La società Foodinho, controllata da GlovoApp23, è stata multata dal Garante con 2,6 milioni di Euro. Una sanzione che farà parlare e che metterà in allarme parecchi venditori on-line (e non solo)
L’attività ispettiva avviata dal Garante nei confronti di Foodinho, culminata con la cifra di € 2.600.000,00, mette in luce, fra gli altri, una serie di elementi che è bene non sottovalutare.
Fra i tanti, vi segnaliamo questi 9 aspetti:
1) Non sono state fornite informazioni trasparenti agli interessati
Si tratta della violazione di un importante principio del GDPR che impone al Titolare del trattamento di fornire informazioni chiare, corrette e reali rispetto all’effettivo trattamento dei dati
personali. Il Titolare deve predeterminare i contenuti delle attività di trattamento, le c.d. finalità, e trasmettere all’interessato l’intero contenuto, in maniera puntuale e senza periodi generici o incoerenti, specificando chiaramente l’effettiva portata del trattamento.
Ciò è particolarmente rilevante se le nostre attività di trattamento includono anche sistemi, come ad esempio quelli automatizzati o di profilazione, che per loro natura rappresentano attività delicate o di particolare impatto sull’interessato. Ad esempio, nel caso contestato, venivano attuate attività di trattamento automatizzato e di profilazione, in grado di classificare i raiders, senza che tale circostanza sia stata chiaramente e debitamente manifestata all’interessato medesimo e senza che questi avesse contezza della logica e della portata di tale trattamento.
La violazione dei medesimi obblighi di trasparenza è stata contestata anche nei confronti dei dipendenti, oltretutto integrante anche la violazione del principio di correttezza, quale conseguenza naturale del rapporto datoriale.
2) Non sono stati individuati e comunicati i termini di conservazione dei dati.
A fronte della pianificazione del trattamento, il Titolare è tenuto ad identificare un termine di conservazione, ridotto al minimo indispensabile, manifestandolo poi all’interessato nell’informativa. In questo caso, invece, i termini non erano stati correttamente individuati.
3) Non sono stati indicati i dati di contatto del DPO, obbligo imposto dal GDPR nel caso in cui il
Titolare l’abbia nominato.
Su tale aspetto, ricordiamo che la nomina può essere obbligatoria, nei casi previsti dal GDPR, oppure volontaria.
4) Non sono stati osservati i principi di minimizzazione dei dati e di privacy by design.
Il GDPR richiede che, per impostazione predefinita, il Titolare tratti solo i dati necessari per ogni specifica finalità di trattamento e ciò vale anche con riferimento alla quantità dei dati, alla portata del trattamento i dati trattati per ciascuna attività di trattamenti siano essere attentamente selezionati e ridotti al minimo, mentre nel caso specifico veniva riscontrata una raccolta di dati personali arbitraria e per molteplici usi. Inoltre, i dati non avevano dei propri ambiti di gestione, potendo invece essere combinati dai vari sistemi interni, ad esempio il sistema di gestione della chat e della posta elettronica era configurato per consentire a ciascun operatore di accedere direttamente ai contenuti delle chat e delle email scambiate con i raiders senza ulteriori autenticazioni. La situazione era inoltre aggravata dall’elevato numero di soggetti autorizzati ai dati dei raiders, per le ragioni spiegate nel punto successivo.
5) Non sono state implementate adeguate misure di sicurezza
Il Titolare è tenuto ad attuare misure di sicurezza adeguate per assicurare, fra l’altro la riservatezza,
l’integrità e la disponibilità dei dati, limitando oltretutto l’accessibilità ai medesimi. In pratica, una misura di sicurezza di primo livello, inquadrata nella riduzione delle persone autorizzate ad accedere ai dati. Nel caso di specie, invece, veniva rilevato che i sistemi informatici erano stati configurati dall’inizio in modo da consentire l’accesso di default a un numero consistente di dati personali da un numero significativo di operatori di sistema in relazione a un’ampia gamma di compiti da svolgere informazioni sui rider. Il Garante ha qualificato tale circostanza come di potenziale rischio, non controllato dal Titolare, poiché ciò non consentiva di garantire ‘riservatezza, integrità, disponibilità e resilienza dei sistemi» su base permanente, tenendo conto dei rischi legati alla ‘perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illegale dei dati personali.
