Con provvedimento del 22 luglio 2021, il Garante per la privacy ha applicato alla nota società di food delivery Deliveroo Italy S.r.l. una considerevole sanzione di 2,5 milioni di euro per molteplici violazioni della normativa a tutela dei dati personali. L’istruttoria, avviata d’ufficio nel 2019, ha riguardato condotte di trattamento illecito dei dati personali dei “rider” (circa 8 mila), che l’Autorità ha accertato avere natura grave, anche perché le violazioni contestate erano state attuate ininterrottamente sin dal 2015.

Le indagini dell’Autorità si sono – in particolare, ma non solo – concentrate sull’applicativo utilizzato dai rider sui propri smartphone per gestire l’assegnazione delle consegne e dei turni di lavoro, applicativo che, in base alle informazioni raccolte, rilevava la posizione dei rider ogni 12 secondi e conservava i dati relativi al percorso effettuato durante la consegna per un periodo di 6 mesi.

Al termine del procedimento, il Garante ha in sostanza riscontrato le seguenti violazioni:

  • in primis, in violazione dell’art. 13 GDPR, Deliveroo non risultava aver fornito ai rider un’informativa trasparente e completa circa il trattamento dei loro dati personali (soprattutto quelli relativi alla posizione geografica), né erano state precisate le concrete modalità del trattamento (che avrebbero dovuto essere più specifiche vista l’invasività) o il tempo di conservazione dei dati; in aggiunta, erano state fornite indicazioni fuorvianti sugli strumenti a disposizione dell’interessato per la tutela della sua privacy;
  • in secondo luogo, l’Autorità ha appurato che, nella pratica, i dati dei rider raccolti venivano conservati tutti indistintamente (inclusi dati relativi a comunicazioni telefoniche) per un periodo di 6 anni, senza alcuna differenziazione in relazione alla tipologia di dati o alle finalità di raccolta e, in definitiva, per un tempo superiore a quello consentito dall’art. 5(1)(e) GDPR, ovvero “un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”;
  • in terzo luogo, in spregio al principio di minimizzazione dei dati e di privacy by design and default, i sistemi di Deliveroo erano configurati in modo da raccogliere e memorizzare tutti i dati relativi alla gestione ed esecuzione dell’ordine da parte dei rider (dal tempo di consegna, alla percentuale di ordini accettati, al numero di interazioni con il customer center, nonché la localizzazione di tutti i luoghi in cui tali azioni avvenivano);
  • infine, omettendo di implementare le necessarie misure di sicurezza richieste dall’art. 32 GDPR, la società aveva permesso l’accesso ai dati dei rider anche da parte di altre società del gruppo, comprese quelle situate al di fuori dell’Unione Europea;
  • da ultimo, diversamente da quanto prescritto dall’art. 35 GDPR, Deliveroo aveva omesso di eseguire il risk assessment richiesto in casi come quello di specie, in cui i dati personali trattati e gli interessati sono un numero considerevole e il trattamento può generare rischi per i diritti e le libertà degli interessati (nel caso qui commentato, nella misura in cui permetteva di valutare aspetti personali mediante l’analisi o la previsione del rendimento professionale, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti).

L’Autorità ha quindi concluso il procedimento ingiungendo a Deliveroo di pagare una sanzione di 2,5 milioni di Euro, ordinandole inoltre di provvedere alla correzione delle violazioni accertate entro un termine predefinito.