Foodinho: cosa impariamo sull’approccio del Garante agli accertamenti e alle sanzioni - Cyber Security 360

L'ANALISI

Foodinho: cosa impariamo sull’approccio del Garante agli accertamenti e alle sanzioni

L’analisi attenta del provvedimento sanzionatorio emesso dal Garante Privacy nei confronti di Foodinho evidenzia numerose questioni connesse alle dinamiche scaturenti dalla quotidiana applicazione del GDPR in azienda che, seppur complessa, rimane strategica e imprescindibile. Ecco perché

16 Lug 2021
F
Dario Fumagalli

Senior privacy specialist per One Seal S.r.l.

L’Ordinanza ingiunzione nei confronti di Foodinho S.r.l. del 10 giugno 2021 è stata ripresa da diversi commentatori per via dell’importo piuttosto elevato della sanzione comminata dall’Authority (2,6 milioni di euro) e dell’ambito di intervento controverso: i trattamenti automatizzati di dati personali dei cosiddetti “riders”.

Il dibattito attorno alle problematiche che la gig economy solleva in materia di tutela della dignità dei lavoratori e di sicurezza informativa dei cittadini è, infatti, al centro dell’agenda mediatica e politica degli ultimi anni.

Per questa ragione, una sanzione inflitta ad una società di delivery per illecito trattamento, mediante sistemi automatizzati e profilazione, dei dati personali dei riders (qualificati dal Garante, a seguito di una puntuale ricostruzione normativa e giurisprudenziale, come equiparabili a lavoratori subordinati) non può che avere risonanza.

Dalla lettura complessiva del provvedimento emerge chiaramente, pur se in controluce, che il perimetro e il fondamento dell’attività ispettiva devono essere individuati nella lotta a logiche imprenditoriali volte a massimizzare i profitti avvalendosi dell’utilizzo disinvolto di nuove tecnologie anche tollerando i rischi di discriminazione o lesioni di altri diritti degli interessati, tanto più se lavoratori.

Si percepisce, poi, che l’approccio di Foodinho S.r.l. (da qui in poi “la Società”) nei confronti della GDPR compliance è stato smaccatamente elusivo, dando luogo a numerose gravissime violazioni e ad un atteggiamento per nulla collaborativo, circostanze che hanno contribuito a determinare l’entità elevata della sanzione amministrativa.

Rider, no a discriminazioni dell’algoritmo: il Garante privacy sanziona Glovo per 2,6 milioni

Foodinho: i punti di interesse dell’intervento del Garante

Tuttavia, per chi, come il sottoscritto, è un “addetto ai lavori” nel campo della GDPR compliance, l’intervento del Garante presenta numerosi profili di elevato interesse che non riguardano (direttamente) il delicato tema del trattamento di dati personali mediante algoritmi e della discriminazione dei lavoratori.

Infatti, dopo l’entrata in vigore – nell’ormai lontano 2018 – della normativa comune europea sulla protezione dei dati personali (Reg. UE 2016/679, di seguito “GDPR”), sono seguiti tre anni di incertezza circa l’applicazione delle disposizioni contenute nella norma, disposizioni spesso formulate utilizzando nozioni volutamente non univoche e riduttive o evitando riferimenti a circostanze specifiche o elenchi tassativi.

Per questa ragione, tanto i titolari dei trattamenti (le aziende) quanto i consulenti e i DPO hanno vissuto (e, tuttora, vivono) momenti di profondo disagio laddove si trovano ad assumere decisioni/fornire pareri che coniughino nel quotidiano la necessità di rispetto della norma con l’operatività aziendale, la sostenibilità del business e le normali aspettative di prevedibilità delle conseguenze delle proprie scelte.

Al di là di interventi interpretativi, anche autorevoli, quali ad esempio le linee guida licenziate a più riprese dall’EDPB (ex WP29) o dalle diverse Authorities nazionali (cfr., fuori dai confini nazionali, ICO, CNIL) e i provvedimenti generali di questi ultimi, resta infatti in molti casi complesso tradurre in misure, adempimenti e prassi molti dei precetti sanciti dalla norma.

Cosa si intende, nel caso concreto, per “larga scala”? Come esser certi nella qualifica, sempre al di fuori degli idealtipi astratti, di un soggetto come Responsabile o Titolare del trattamento? Cosa significa, sempre in concreto, “misure adeguate al rischio” o dati “necessari per conseguire la finalità”? Necessari strutturalmente o secondo le aspettative del Titolare?

