider” i termini non risultano determinati (termine “indefinito dove le informazioni sono memorizzate sul sistema”, relativamente al reporting fiscale e finanziario). Inoltre, in proposito, è emerso che, mentre il registro acquisito in corso di ispezione indicava, per i dati relativi alle registrazioni delle telefonate con i rider, un termine di conservazione di 28 giorni, in sede di accesso ai sistemi è stato invece accertato che il termine di conservazione era pari ad 1 anno. Sotto questo profilo pertanto l’informazione presente nel registro dei trattamenti risultava errata in quanto indicava un termine di conservazione non esatto, molto inferiore a quello implementato nella realtà.

Nonostante la società abbia dichiarato che “l’attività di conservazione delle telefonate registrate come attività di Deliveroo Italy” è stata “rimossa”, nella sezione dell’ultimo registro dei trattamenti consegnato dalla società e relativa alle comunicazioni con i rider permane sia il “percorso di archiviazione” NVM, relativo alle registrazioni delle telefonate, sia il riferimento alla “categoria del destinatario” consistente nella “piattaforma di gestione delle comunicazioni, piattaforma telefonata”. Si prende atto che la società, nelle memorie difensive, ha in proposito rappresentato che “la riorganizzazione dei processi di trattamento delle attività di call recording avvenuta in concomitanza delle attività ispettive non poteva essere già trasposta nel registro consegnato”. Si osserva tuttavia che i sopra descritti elementi, ancora riferiti alla registrazione delle telefonate figura nella versione del registro consegnata in data 10 luglio 2019 contenente la specifica “aggiornato”.

Il registro dei trattamenti esibito dalla società è risultato poi carente anche quanto alla descrizione generale delle misure di sicurezza, tecniche ed organizzative, di cui all’art. 32 del Regolamento, in quanto il documento si limita a rinviare genericamente a una non meglio specificata “security policy” o “policy IT” o “polizza di sicurezza IT”, senza alcun rinvio a specifici documenti adottati in materia e senza descrivere, seppur sinteticamente, le misure concretamente adottate, come invece richiesto dall’art. 30, par. 1, lett. g) del Regolamento (come indicato espressamente dall’Autorità nelle richiamate FAQ sul Registro delle attività del trattamento: “Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.)”).

Infine si rileva che il registro delle attività di trattamento risulta sprovvisto di data di adozione, di data dell’ultimo aggiornamento e di sottoscrizione, elementi idonei a conferire al documento piena attendibilità, conformemente a quanto previsto dall’art. 5, par. 2, del Regolamento sotto il profilo della responsabilizzazione o accountability.

In proposito il Garante ha infatti chiarito (v. FAQ sul Registro delle attività del trattamento) che il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Per tale ragione “deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento”.

La società, pertanto, per i suesposti motivi ha violato l’art. 30, par. 1, lett. c), f), g) relativamente alle modalità di redazione e tenuta del registro dei trattamenti previste dall’ordinamento. Si prende atto, sul punto, che la società ha dichiarato di stare lavorando a una nuova versione del registro dei trattamenti con l’impegno di recepire “le raccomandazioni che verranno fornite […] dal Garante”.

3.3.9. Applicabilità delle garanzie di cui all’art. 114 del Codice.

Gli accertamenti hanno consentito di rilevare che la società effettua i trattamenti di dati personali dei rider, sopra descritti, nell’ambito di un rapporto di lavoro avente a oggetto il trasporto di cibo o altri beni da ristoranti o altri esercenti partner della società, mediante l’utilizzo di una piattaforma digitale e verso un corrispettivo.

