Il lavoro tramite piattaforme digitali ha avuto un’esposizione mediatica significativa durante il periodo della pandemia, facendo emergere varie criticità e problematiche relative proprio alla gestione dei Riders in riferimento alle loro tutele.
Diverse sono state le società soggette a sanzioni o sottoposte a procedimenti giurisdizionali (Vedi il caso Deliveroo) e forse proprio per questo motivo il legislatore europeo ha deciso recentemente di emanare una Direttiva specifica con l’obbiettivo di stabilire procedure armonizzate volte a migliorare le condizioni di lavoro effettuate mediante piattaforme digitali.
A parere di chi scrive, il recente Provvedimento del Garante privacy risulta interessante sotto duplici profili. All’interno delle 64 pagine che compongono l’atto, il Garante si è espresso in merito a varie tematiche come, per esempio, sull’applicabilità del GDPR alle persone decedute e sul principio del NE BIS IN IDEM.
In questa sede, per brevità e utilità delle informazioni divulgate, ci concentreremo ad analizzare la disciplina affrontata sui processi decisionali automatizzati e sugli adempimenti ad essi connessi, in relazione alle specifiche peculiarità derivanti dalla legislazione lavoristica.
Indice
Il caso sanzionato:
La società Foodinho, controllata da Glovo, era stata già sanzionata nel 2021 per violazioni del GDPR analoghi e non del tutto sanati in occasione della nuova istruttoria iniziata a fine 2022.
La nuova istruttoria iniziò a seguito del tragico incidente mortale che ha coinvolto un rider nei pressi di Firenze. In seguito al decesso, la Società aveva inviato, sull’account dell’ex rider, un messaggio automatico avente il seguente contenuto:
“Importante: account disattivato. Gentile [S.G.], Glovo intende offrire un’esperienza ottimale ai propri corrieri, partner e clienti. Per mantenere una piattaforma sana ed equa talvolta è necessario prendere dei provvedimenti quando uno di questi utenti non si comporta in modo corretto. Siamo spiacenti di doverti informare che il tuo account è stato disattivato per il mancato rispetto di Termini e Condizioni“. (v. screenshot su Repubblica, cronaca di Firenze, 4/10/2022)
Il Garante ha quindi poi avviato un’attività di controllo partendo dalle modalità con le quali la Società ha effettuato la disconnessione dalla piattaforma e l’ha resa nota all’interessato.
La disciplina in pillole – Processo decisionale automatizzato:
L’articolo 22 del GDPR disciplina il processo decisionale automatizzato, il quale consiste nella capacità di prendere decisioni senza l’intervento umano, utilizzando mezzi tecnologici e algoritmi. In altre parole, l’intera decisione è basata sull’elaborazione automatica dei dati tramite algoritmi, software o sistemi informatici, senza che una persona prenda parte attiva nella valutazione o nella decisione finale in maniera significativa.
La previsione normativa si concentra nell’individuare le modalità e le condizioni per trattare dati personali in maniera automatizzata, compresa la profilazione, riconoscendo il diritto in capo all’interessato di non essere sottoposto a una decisione basata unicamente su tale trattamento se esso è idoneo a produrre effetti giuridici che lo riguardano o di incidere in modo analogo significativamente sulla sua persona.
Tralasciando per un momento le eccezioni previste per l’esercizio di questo diritto e concentrandoci sulle due nozioni (quella di “intervento umano” e di “decisione significativa”) che costituiscono la chiave di volta di questa disciplina, proveremo a spiegarvi nel concreto che cosa ha sbagliato la Società controllata di GLOVO, attraverso l’analisi di due particolari trattamenti automatizzati effettuati dalla stessa.
L’intervento umano
Come sopra evidenziato, l’articolo 22 GDPR si applica se non è presente un intervento umano significativo nel processo decisionale finale. La nozione di intervento umano, quindi, rappresenta un importante tassello per delimitare l’applicazione di questa norma.
Esiste pertanto il rischio che la presenza di una supervisione umana possa essere utilizzata in modo strumentale, come una sorta di facciata per aggirare le tutele offerte. In tali casi, il supervisore umano potrebbe limitarsi a essere un mero osservatore o un approvatore formale delle decisioni prese dal sistema, senza un reale potere decisionale o senza un adeguato livello di comprensione delle implicazioni delle decisioni automatizzate.