Domande come queste sono spesso poste dai clienti ai DPO e ai consulenti, i quali si trovano a dover rispondere che occorre valutare concretamente di caso in caso e spesso senza poter dare elementi certi a priori, pur restando ferma, in caso di ispezioni, la piena assunzione di responsabilità delle proprie scelte da parte del titolare e, in caso di rivalsa, del consulente.

Applicare il GDPR: cosa impariamo dai provvedimenti

Questo tipo di risposta, come è lecito attendersi, non è quasi mai soddisfacente. Tanto più che, a volte, i dubbi non sorgono in merito alla qualifica tecnico-giuridica di circostanze di fatto (questione comune ad ogni campo del diritto), ma alla concreta applicabilità di regole e principi (si pensi ad una formulazione precisa e, ancor più, alla gestione ottimale della data retention policy in azienda) o all’atteggiamento che assumeranno i “controllori” in merito a specifici punti, si pensi alla quantificazione delle sanzioni.

Proprio nell’ottica di iniziare a ridurre la misura dell’incertezza sui profili appena richiamati, è utile esaminare i provvedimenti adottati dal Garante che, dopo l’atteso cambio di Collegio e smaltito il pregresso pre-GDPR, ha intensificato la propria attività nei confronti di realtà anche meno esposte.

In attesa che queste decisioni si consolidino in veri e propri orientamenti sui quali fare – nel limite del dovuto – affidamento, è dunque utile esaminare la citata Ordinanza ingiunzione, alla ricerca di qualche risposta attuale in merito a come applicare il GDPR in azienda.

Apprendiamo, ad esempio, che l’auto qualificazione del soggetto ispezionato quale titolare del trattamento (ad esempio negli atti di nomina dei propri fornitori quali responsabili del trattamento o, anche, nel “fatto concludente” di inserire un trattamento nel registro del titolare) assume, all’atto pratico, rilevanza nel riconoscimento della qualifica da parte dell’Authority, pur unitamente ad altri elementi di tipo circostanziale.

Interessante, inoltre, notare come il numero di interessati coinvolti dal trattamento (poco meno di 19.000 persone fisiche) sia considerato “elevato”. Il concetto di numero elevato di interessati, infatti, non è mai associato ad un valore soglia nella normativa e nelle linee guida, ma torna spesso ed è, ad esempio, centrale nella determinazione della sussistenza della larga scala, a sua volta presupposto (congiuntamente ad altri) dell’obbligo di nomina del DPO.

Foodinho e la privacy violata dei rider: perché la multa del Garante è un monito per tutti

Cosa insegna il caso Foodinho: la conservazione dei dati

Da alcune considerazioni proposte possiamo, poi, trarre indicazioni utili circa l’aspettativa dell’Authority in fatto di chiarezza, specificità e trasparenza nella redazione della documentazione.

Il Garante, ad esempio, certifica l’inadeguatezza dell’utilizzo di elenchi “dichiaratamente esemplificativi” (nel caso di specie, di dati trattati) nell’informativa. Allo stesso modo, più in generale, sanziona la genericità delle indicazioni inserite in informativa, ad esempio con riguardo ai tempi di conservazione dei dati.

Da segnalare, in questo senso, il passaggio in cui si afferma che vi sia differenza “tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato in relazione ai dati derivanti dalla geolocalizzazione” (cfr. par. 3.3.1 provv, p. 15).

Suonano familiari, infatti, al consulente o al DPO, le obiezioni opposte sul punto dalla Società, citate e rigettate dal Garante, quali ad esempio “[gli interessati] vedono loro stessi il percorso suggerito sulla mappa dall’applicazione” o “[il trattamento] è essenziale per la fornitura del servizio” o, ancora, “[il trattamento] è una prassi comune e consolidata nel settore”.

Cosa insegna il caso Foodinho: l’informativa privacy

Argomenti, questi, a volte del tutto infondati, altre meno, ma che non reggono, in ogni caso, con quanto richiamato in precedenza, ovvero che l’informativa non serve a mettere semplicemente a parte l’interessato della mera circostanza che un trattamento di dati a lui riferiti è in corso (circostanza a volte, ma non sempre, autoevidente) ma delle specifiche caratteristiche del trattamento in questione, che potrebbero esporlo a conseguenze da lui non ritenute accettabili.

Non risulta, dunque, tollerabile la formulazione (per la verità molto diffusa, nelle sue diverse declinazioni di specie) “[il titolare] potrà […] ricevere informazioni relative alla posizione geografica del dispositivo mobile utilizzato” dal momento che, come rileva l’estensore dell’Ordinanza, “il sistema raccoglie sistematicamente ogni 15 secondi i dati di geolocalizzazione per tutta la durata della consegna degli ordini e predispone e conserva le mappe dei percorsi”.