Deliveroo Italy stipula con i rider un contratto-tipo predisposto dalla società, definito quale “contratto di collaborazione”, il cui oggetto consiste nella prestazione di servizi relativi al “prelievo da parte del rider presso ristoranti o altri partner […] di cibo preparato caldo/freddo e/o bevande (“ordine”) proposti al rider per mezzo dell’applicazione Deliveroo rider (“App”), e la consegna di tali ordini per mezzo di bicicletta, motoveicolo, autoveicolo, motociclo ai clienti di Deliveroo. Il rider non è obbligato a svolgere alcuna opera per Deliveroo né ad accettare alcuna proposta di servizi, né Deliveroo è obbligato a proporre alcuna opera al rider”. […] Deliveroo fornisce un servizio di prenotazione self-service («SSB») che può essere liberamente usato per loggarsi o per prenotare sessioni in cui il rider vuole ricevere proposte di servizio”. In proposito “la disponibilità durante le sessioni prenotate, se non cancellate in anticipo dal rider, e l’attività durante momenti di particolare traffico potranno essere elemento di preferenza per la prenotazione di sessioni successive”. Inoltre “quando il rider è loggato nell’app può decidere se accettare o rifiutare qualunque proposta di servizi”. Con riferimento al corrispettivo della prestazione “Deliveroo si riserva il diritto di offrire speciali corrispettivi aggiuntivi in caso di lanci, promozioni eccezionali, speciali condizioni temporanee”. La società fornisce al rider il kit di servizio (giacca, zaino con borsa termica recante il logo della società).

I trattamenti di dati personali, riferiti ai rider, effettuati dalla società nell’ambito del rapporto di lavoro disciplinato dal contratto sopra descritto presentano caratteristiche e modalità di effettuazione del tutto peculiari.

Il rider, per poter svolgere l’attività lavorativa, deve necessariamente installare sul proprio dispositivo personale (smartphone o tablet) l’applicazione Deliveroo rider. Per svolgere la propria prestazione deve necessariamente accedere all’applicazione, mediante le credenziali fornite dalla società che sono associate al numero di telefono o all’indirizzo e-mail (personali). Attraverso l’applicazione il rider prenota lo svolgimento della propria prestazione in determinate fasce orarie, stabilite dalla società, fino alla saturazione delle stesse, in base al funzionamento del sistema di prenotazione SSB (attivo almeno fino al 2 novembre 2020, secondo quanto dichiarato dalla società). Il sistema di prenotazione è configurato in Italia in modo da consentire ai rider la prenotazione dei turni  con priorità, sulla base di due specifici fattori: “affidabilità” ossia la partecipazione effettiva ai turni prenotati o la cancellazione precedente all’inizio del turno; “disponibilità”, ossia la effettiva partecipazione ai turni definiti di “superpicco”. La società, attraverso un ulteriore sistema algoritmico di assegnazione degli ordini denominato Frank, assegna gli ordini al rider che all’interno di una zona predeterminata ha impostato la modalità “online”.

Allo stato, secondo quanto dichiarato dalla società, l’accesso agli ordini attraverso l’applicativo avviene o attraverso il sistema di “free log-in”, nelle zone in cui esso è attivo, oppure, nelle zone in cui non opera il free log-in, effettuando la prenotazione dei turni all’interno di un calendario settimanale (non più basata sul sistema SSB).

In base a quanto reso noto all’Autorità attraverso la nota del 10 dicembre 2020 e le scarne informazioni messe a disposizione sul proprio sito internet, le statistiche dei rider “non avranno alcun effetto e non influenzeranno l’orario in cui [il rider può] accedere al calendario”, sebbene la società non abbia fornito alcuna informazione sui trattamenti dei dati già raccolti dal sistema di elaborazione delle statistiche né ha chiarito il funzionamento dell’attuale algoritmo di assegnazione degli ordini (come già rilevato nel precedente par. 3.3.5.).

Risulta comunque accertato che la società, avvalendosi della piattaforma digitale, utilizza un sistema di prenotazione e di assegnazione dei turni che si basa sui dati raccolti con i sistemi di Deliveroo o di terza parte. Anche in relazione alle zone in cui è applicato il sistema di free log-in la società si riserva di individuare ulteriori rider, rispetto a quelli che risultano disponibili, per assegnare loro gli ordini nel caso in cui “[…] le richieste dei clienti sono superiori al numero di Rider presenti”.

