Il Garante per la protezione dei dati personali ha inflitto una sanzione di cinque milioni di euro a Foodinho S.r.l., società che gestisce la piattaforma Glovo in Italia, per il trattamento illecito dei dati personali di oltre 35.000 rider attraverso la sua piattaforma digitale.

L'Autorità ha riscontrato diverse violazioni. Uno degli aspetti più critici riguarda il sistema di geolocalizzazione adottato da Foodinho fino all’agosto 2023: l’applicazione tracciava la posizione dei rider non solo durante le consegne, ma anche quando erano disconnessi, mantenendo il monitoraggio attivo persino con l’app chiusa. Questo ha sollevato gravi preoccupazioni per la tutela della privacy dei lavoratori.

Un altro punto contestato è la gestione delle disattivazioni degli account. I rider, in caso di sospensione del loro profilo sulla piattaforma, ricevevano un messaggio automatico senza alcuna possibilità di fornire spiegazioni o contestare la decisione. Un meccanismo che, secondo il Garante, violava il principio della trasparenza e del diritto alla difesa.

Infine, è stata riscontrata una condivisione non chiara dei dati personali con società terze, senza che i lavoratori fossero adeguatamente informati su chi avesse accesso ai loro dati personali e per quali scopi.

Già nel 2021, Foodinho era stata multata con una sanzione di 2,6 milioni di euro per gravi illeciti legati all'uso di algoritmi nella gestione dei lavoratori e dei turni.

A seguito di queste violazioni, il Garante ha imposto a Foodinho una serie di misure correttive, tra cui la revisione dei messaggi di disattivazione degli account, la corretta gestione delle informative sulla privacy e delle valutazioni d'impatto, la limitazione della conservazione dei dati personali e l'introduzione di strumenti per garantire ai rider il controllo sulle decisioni algoritmiche. Inoltre, è stato vietato alla società di trattare i dati biometrici dei rider, imponendone la cancellazione entro 30 giorni.

Foodinho ha comunicato la sua intenzione di non contestare il provvedimento e di pagare la sanzione amministrativa di 5 milioni di euro in forma ridotta. L'azienda ha inoltre manifestato la volontà di collaborare con il Garante per creare un nuovo standard di settore sulla protezione dei dati personali.

Tuttavia, a causa della complessità tecnica degli interventi richiesti, Foodinho ha chiesto una proroga per implementare le modifiche necessarie. Il Garante ha valutato la richiesta e ha concesso una proroga di 90 giorni per adeguarsi alle prescrizioni stabilite nel provvedimento del 13 novembre 2024. In particolare, il termine per la cancellazione dei dati biometrici è stato esteso da 30 a 120 giorni, e il termine per adeguarsi alle prescrizioni è stato portato da 60 a 150 giorni. Restano invariati i successivi periodi di verifica (90 e 120 giorni, a seconda delle misure previste).

Foodinho dovrà fornire al Garante un resoconto dettagliato sulle azioni intraprese per conformarsi alle prescrizioni. Se l'azienda non fornirà una risposta adeguata entro 90 giorni dalla scadenza dei nuovi termini, potranno scattare ulteriori sanzioni, come previsto dal Garante.

Il provvedimento è stato pubblicato sul sito ufficiale del Garante per garantire la massima trasparenza e informare tutti i soggetti coinvolti.