Tradotto, non è sufficiente accennare, in modo veritiero ma sommario, ai trattamenti effettuati. Occorre, invece, descriverli in modo puntuale. Ovviamente, si deve considerare che, come accennato in apertura, le censure del Garante sono probabilmente animate dall’intento di intervenire con adeguata fermezza in un ambito particolarmente delicato, quale è quello dei trattamenti di dati personali di lavoratori mediante nuove tecnologie d’automazione, e dall’atteggiamento poco trasparente della Società anche in corso di procedimento.

Ciò, tuttavia, non annulla il merito delle osservazioni richiamate.

Tanto più se si considera che l’Authority sgombra il campo anche dalla contro obiezione, anch’essa usuale, fondata sulla necessità di rendere il documento informativo conciso, chiaro e intellegibile dall’interessato. Non è lecito, si inferisce, farsi scudo di questa forma di tutela che il GDPR accorda agli interessati per eludere la necessità di fornire informazioni puntuali ed esplicite. La concisione, la chiarezza e la semplicità andranno, dunque, perseguite con altri mezzi.

Uso delle nuove tecnologie e GDPR

Altro passaggio di primo rilievo è quello nel quale viene discussa la nozione di utilizzo “innovativo” di una tecnologia, nell’ambito della valutazione in merito alla necessità di svolgere una Valutazione di impatto ex art. 35.

Dalla lettura del punto 3.3.5 (p. 23) dell’Ordinanza ingiunzione, infatti, si inferisce che il carattere innovativo di un trattamento non deve essere ricercato tanto (rectius, solo) nella natura della tecnologia utilizzata, quanto nell’utilizzo nuovo della stessa per una specifica finalità.

Per utilizzo nuovo, poi, non deve intendersi “totalmente inedito”, ma – interpretiamo – non ancora pienamente metabolizzato (e, dunque, vagliato e regolato) dall’Ordinamento. Non vale dunque, anche in questo caso, l’obiezione per la quale una tecnologia “esista” ormai da danni o sia già stata utilizzata da altri attori del settore.

Ancora, al punto 3.3.7, il Garante chiarisce il proprio orientamento in merito ad un altro concetto chiave, quello di “effetti significativi sulla persona”, posto dalla norma a fondamento delle prescrizioni di cui all’art. 22.

Si conferma, infatti, una interpretazione estensiva della locuzione, che sgombra il campo dalla lettura, tipica soprattutto delle startup ad alto tasso tecnologico, volta a dare per scontati i processi fondati sull’automazione e sulla data analytics e, per questo, a considerare ostativi o degni di cautele solo effetti di elevatissima gravità su sfere estremamente sensibili della vita degli interessati.

Anche l’ottenere o meno un incarico (e, dunque, un introito) è una conseguenza significativa che, laddove discenda da un’analisi automatizzata dei dati, deve essere sottoposta ad un’attenta analisi in merito ai rischi ad essa connessi.

Occorre, nel caso di specie, scongiurare ogni rischio di discriminazione, a sua volta declinata in senso lato, ovvero come generica differenza di trattamento diversa da quelle volute e previste (ove lecite, ovviamente) e non, invece, come grave atto pregiudizievole nei confronti di un soggetto vulnerabile.

Il bilanciamento tra l’interesse imprenditoriale e le libertà e diritti degli interessati, insomma, vede il punto di equilibrio ritenuto ottimale fortemente sbilanciato verso questi ultimi.

I criteri di determinazione della sanzione

In ultimo, poi, di primissimo impatto sono le argomentazioni addotte a sostegno della decisione in merito al quantum della sanzione pecuniaria, nelle quali si traducono in concreto le fattispecie di criteri di determinazione della sanzione previste dall’art. 83, par. 2.

Si conferma, ad esempio, la particolare incidenza delle violazioni di principi generali del Regolamento, ex art. 5 dello stesso (ad esempio, quelle riguardanti l’informativa), così come del perdurare delle violazioni senza che siano intervenute azioni risolutive nonostante la lunghezza del procedimento.

Assume rilevanza, come elemento di per sé significativo, anche la numerosità degli interessati coinvolti nel trattamento. Da segnalare, poi, le considerazioni circa l’elemento di cui al punto b del par. 2, art. 83, associato alla negligenza della Società. La numerosità delle violazioni e la condotta negligente, dunque, risultano essere considerate indizi di dolo.

Conseguenze sanzionatorie delle violazioni

Se quelli citati fin qui sono argomenti prevedibili, lo è in misura inferiore il richiamo alla comminatoria edittale disposta, nel regime previgente, per gli illeciti amministrativi corrispondenti e dell’entità delle sanzioni irrogate in casi analoghi.