La società pertanto stabilisce i turni di lavoro (fasce orarie sul calendario settimanale), il luogo di lavoro (individuando le zone della città predeterminate ed inserite nel sistema all’interno delle quali il rider deve trovarsi al momento della presa in servizio) e il criterio di accesso ai turni anche avvalendosi di un sistema di prenotazione e di assegnazione degli stessi, su base settimanale, attraverso l’elaborazione di valori effettuata dalla piattaforma digitale (e il relativo algoritmo), la quale utilizza tutti i dati raccolti con la app, quelli inseriti dalla funzione customer care/supporto rider e quelli derivanti dai feedback.

La società determina il compenso sulla base degli ordini consegnati, anche se un corrispettivo è riconosciuto anche in mancanza di ordini. La fase di esecuzione dell’ordine è gestita attraverso il sistema che raccoglie i dati relativi a tutte le fasi dell’ordine stesso tramite la app, compresa la posizione geografica rilevata mediante GPS, nonché i dati relativi a situazioni predeterminate definite “discrepanze/triggers” che consistono per lo più in scostamenti, anche di pochi minuti, rispetto ai tempi stimati (es. di ritiro del cibo dal ristorante e/o di consegna al cliente) o rispetto a tempi comunque predeterminati (es. tempo di effettivo spostamento del rider dal luogo in cui ha accettato il pick up) o rispetto all’effettivo spostamento rilevato in un arco di tempo predeterminato (es. trascorsi 5 minuti dall’accettazione dell’ordine il rider si sposta in un raggio inferiore ai 50 metri). All’occorrenza di tali situazioni predeterminate il rider viene contattato dal customer care. Il sistema raccoglie dati relativi all’esito e allo stato delle discrepanze/triggers riscontrate (v. All. C nota 10.7.2019), con possibilità di accedere, attraverso i propri sistemi, allo storico degli ordini nonché ad una vasta tipologia di dati elaborati dal sistema (tra cui: percentuale di accettazione degli ultimi 100 ordini; status degli ultimi 5 ordini: consegnato, rifiutato, non assegnato; numero di volte in cui c’è stato un potenziale problema o in cui c’è stata un’azione in relazione ad un determinato ordine; percentuale di sessioni frequentate dai 14 giorni più recenti; percentuale di sessioni cancellate con un preavviso inferiore alle 24 ore; percentuale di ordini per i quali il rider ha inizialmente accettato ma successivamente rifiutato gli ordini).

Il sistema, inoltre, come già evidenziato, registra e conserva i dati esterni e il contenuto delle comunicazioni effettuate con il rider mediante chat ed e-mail, nonché, fino al 10 luglio 2019, mediante telefono. I sistemi utilizzati dalla società consentono di visualizzare, per ciascun rider, sia i dettagli dell’ordine in corso (compresa la visualizzazione su mappa) sia lo storico degli ordini effettuati.

Considerato che i trattamenti dei dati riferiti ai rider sono effettuati nell’ambito di un rapporto di lavoro è necessario esaminare preliminarmente le disposizioni specifiche contenute nel Regolamento in tale materia all’interno del Capo IX. In particolare l’art. 88 del Regolamento ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, indipendentemente dalla specifica tipologia del rapporto di lavoro. Ciò con particolare riferimento all’adozione di “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune e i sistemi di monitoraggio sul posto di lavoro”. Il legislatore nazionale ha approvato, quale disposizione più specifica, l’art. 114 del Codice che tra le condizioni di liceità del trattamento –ai sensi dell’art. 5, par. 1, lett. a) del Regolamento – ha stabilito l’osservanza di quanto prescritto dall’art. 4, legge 20 maggio 1970, n. 300. La violazione del richiamato art. 88 del Regolamento è soggetta, ricorrendone i requisiti, all’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. d) del Regolamento.