Per tale ragione, le Linee guida sul processo decisionale automatizzato adottate dal Gruppo di lavoro Articolo 29, chiariscono l’ambito del coinvolgimento umano ritenuto significativo alla luce di una pluralità di elementi concreti:
“il titolare del trattamento deve garantire che qualsiasi controllo della decisione sia significativo e non costituisca un semplice gesto simbolico. Il controllo dovrebbe essere effettuato da una persona che dispone dell’autorità e della competenza per modificare la decisione. Nell’ambito della valutazione d’impatto sulla protezione dei dati, il titolare del trattamento dovrebbe individuare e registrare il grado di coinvolgimento umano nel processo decisionale e la fase nella quale quest’ultimo ha luogo.”
Il processo “Grievance” utilizzato da Foodinho
La procedura di disattivazione dell’account (denominata dalla Società processo “Grievance”) segue una modalità di disattivazione e blocco dell’account del Rider al ricorrere di determinate condizioni predeterminate, come ad esempio il feedback del cliente (Bad rating) e altri parametri (no show, posizione fuori area, disattivazione geolocalizzazione, disconnessione durante lo slot).
In relazione a questa procedura, non è emersa, né sono stati indicati dalla Società stessa, effettivi e significativi margini di possibile intervento umano.
In questo senso, peraltro, si è pronunciato anche il Tribunale di Palermo, chiarendo che i sistemi automatizzati utilizzati da Foodinho s.r.l. risultano essere sistemi integralmente automatizzati, atteso che in essi l’intervento umano dedotto (e non dimostrato) non interverrebbe nella fase finale, bensì eventualmente solo in quella dell’inserimento dei dati o dell’attivazione del sistema medesimo. La successiva elaborazione, trattamento dei dati ed eventuale decisione finale sono affidati integralmente ad automatismi algoritmici o informatici.
La decisone significativa
La Corte di giustizia nel dicembre 2023 ha chiarito che alla nozione di “decisione” deve essere attribuita una portata ampia (essa “può quindi includere […] diversi atti che possono incidere sulla persona interessata in vari modi”), ritenendo applicabile l’art. 22 del Regolamento anche all’ipotesi in cui il calcolo automatizzato di un tasso di probabilità basato su dati personali di un interessato sia trasmesso a un soggetto terzo, la cui azione è guidata “in modo decisivo” da tale tasso.
È pertanto necessario, come indicato dalla Corte, procedere a individuare, nel caso concreto, i trattamenti che comportano rischi specifici per i diritti, le libertà e i legittimi interessi dell’interessato, anche al fine di valutare l’adozione da parte del titolare di misure appropriate per farvi fronte.
Il Tribunale di Torino, pronunciandosi a marzo di quest’anno, accertava come Foodinho utilizzasse sistemi che possono definirsi integralmente automatizzati, per valutare la reputazione (ossia l’operato) dei fattorini, comportando l’assegnazione di un punteggio per accedere prioritariamente al calendario degli slot prenotabili sulla piattaforma e quindi incidendo sulle occasioni di lavoro.
Il punteggio di eccellenza utilizzato da Foodinho
L’operatività del c.d. sistema di eccellenza era stato messo in discussione dal Garante già nel provvedimento del 2021, ma dal momento che le criticità non erano state sanate, durante la nuova attività ispettiva il Garante ha effettuato ulteriori approfondimenti rispetto al provvedimento precedente.
Il punteggio di eccellenza si compone di quattro parametri e assegna un maggior punteggio al rider che:
- effettua un maggior numero di consegne (“Sum Seniority Normalised”),
- prenota un maggior numero di slot ad alta domanda (“Sum High Demand Normalised”),
- effettua il check in nello slot prenotato nei termini previsti (“Sum No Show Normalised”)
- non ottiene un cattivo feedback dai clienti (“Sum Customer Rating Normalised”).
Il rider che ottiene un punteggio più alto accede, con priorità rispetto agli altri, alla assegnazione del turno di lavoro e ai relativi ordini, rendendo impossibile l’accesso a coloro che ottengono un punteggio inferiore con conseguente riduzione delle occasioni di lavoro.