Quest’ultima circostanza rappresenta, infatti, un utile indizio al fine di iniziare a dissipare la cortina di fumo che, oggi, avvolge le previsioni circa le conseguenze sanzionatorie delle violazioni.

Se, infatti, da un lato l’incertezza può agire come incentivo alla proattività per i titolari, più spesso conduce ad un atteggiamento di leggerezza. Inoltre, data la portata dell’incertezza di cui si dibatte (da 0 a 20 milioni di euro o il 4% del fatturato globale annuo), associata alla già citata incertezza in merito all’interpretazione di alcune nozioni fondamentali per la definizione delle fattispecie, è urgente ridurre il prima possibile i margini per possibili censure sul piano della certezza del diritto, anche a tutela degli interessi economici del Paese, che si fondano anche su regole chiare e trasparenti applicabili agli attori del mercato.

Un interessante raffronto con la sanzione a Synlab Med

In tal senso, è certamente interessante raffrontare il provvedimento in analisi con l’Ordinanza ingiunzione nei confronti di Synlab Med S.r.l. del 13 maggio 2021.

Questo caso, da contrapporsi a quello di Foodinho S.r.l. per il carattere opposto in termini di elemento soggettivo del sanzionato e di gravità delle conseguenze della violazione contestata (l’erroneo ed occasionale invio, da parte di un operatore, dei dati sanitari e anagrafici relativi agli accertamenti Covid di 31 interessati ad una ASL diversa da quella competente), permette – nel raffronto con il primo – di desumere almeno in linea generale l’approccio del Garante in termini di quantificazione delle sanzioni pecuniarie.

Infatti, la sanzione comminata pare avere (pur senza conoscere la capacità economica del sanzionato) carattere tutt’altro che simbolico, nonostante l’Authority abbia tenuto conto di numerose circostanze che sembrano assumere un carattere attenuante rispetto alla violazione riscontrata, quali ad esempio: l’assenza di elementi di volontarietà da parte della Società nella causazione dell’evento; l’immediata presa in carico da parte della Società della questione, cui è seguita l’individuazione di interventi volti ad evitare il ripetersi di quanto accaduto; l’elevato grado di cooperazione; il fatto che la comunicazione di dati, seppure effettuata a un soggetto non competente a trattarli, è comunque avvenuta nei confronti di una azienda sanitaria, soggetto istituzionalmente deputato a ricevere tali comunicazioni per i soggetti assistiti dalla stessa; la circostanza per la quale la comunicazione dei dati sia avvenuta in perduranza dello stato di emergenza dichiarato dal Presidente del Consiglio dei Ministri.

Si può, dunque, inferire che i 2,6 milioni inflitti a Foodinho S.r.l. siano certamente motivati dalla particolare gravità complessiva delle circostanze di specie già esaminate (contesto delicato, particolare gravità di alcune violazioni, condotta negligente), ma che, tuttavia, il Garante si sia orientato verso un atteggiamento assertivo nei confronti di coloro che violano il GDPR, anche quando questi non siano soggetti particolarmente esposti o minacciosi (cfr. OTT, Big Tech, Gatekeepers o simili) e le violazioni non siano frutto di grave dolo.

Conclusioni

Quanto descritto lascia aperte, ad ogni modo, numerose questioni connesse alle dinamiche scaturenti dalla quotidiana applicazione del GDPR in azienda.

Resta complesso, anche considerando unicamente i titolari sufficientemente consapevoli e motivati nell’adeguarsi, trovare la quadra che permetta di tradurre in misure effettivamente applicabili i precetti di una norma che, tuttavia, è al momento strategica e imprescindibile, onde presidiare la libertà e la sicurezza dei cittadini europei.

Solo pochissimi, infatti, sono sufficientemente capienti da potersi permettere un supporto consulenziale qualitativamente e quantitativamente adeguato ad allinearsi agli alti standard che sembrano emergere non tanto dalla decisione complessiva nel caso di specie, quanto dalle singole osservazioni e censure proposte.

Il rischio è che le enormi difficoltà nel raggiungere una compliance ottimale spingano i titolari ad una piena assunzione di responsabilità (ovvero, ad una assunzione di rischio piena), per evitare esborsi che, comunque, non percepiscono come risolutivi.

Conseguentemente, dalla prospettiva dei consulenti e dei DPO, il rischio è quello di uno svilimento del mercato che spinga l’offerta, costretta ad adeguarsi alla scarsa disponibilità economica dei titolari, a fornire servizi approssimativi o parziali, per evitare che il bilancio costi benefici dell’attività viri nettamente verso la perdita.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5