Il legislatore nazionale, a partire dal 2015, ha inoltre adottato disposizioni volte a disciplinare l’ambito delle prestazioni di lavoro effettuate mediante l’operatività di piattaforme digitali. L’art. 2, d. lgs. 15 giugno 2015, n. 81 ha stabilito che “A far data dal 1° gennaio 2016, si applica la disciplina del rapporto di lavoro subordinato anche ai rapporti di collaborazione che si concretano in prestazioni di lavoro esclusivamente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro”. A seguito delle modificazioni introdotte dalla l. 2 novembre 2019, n. 128, in vigore dal 3 novembre 2019, l’art. 2 su citato prevede che le prestazioni di lavoro siano non già “esclusivamente” bensì “prevalentemente” personali, ed inoltre, nel precisare che le modalità di esecuzione del lavoro sono organizzate dal committente, ha soppresso il riferimento ai tempi e al luogo di lavoro. È stato, infine, chiarito che le disposizioni si applicano “anche qualora le modalità di esecuzione della prestazione siano organizzate mediante piattaforme anche digitali”.

È stato altresì inserito il Capo V-bis dedicato alla “Tutela del lavoro tramite piattaforme digitali” che ha introdotto le definizioni di piattaforme digitali (“i programmi e le procedure informatiche utilizzati dal committente che, indipendentemente dal luogo di stabilimento, sono strumentali alle attività di consegna di beni, fissandone il compenso e determinando le modalità di esecuzione della prestazione”) e di rider (“i lavoratori autonomi che svolgono attività di consegna di beni per conto altrui, in ambito urbano e con l'ausilio di velocipedi o veicoli a motore di cui all'articolo 47, comma 2, lettera a), del codice della strada, di cui al decreto legislativo 30 aprile 1992, n. 285, attraverso piattaforme anche digitali”) (v. art. 47-bis, d. lgs. n. 81/2015). Tali definizioni, come anche chiarito con circolare del Ministero del Lavoro n. 17 del 19 novembre 2020, hanno valenza generale, ossia riferita anche alle prestazioni rese nel contesto della c.d. “etero-organizzazione” ai sensi del richiamato art. 2, d. lgs. n. 81/2015. Il predetto Capo V-bis ha inoltre stabilito “livelli minimi di tutela” per i rider che, in concreto, operano in qualità di lavoratori autonomi, in particolare estendendo l’applicabilità della “disciplina antidiscriminatoria e di quella a tutela della libertà e dignità del lavoratore previste per i lavoratori subordinati, ivi compreso l’accesso alla piattaforma” e vietando “l’esclusione dalla piattaforma e le riduzioni delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” (art. 47-quinquies, d.lgs. n. 81/2015). Per effetto di quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015, l’applicazione della disciplina in materia di “libertà e dignità del lavoratore” prevista per i lavoratori subordinati – che ricomprende quella posta dall’art. 4, l. 20.5.1970, n. 300 -, rientra quindi tra i livelli minimi di tutela garantiti dall’ordinamento, indipendentemente dalla concreta natura del rapporto di lavoro in essere con coloro che rendono la prestazione di consegna di beni attraverso piattaforme “anche digitali” (v. sul punto Tribunale di Bologna, sez. lav., ord. cit.).

È inoltre precisato che la disciplina in materia di protezione dei dati personali è applicabile ai trattamenti di dati dei lavoratori che svolgono la loro attività attraverso le piattaforme digitali (art. 47-sexies, d.lgs. n. 81/2015). Tali diritti devono intendersi riconosciuti ai rider, indipendentemente dalla natura del rapporto di lavoro sottostante (etero-organizzato o autonomo), trattandosi di diritti fondamentali e indisponibili (sull’applicabilità di tale complessiva disciplina ai rider v. Trib. Bologna, sez. lav., ord. cit.).

I trattamenti di dati personali oggetto di accertamento sono effettuati da Deliveroo Italy nell’ambito di un rapporto di lavoro ora normato dal richiamato art. 2, d. lgs. n. 81/2015 (come modificato dall’art. 1, comma 1, lett. a), nn. 1 e 2, d.l. 3.9.2019, n. 101, convertito con modificazioni in l. 2.11.2019, n. 128). La società, infatti, attraverso l’utilizzo di una piattaforma digitale consente ai clienti di effettuare ordini di cibo o altri beni, presso un esercizio commerciale, e organizza l’attività di trasporto e consegna dei beni, in assenza di alcun coordinamento stabilito di comune accordo con i rider.