Inoltre, è stato evidenziato che un algoritmo basato anche sui feedback dei clienti è per sua natura soggetto a potenziali effetti discriminatori legati alla percezione del rider da parte del cliente. Pure l’utilizzo di metriche basate strettamente sulle performance di consegna degli ordini possono discriminare i rider sulla base dell’età, del sesso e delle condizioni di salute.
L’attribuzione, in modalità automatizzata, del punteggio di eccellenza, ha un’incidenza significativa sull’attività del rider, condizionando, come si è visto, la possibilità di prenotare determinati turni di lavoro.
Le eccezioni e i diritti
Il diritto dell’interessato di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato non si applica, tra le altre cose, nel caso in cui la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato/lavoratore e un titolare del trattamento/datore di lavoro.
La norma prevede anche la possibilità di acquisire un consenso, ma sappiamo che esso non è considerato valido all’interno dei rapporti di lavoro, come chiarito dall’European Data Protection Board.
Il titolare del trattamento però di converso, deve attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Il Considerando 71 integra i già menzionati diritti con quello di ottenere una specifica spiegazione della decisione conseguita.
Quindi se queste misure vengono adottate, si precisa che il trattamento automatizzato può essere effettuato in maniera del tutto lecita.
Leggendo bene il provvedimento, l’Autorità non ha contestato l’assenza di legittimazione per l’effettuazione dei trattamenti automatizzati, bensì l’omessa adozione delle necessarie misure, poste a tutela degli interessati.
La Società non ha provveduto ad implementare procedure volte a garantire almeno il diritto di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione.
Le norme lavoristiche
Sicuramente, le norme lavoristiche più rilevanti e richiamate dal Provvedimento, attengono a quelle disposizioni modificate dal Decreto Trasparenza come riformato lo scorso anno, in materia di informazioni da fornire al lavoratore sul rapporto di lavoro.
La normativa vigente impone, al datore di lavoro, di informare il lavoratore in merito ai trattamenti di dati personali effettuati attraverso sistemi decisionali o di monitoraggio integralmente automatizzati, adempimento che non è stato osservato dalla Società Foodinho.
Parallelamente alla violazione dell’articolo 22 GDPR, la Società ha violato anche quanto stabilito dall’art. 47-quinquies del D. Lgs. n. 81/2015, che nell’ambito del lavoro tramite piattaforme digitali, ha stabilito il divieto di disporre “l’esclusione dalla piattaforma e la riduzione delle occasioni di lavoro ascrivibili alla mancata accettazione della prestazione” con riferimento al punteggio di eccellenza.
Di grande impatto e di assoluta rilevanza è stata poi riservata alla corretta qualificazione del rapporto di lavoro, dal momento che il Garante, in continuità con le decisioni provenienti dalla la maggior parte dei tribunali aditi sul tema, ha chiarito l’inesistenza di rapporti di lavoro autonomi ai sensi dell’articolo 2222 c.c. qualificandoli come collaborazioni etero organizzate ai sensi dell’articolo 409 c.p.c.
Applicando quindi il dispositivo previsto all’art. 2, d. lgs n.81/2015, il Garante ha concluso che per le modalità organizzative del lavoro che sono emerse, ai riders deve applicarsi la “disciplina del rapporto di lavoro subordinato”, con importanti ripercussioni per gli adempimenti privacy come abbiamo evidenziato di seguito.
Controlli a distanza
L’applicazione della disciplina del rapporto di lavoro subordinato comporta a cascata una serie di conseguenze in termini di adempimenti, tra cui la disciplina in materia di controlli a distanza di cui abbiamo già abbondantemente parlato.
Il Garante, infatti, ha accertato anche la violazione dell’articolo 4 comma 1 da parte della Società, respingendo l’eccezione promossa dalla stessa in cui affermava che “l’algoritmo” fosse in realtà un semplice strumento di lavoro, e quindi esente dal preventivo accordo sindacale.
A ben vedersi, i trattamenti idonei a controllare a distanza l’attività del rider andavano ben al di là di quanto indispensabile per rendere la prestazione lavorativa in maniera efficiente. Come, ad esempio, attraverso la rilevazione della posizione geografica del rider con le tempistiche ravvicinate di Google Maps anche quando l’app è in background; l’attribuzione di un punteggio e la profilazione del rider; la raccolta e la conservazione di una grande quantità di dati relativi alla gestione degli ordini mediante una pluralità di strumenti (app, piattaforma digitale, customer service) che consentono ulteriori elaborazioni da parte del titolare.