6) Non realizzare la c.d. Valutazione d’impatto sulla protezione dei dati (DPIA)
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato (v.d. sezione informativa Garante).- Nel caso specifico, la tecnologia utilizzata dal Titolare, basata su algoritmi e sistemi automatizzati era chiaramente di natura innovativa e rientrava come tale nel campo di applicazione dell’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati.
7) Non tutelare l’interessato rispetto ai trattamenti automatizzati ed alla profilazione
Qualora il Titolare effettui un trattamento automatizzato, compresa la profilazione, deve inoltre garantire e tutelare i diritti , le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano […].di esprimere la propria opinione e di contestare la decisione. Nel caso di specie, in cui la società aveva creato un sistema algoritmo di rating dei raiders, non erano state adottate misure relative all’esercizio dei diritti attraverso l’attivazione di canali dedicati, né gli interessati erano in alcun modo consapevoli della possibilità di esercitare tali diritti nei confronti delle decisioni adottate mediante l’utilizzo della piattaforma. Inoltre non erano state adottate a tutela degli interessati, misure volte a verificare periodicamente la correttezza ed accuratezza dei risultati dei sistemi algoritmici, la esattezza, pertinenza ed adeguatezza dei dati utilizzati dal sistema rispetto alle finalità perseguite, e a ridurre al massimo il rischio di effetti distorti o discriminatori, con riferimento al funzionamento della piattaforma digitale. Tali errori, congiuntamente alla mancata realizzazione della DPIA (di cui al punto precedente), rappresentano la base minima di ragionamento in caso di implementazione di tale tipologia di sistemi.
8) Non gestire adeguatamente il registro dei trattamenti
L’art. 30 del GDPR prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Il registri rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro è una fotografia fedele ed aggiornata delle attività di trattamento effettuate dal Titolare con riguardo, fra l’altro, alle finalità, basi giuridiche, termini di conservazione, misure di sicurezza.
Nel caso specifico, è stato contestata la mancanza di alcune informazioni obbligatoriamente richieste dalla norma, quali le informazioni specifiche sui periodi di conservazione; la descrizione generale delle misure di sicurezza tecniche organizzative. Inoltre non era segnalata la datazione ed i versionamenti del registro.
9) Mancato rispetto del principio di liceità del trattamento
Secondo le disposizioni del GDPR e del Codice Privacy, i dati devono essere trattati in modo lecito ovvero in base alle prescrizioni di legge. Nel caso specifico, i dati personali dei raiders venivano trattati in violazione delle norme che regolano i rapporti di lavoro, con riguardo al divieto di controllo a distanza dei lavoratori e delle disposizioni a tutela del lavoro.
Questi solo alcuni dei punti messi in luce dal provvedimento del Garante. Molti punti sono comuni a diverse attività e non necessariamente solo on-line.
L’elencazione degli errori più gravi contestati dovrebbero far scattare noi almeno queste domande:
- abbiamo realizzato la nostra documentazione privacy (informativa , registro dei trattamenti e DPIA) assicurando anche la coerenza tra i trattamenti ivi richiamati?
- abbiamo individuato i termini di conservazione dei dati che trattiamo?
- abbiamo dichiarato tali termini agli interessati?
- se abbiamo implementato dei sistemi basati su algoritmi o su sistemi automatizzati, inclusa la profilazione, ci siamo assicurati di rispettare e garantire i diritti degli interessati? abbiamo adottato misure idonee a verificare regolarmente la correttezza e l’accuratezza dei risultati delle analisi algoritmiche?
- abbiamo applicato i principi di minimizzazione e privacy by design e default, limitando i soggetti autorizzati ad accedere alle diverse categorie di dati ed attribuendo a questi specifici compiti?
Avv Manuela Borgese
Vice Presidente AICEL
Head Of Legal and Privacy Department