Dall’esame delle concrete modalità dei trattamenti effettuati emerge che, indipendentemente da quanto astrattamente previsto nel contratto di lavoro, i rider effettuano continuativamente la prestazione con attività prevalentemente personale e con modalità esecutive determinate e organizzate dalla società, anche attraverso l’utilizzo di una piattaforma digitale. La società, attraverso la prenotazione di turni di lavoro predeterminati, seleziona e distribuisce i turni stessi attraverso un sistema che tiene conto anche delle valutazioni assegnate dai clienti, della quantità di ordini assegnati ed effettuati, e del tempo stimato (e concretamente occorso) di consegna (v. precedente punto 1.1., lett. p). È proprio attraverso l’operatività di tali sistemi (i quali hanno a disposizione una pluralità di dati raccolti quali, ad esempio, la posizione geografica, il modello e il sistema operativo dell’ultimo dispositivo usato dal rider) che la società organizza l’attività di consegna, individuando, tra l’altro, tempo e luogo della prestazione. Inoltre l’attività è stata organizzata, quantomeno fino all’abbandono del sistema SSB, in modo da premiare i rider con il maggior numero di sessioni prenotate e di ordini accettati e consegnati; allo stato, ferme restando le considerazioni precedentemente esposte relative alla scarsa trasparenza del funzionamento dell’attuale sistema di prenotazione e assegnazione degli ordini, la presenza di un sistema di prenotazione, su base settimanale, dei turni di lavoro conferma l’interesse della società a che la prestazione abbia natura continuativa (v., ad es., quanto dichiarato dalla società circa la prevista riassegnazione dell’ordine a altro rider in assenza di presa in carico dell’ordine entro il breve termine di 60 secondi; v. punto 1.1., lett. m). Occorre sottolineare che la scelta del rider in merito al se e quando effettuare la propria prestazione non è senza conseguenze nell’ambito del rapporto di lavoro e pertanto, contrariamente a quanto sostenuto dalla società secondo la quale vi è la “totale libertà del rider di determinare non solo le modalità della prestazione ma il fatto stesso di rendere, o meno, qualsivoglia servizio” (v. memorie difensive, pag. 16), tale scelta non può definirsi “libera” (alle stesse conclusioni giunge Trib. Palermo, sez. lavoro, sentenza 24.11.2020, n. 3570, resa nei confronti di altra società che opera nell’ambito del “food delivery”, Foodinho s.r.l.).

La su esposta ricostruzione della natura del rapporto di lavoro, nell’ambito del quale sono effettuati i trattamenti, è, d’altra parte, coerente con quanto accertato dalla giurisprudenza, anche europea, che ha, con alcune recenti pronunce, qualificato l’attività di soggetti che mediante una piattaforma digitale mettono in relazione clienti ed esercenti nei termini di attività di impresa di trasporto (v., tra le più recenti, Corte di giustizia, Grande Sezione, 20 dicembre 2017, C-434/15 avente ad oggetto il caso che aveva coinvolto la società Uber Systems Spain SL; Cour de cassation, Chambre sociale, 4 marzo 2020, n. 374, adottata nei confronti di Uber France e Uber BV; Sentencia SOCIAL Nº 805/2020, Tribunal Supremo, Sala de lo Social, Rec 4746/2019 de 25 de Septiembre de 2020 cit., adottata nei confronti di GlovoApp23).