Le violazioni di queste norme di settore, determina il venir meno della condizione di liceità del trattamento richiesta dall’art. 5, par. 1, lett. a) del GDPR in virtù dell’art. 88 dello stesso Regolamento, il quale ha fatto salve le norme nazionali di maggior tutela (“norme più specifiche”) volte ad assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei lavoratori, elevando il loro rispetto a condizione di liceità dell’intero trattamento.
Best-practices:
La gestione algoritmica delle risorse umane è sempre più diffusa in tutti i settori di attività e, anche in vista dell’imminente applicazione dell’AI ACT, è bene che i futuri Deployer valutino concretamente i rischi derivanti dall’introduzione di sistemi algoritmici per valutare/monitorare/organizzare l’attività dei prestatori di lavoro.
La Società in questione è stata sanzionata perché effettuava, tra le altre cose, una pluralità di trattamenti attraverso sistemi integralmente automatizzati senza le adeguate garanzie previste dal GDPR.
Nella corretta applicazione dell’articolo 22 del GDPR, l’onere di indagare e dimostrare l’effettiva significatività degli effetti delle decisioni automatizzate viene rimesso al titolare del trattamento, il quale peraltro deve effettuare una valutazione di impatto ai sensi dell’articolo 35 GDPR del Regolamento come interpretato dal Garante.
Le norme perviste dal GDPR, come sappiamo, non impongono solamente banali prescrizioni o divieti, ma obbligano a tenere un vero e proprio stile di comportamento (“modus operandi”) in relazione a tutti i trattamenti di dati personali effettuati.
La conseguenza è che risulta facile poi cadere in importanti violazioni e sanzioni, a causa di una scorretta valutazione preliminare sul trattamento. Valutazione che non deve concentrarsi soltanto sui rischi per l’interessato, ma deve comprendere tutti i principi richiamati all’articolo 5 del GDPR stesso.
Conclusioni finali
Il Provvedimento qui esaminato, ci permette di trarre molte considerazioni su diverse discipline in materia di protezione dei dati.
In questa occasione ci tengo a sottolineare quanto sia rilevante la corretta qualificazione del rapporto di lavoro anche ai fini degli adempimenti previsti dal GDPR. È fondamentale ricordare che né il Garante, né tanto meno i giudici del lavoro, si basano esclusivamente sulla definizione (“nomen iuris”) che viene attribuita dalle parti in merito alla qualificazione del rapporto di lavoro.
Se un rapporto di lavoro viene definito autonomo dalle parti, ma poi la prestazione lavorativa si concretizza in un’esecuzione prevalentemente personale, continuativa e le modalità di esecuzione sono organizzate dal committente potremmo rientrare all’interno della collaborazione coordinata e continuativa.
Se i suddetti tre requisiti (personalità, continuità ed etero-organizzazione) sono contemporaneamente presenti nell’esecuzione della prestazione (come da circolare INL n. 7 del 30/10/2020), al contratto si applica la disciplina del rapporto di lavoro subordinato nel rispetto dell’articolo 2 del D.lgs. 81/2015, con importanti ricadute non solo sugli adempimenti previsti dal GDPR ma anche in merito alle norme sulla sicurezza sul lavoro e sugli obblighi previdenziali e assistenziali.
Nelle 64 pagine di Provvedimento, in sostanza, emerge con chiarezza quanto sia fondamentale adottare un approccio di privacy by design completo, con l’obbiettivo di ridurre al minimo il rischio di travalicare i limiti normativi senza però pregiudicare il perseguimento degli interessi dell’impresa.
Siamo consapevoli dell’utilizzo di questi sistemi da parte di molte aziende sia piccole che medio-grandi. Quello che suggeriamo, alla luce delle motivazioni esposte dal Garante, è di documentare la valutazione in merito alla possibile applicabilità dell’articolo 22 GDPR a tali sistemi, in conformità al principio di Accountability, procedendo di conseguenza ad individuare e documentare le modalità attraverso le quali si possa garantire:
il diritto di ottenere l’intervento umano,
il diritto di esprimere la propria opinione,
il diritto di contestare la decisione.