privacy

GDPR e Food Delivery, la protezione dei dati personali nell’economia digitale 2.0

di |

Se la registrazione del proprio profilo all’interno delle diverse App per poter ricevere comodamente a casa i nostri ordini comporta il rilascio di molti dati personali, è, sotto il profilo GDPR, il trattamento dei dati personali dei riders, caratterizzato da una gestione del rapporto di lavoro attraverso un’applicazione che segue in continuazione il lavoratore.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

L’emergenza sanitaria ha cambiato radicalmente le nostre vite. I riflessi dell’inaspettata pandemia si scorgono ormai in ogni fase della nostra vita quotidiana: dal lavoro allo studio dal tempo libero alla vita sociale.

Uno degli effetti di maggior impatto a seguito delle necessarie restrizioni Covid è la forte limitazione degli spostamenti, cui si collegano la distanza sociale, il coprifuoco, le disposizioni del governo che chiudono al pubblico, l’impossibilità di poter frequentare bar e ristoranti: tutto ciò ha fatto sì che le piattaforme di food delivery siano diventate un servizio essenziale per la vita di molte persone.

I siti internet e le App attraverso le quali, oggi, è possibile ordinare cibo a domicilio sono tante; forse la più conosciuta è Deliveroo, ma non meno “affollate” sono le piattaforme Just Eat, Glovo e Uber Eats etc.

Food Delivery e privacy: due lati della stessa medaglia

L’emergenza Covid ha sicuramente fatto impennare il numero di utenti che si affidano a questo sistema di ristorazione “a domicilio” anche se dal punto di vista della protezione dei dati personali è doveroso chiedersi se le aziende, nell’erogare tali servizi, rispettano le regole a tutela della privacy degli utenti, sempre più numerosi e affezionati a questo nuovo trend.

La questione del rispetto delle norme del Regolamento UE 679/16 non riguarda solo il trattamento dei dati personali che il cliente rilascia quando decide di usufruire delle App di food delivery, ma anche quello dei dipendenti-fattorini (comunemente conosciuti come “riders”), risorse essenziali anche per tutti quei ristoranti tradizionali che, con l’emergenza, hanno dovuto intensificare il servizio da asporto per poter dare continuità alla propria attività.

Ed invero, se la registrazione del proprio profilo all’interno delle diverse App per poter ricevere comodamente a casa i nostri ordini comporta il rilascio di molti dati personali tra cui: nome, cognome, indirizzo di casa, numero di telefono, email nonché il numero della carta di credito, non meno rilevante è, sotto il profilo GDPR, il trattamento dei dati personali dei riders, caratterizzato da una gestione del rapporto di lavoro attraverso un’applicazione che segue in continuazione il lavoratore.

Il piano ispettivo del Garante

La questione è stata esaminata, con doverosa attenzione, anche da parte della stessa Autorità di controllo; nello specifico, il Garante ha ufficialmente inserito le realtà del food delivery nel piano ispettivo relativo al secondo semestre del 2019 [doc. web n. 9147297].

Nello specifico, con deliberazione del 12 settembre 2019, ha indicato – tra gli altri obiettivi dell’ispezione – proprio la verifica di conformità al GDPR dei trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”.

Gli elementi che hanno fatto insospettire l’Autorità Garante sono rinvenibili nelle lacune e tortuosità delle informative e privacy policy a corredo delle App in commento, le quali, spesso, risultano troppo lunghe e poco chiare per l’utente, ponendosi in contrasto con la doverosa trasparenza imposta dal Regolamento GDPR a favore degli interessati al trattamento (invitati a fornire, non raramente, anche dati di natura particolare ex art. 9 GDPR).

Può di sovente capitare di imbattersi in un’informativa sul trattamento dei dati personali manchevole delle informazioni basilari (es. le indicazioni complete del Titolare del trattamento) affinché l’utente possa esercitare il controllo dei propri dati, obiettivo primario del GDPR.