In proposito, infine, la Corte di Cassazione (sentenza 24 gennaio 2020, n. 1663), pronunciandosi in un caso avente ad oggetto il rapporto di lavoro tra una società di “food delivery” ed alcuni rider, ha chiarito che il richiamato art. 2, d.lgs. n. 81/2015 deve qualificarsi come norma di disciplina che non crea una nuova fattispecie, posto che “al verificarsi delle caratteristiche delle collaborazioni individuate dall’art. 2, comma 1, del d.lgs. 81 del 2015, la legge ricollega imperativamente l’applicazione della disciplina della subordinazione”. In particolare, a seguito di alcune modifiche normative che hanno interessato la tipologia dei contratti di lavoro in Italia, “il legislatore, in una prospettiva anti elusiva, ha inteso limitare le possibili conseguenze negative, prevedendo comunque l’applicazione della disciplina del rapporto di lavoro subordinato a forme di collaborazione, continuativa e personale, realizzate con l’ingerenza funzionale dell’organizzazione predisposta unilateralmente da chi commissiona la prestazione”. A tale risultato il legislatore nazionale è pervenuto valorizzando “taluni indici fattuali ritenuti significativi (personalità, continuità, etero-organizzazione) e sufficienti a giustificare l’applicazione della disciplina dettata per il rapporto di lavoro subordinato […]”. Pertanto “quando l’etero-organizzazione, accompagnata dalla personalità e dalla continuità della prestazione, è marcata al punto da rendere il collaboratore comparabile ad un lavoratore dipendente, si impone una protezione equivalente e, quindi, il rimedio dell’applicazione integrale della disciplina del lavoro subordinato”.

Con riferimento alla disciplina applicabile ratione temporis al caso di specie, i trattamenti effettuati nell’ambito del rapporto di lavoro da Deliveroo Italy hanno tutt’ora le caratteristiche accertate dall’Autorità nel corso del procedimento; da ciò consegue l’applicazione della disciplina di settore allo stato vigente (art. 2, d. lgs. 15.6.2015, n. 81). Ad ogni buon conto, alle prestazioni lavorative dei rider così come concretamente organizzate dalla società sarebbe stato applicabile, per i motivi suesposti, il comma 1 del richiamato art. 2, d.lgs. n. 81/2015 anche nel testo antecedente alle recenti modifiche normative intervenute nel 2019 (applicabile alle “prestazioni di lavoro prevalentemente personali, continuative e le cui modalità di esecuzione sono organizzate dal committente anche con riferimento ai tempi e al luogo di lavoro”).

Posto pertanto che ai trattamenti effettuati dalla società si applica anche quanto stabilito dall’art. 4, l. 300/1970 cit., si rileva che Deliveroo Italy effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider, attraverso la continuativa geolocalizzazione del dispositivo (effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine, in ragione della distanza del rider dal punto di ritiro e di consegna, come sostenuto dalla società - v. precedente punto 1.1., lett. o -, considerata la rilevazione, effettuata ogni 12 secondi e la conservazione di tutti i percorsi effettuati per 6 mesi) e mediante la raccolta e la conservazione di una molteplicità di ulteriori dati personali raccolti nel corso dell’esecuzione dell’ordine, tra i quali le comunicazioni con il customer care.

L’art. 114 del Codice (“Garanzie in materia di controllo a distanza”), come già ricordato, richiama l’art. 4, l. n. 300/1970 come condizione di liceità dei trattamenti di dati personali effettuati nel contesto del rapporto di lavoro. In base a tale ultima disposizione “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro”.

La società, dunque, attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, l’app e i canali utilizzati dal customer care), effettua trattamenti di dati che consentono un’attività di minuzioso controllo della prestazione lavorativa svolta dai rider senza conformarsi a quanto in proposito stabilito dall’art. 4, comma 1, l. 300/1970.

In relazione a quanto sopra risulta pertanto accertata la violazione del principio di liceità del trattamento (art. 5, par. 1, lett. a) del Regolamento in relazione all’art. 114 del Codice) e dell’art. 88 del Regolamento che consente al diritto nazionale di prevedere misure “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Per i suesposti motivi l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dalla società risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. a), c) ed e) (principi di liceità, correttezza, minimizzazione e limitazione della conservazione); 13 (informativa); 22, par. 3 (misure appropriate per i trattamenti automatizzati compresa la profilazione); 25 (protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita: privacy by design e by default); 30 (registro dei trattamenti), par. 1, lett. c), f) e g); 32 (misure di sicurezza); 35 (valutazione di impatto); 37, par. 7 (comunicazione all’autorità di controllo del responsabile della protezione dei dati); 88 (trattamento dei dati nell'ambito dei rapporti di lavoro) del Regolamento e 114 (garanzie in materia di controllo a distanza) del Codice.

Visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento, alla luce delle circostanze del caso concreto, si ritiene necessario assegnare alla società un termine per conformare al Regolamento i trattamenti di dati tutt’ora in essere, pertanto si ingiunge alla società di conformare al Regolamento i propri trattamenti, con riferimento:

- alla corretta predisposizione dei documenti contenenti l’informativa, in particolare fornendo precise indicazioni ai rider in merito al funzionamento del sistema di assegnazione degli ordini attualmente in uso (compresa la tipologia dei dati trattati e in merito ai trattamenti dei dati già raccolti dal sistema di elaborazione delle statistiche); al registro dei trattamenti e alla valutazione di impatto, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- alla individuazione dei tempi di conservazione dei dati trattati, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno con riferimento al diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati, compresa la profilazione, effettuati mediante la piattaforma, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/23015 in materia di divieto di discriminazione, accesso alla piattaforma e esclusione dalla piattaforma (art. 58, par. 2, lett. d), Regolamento);

- alla individuazione di misure appropriate volte a introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback; tale verifica dovrà essere ripetuta a ogni modifica dell’algoritmo, relativamente all’utilizzo dei feedback per il calcolo del punteggio (art. 58, par. 2, lett. d), Regolamento);

- all’applicazione dei principi di minimizzazione e di privacy by design e by default, in relazione ai trattamenti dei dati dei rider, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, nei termini di cui in motivazione (art. 58, par. 2, lett. d), Regolamento);

- alla specifica individuazione dei soggetti autorizzati ad accedere ai sistemi, in qualità di supervisori, con visibilità non limitata su base territoriale, definendo a priori ipotesi predeterminate e specifiche finalità che rendano necessario tale accesso e adottando misure appropriate per assicurare la verifica di tali accessi.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del complesso procedimento risulta che Deliveroo Italy s.r.l. ha violato gli artt. 5, par. 1, lett. a), c) ed e); 13; 22, par. 3; 25; 30, par. 1, lett. c), f) e g); 32; 35; 37, par. 7; 88 del Regolamento; 114 del Codice. Per la violazione delle predette disposizioni è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del Regolamento.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, considerato che le accertate violazioni dell’art. 5 del Regolamento sono da considerarsi più gravi, in quanto relative alla inosservanza di una pluralità di principi di carattere generale applicabili al trattamento di dati personali e delle norme di settore applicabili, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto per la predetta violazione. Conseguentemente si applica la sanzione prevista dall’art. 83, par. 5, lett. a), del Regolamento, che fissa il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

a) in relazione alla natura, gravità e durata della violazione è stata considerata rilevante la natura della violazione che ha riguardato i principi generali del trattamento, tra cui il principio di liceità, correttezza e trasparenza; in particolare le violazioni hanno riguardato anche la disciplina di settore in materia di controlli a distanza e quella posta a tutela del lavoro tramite piattaforme digitali; le violazioni hanno riguardato anche ulteriori molteplici disposizioni relative all’informativa e al principio di accountability, che trova applicazione nella corretta predisposizione del registro delle attività di trattamento, nella effettuazione di una valutazione di impatto e nella applicazione del principio di privacy by design e by default; è stata altresì violato l’obbligo di approntare misure appropriate per tutelare i diritti e le libertà degli interessati a fronte di trattamenti automatizzati, compresa la profilazione, effettuati mediante l’utilizzo di una piattaforma digitale e i relativi sistemi algoritmici; le violazioni hanno riguardato anche gli obblighi posti in capo al titolare in materia di misure di sicurezza e di comunicazione all’Autorità dei dati di contatto del responsabile della protezione dei dati; è stato altresì considerato che alcune violazioni accertate sono tutt’ora in essere e hanno avuto inizio nel 2015 (anno di inizio delle attività da parte della società) e che i trattamenti riguardano un numero considerevole di interessati (circa 8.000);