Non di rado, si riscontra che la sezione dedicata all’inserimento dei dati personali sia strutturata in violazione con il principio di minimizzazione ex art. 5 GDPR, richiedendo all’utente dati personali non strettamente necessari alla finalizzazione dell’ordine culinario.

Ancora, si evidenzia che un’analisi condotta dalle più importanti società di sicurezza informatica ha rilevato che durante il processo di registrazione manchi, di frequente, un adeguato livello di verifica per accertare la corrispondenza dell’identità dell’utente ai dati inseriti per completare l’iscrizione alle diverse App.

Senza dimenticare che al cliente deve essere chiaro se l’azienda titolare del servizio richiesto svolge un “identikit” basato sui gusti, sulle preferenze e sulle abitudini di acquisto, oppure ancora se i dati personali inseriti nel contact form saranno oggetto di operazioni di marketing diretto (svolto mediante newsletter periodiche o le cd. notifiche push) o infine se le informazioni rilasciate saranno cedute a terzi operatori; tutte ipotesi di trattamento dei dati personali la cui liceità sottende un esplicito consenso da parte dell’utente.

GDPR: le criticità per gli utenti (e per i riders)

È opportuno analizzare, oltre a ciò, la stretta connessione che può insorgere fra le app di food delivery e le piattaforme social; frequente è infatti la possibilità di accedere alle stesse attraverso il proprio account, (primo fra tutti Facebook).

Ciò comporta naturalmente una maggiore facilità di profilare l’utente perché a quel punto, ai dati raccolti dalle App in commento – come, per esempio, preferenze sui ristoranti o indirizzi personali – si sommano i dati personali dei social, con il rischio che l’utente possa perdere del tutto il controllo del loro utilizzo.

Come già accennato, le criticità in ordine al trattamento dei dati personali coinvolti in questa nuova prassi non solo riguardano i profili personali degli utenti, ma si estendono anche a quelli degli stessi riders di food delivery impegnati ad effettuare, 24/24h, le consegne di pranzi e cene al nostro pianerottolo.

Sono sorti, a gran voce, molti dubbi circa il mancato rispetto della loro privacy e dei loro diritti essendo costantemente monitorati, a prescindere dal loro consenso, alla luce del fatto di dover rendere conto di ogni spostamento fatto durante l’orario di lavoro.

Si comprende, pertanto, come ogni transazione non solo sia idonea a rivelare abitudini, gusti e tendenze di consumo dei clienti ma come, a tali dati, si aggiungano informazioni personali degli stessi fattorini.

Tali criticità non sono sfuggite al Garante per la protezione dei dati personali, il quale si è prontamente attivato avviando un’istruttoria per il trattamento dei dati personali da parte delle App di food delivery, ponendo sotto la propria lente di ingrandimento l’azienda leader Deliveroo.

La circostanza che ha condotto il Garante a voler vederci più chiaro ha fatto leva proprio sulla provocazione lanciata dalle diverse associazioni (Assodelivery, Deliverance Milano etc) che si battono per ottenere condizioni contrattuali migliori per i lavoratori delle piattaforme di consegna di cibo a domicilio, le quali hanno a gran voce denunciato la violazione della privacy dei riders, unitamente a quella degli utenti e dei clienti, in nome della cd. economia digitale 2.0.

Se a ciò si aggiunge che la maggior parte delle aziende di food delivery poco investono al fine di garantire una corretta e sufficiente applicazione delle norme GDPR a tutela dei diritti e delle libertà dei propri clienti, non possiamo che sperare che con il costante aumento del numero degli utenti che affidano i propri dati personali alle piattaforme di food delivery, cresca proporzionalmente anche il loro impegno ad allineare le proprie politiche sulla privacy alle prescrizioni vigenti in materia.

Articolo di Eleonora Mataloni, avvocato, esperta in privacy e diritto civile – componente del D&LNET