b) con riferimento al carattere doloso o colposo della violazione e al grado di responsabilità del titolare è stata presa in considerazione la condotta della società e il grado di responsabilità della stessa che non si è spontaneamente conformata alla disciplina in materia di protezione dei dati relativamente a una pluralità di disposizioni, dopo l’avvio del procedimento da parte dell’Autorità, eccezion fatta per l’abbandono del sistema di prenotazione prioritaria SSB e l’implementazione di alcune direttive interne in materia di dati personali;

c) a favore della società si è tenuto conto dell’assenza di precedenti specifici e della parziale cooperazione con l’Autorità nel corso del procedimento.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore, determinate in base ai ricavi conseguiti dalla società con riferimento al bilancio d’esercizio per l’anno 2019 (che ha registrato perdite di esercizio). Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Deliveroo Italy s.r.l. la sanzione amministrativa del pagamento di una somma pari ad euro 2.500.000,00 (due milioni e cinquecentomila).

In tale quadro si ritiene, altresì, in considerazione della numerosità e del rilievo delle violazioni, nonché dell’entità della sanzione che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del reg. del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

Si ricorda che, ricorrendone i presupposti, può essere applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da Deliveroo Italy s.r.l., in persona del legale rappresentante, con sede legale in Via Carlo Bo, 11, Milano (MI), C.F. 09214970965, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. a), c) ed e); 13; 22, par. 3; 25; 30, par. 1, lett. c), f) e g); 32; 35; 37, par. 7; 88 del Regolamento; 114 del Codice;

INGIUNGE

a Deliveroo Italy s.r.l.:

1) di conformare, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, i propri trattamenti al Regolamento, con riferimento:

a) alla corretta predisposizione dei documenti contenenti l’informativa, al registro dei trattamenti e alla valutazione di impatto, entro 60 giorni dal ricevimento del presente provvedimento;

b) alla individuazione dei tempi di conservazione dei dati trattati, entro 60 giorni dal ricevimento del presente provvedimento;

c) alla individuazione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione, in relazione ai trattamenti automatizzati compresa la profilazione effettuati mediante la piattaforma, entro 60 giorni dal ricevimento del presente provvedimento;

d) alla individuazione di misure appropriate volte alla verifica periodica della correttezza ed accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/23015 in materia di divieto di discriminazione, accesso alla piattaforma e esclusione dalla piattaforma, da avviare entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

e) alla individuazione di misure appropriate volte ad introdurre strumenti per evitare usi impropri e discriminatori dei meccanismi reputazionali basati su feedback, verifica che dovrà essere ripetuta ad ogni modifica dell’algoritmo, relativamente all’utilizzo dei feedback per il calcolo del punteggio, da avviare entro 60 giorni dal ricevimento del presente provvedimento, concludendo l’attività di verifica entro i successivi 90 giorni;

f) all’applicazione dei principi di minimizzazione e di privacy by design e by default, entro 60 giorni dal ricevimento del presente provvedimento;

g) alla individuazione dei soggetti autorizzati ad accedere ai sistemi, in qualità di supervisori, con visibilità non limitata su base territoriale, definendo ipotesi predeterminate e specifiche finalità che rendano necessario tale accesso e adottando misure appropriate per assicurare la verifica di tali accessi;

h) all’adempimento di quanto previsto dall’art. 4, comma 1, l. 20.5.1970, n. 300, entro 60 giorni dal ricevimento del presente provvedimento;

2) di pagare la predetta somma di euro 2.500.000,00 (due milioni e cinquecentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981. Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

ORDINA

ai sensi dell’art. 58, par. 2, lett. i) del Regolamento a Deliveroo Italy s.r.l., di pagare la somma di euro 2.500.000,00 (due milioni e cinquecentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/20129, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

Richiede a Deliveroo Italy s.r.l. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 90 giorni dalla data di notifica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei