Il Garante della Privacy – dopo una istruttoria avviata d’ufficio a giugno 2019 – ha ingiunto a Deliveroo Italy il pagamento di una sanzione pari a 2,5 milioni di euro per aver trattato in modo non conforme alle norme in materia i dati di circa 8 mila rider.  Già a fine febbraio dell'anno scorso l'Authority aveva notificato le presunte violazioni del Gdpr, alle quali Deliveroo rispose con una memoria difensiva. L'azienda ha poi comunicato di avere abbandonato il vecchio sistema di prenotazione dei turni, ma intanto lo stesso Garante ha accertato che l’azienda ha effettuato un trattamento illecito dei dati personali. La società infatti non ha fornito un'informativa trasparente e completa agli interessati, conserva i dati per un periodo di tempo superiore a quanto previsto dal Gdpr, utilizza sistemi che gestiscono un numero eccessivo di dati e permette l'accesso ai dati alle altre società del gruppo (anche extra Ue). 

Per l’Authority, il trattamento posto in essere non è stato rispettoso del principio di trasparenza ed è inadeguato rispetto alle informazioni rese agli interessati, in particolare perché sono omesse, nell’informativa consegnata ai singoli, le “concrete modalità di utilizzo dei trattamenti” rispetto alla posizione geografica, rilevata ogni 12 secondi. Gli interessati invece, secondo quanto afferma il Garante, dovrebbero essere informati in modo chiaro su modalità e cadenza temporale delle rilevazioni, per poter avere “adeguata consapevolezza del trattamento dei propri dati”. Anche riguardo ai tempi di conservazione dei dati e i criteri utilizzati per stabilirli, le indicazioni fornite dall’azienda sono risultate generiche. 

Si ribadisce così, per l’ennesima volta, il principio secondo cui l’informativa legata alla tutela della privacy non può affatto essere generica e che qualsiasi utilizzo dei dati non può avere durata ulteriore rispetto alle necessità specifiche legate al loro corretto e dichiarato utilizzo. Nuovamente poi, si lamenta la sostanziale opacità degli algoritmi utilizzati per la gestione dell’attività dei rider che, come sappiamo, determinano le loro condizioni di lavoro: turni, consegne assegnate e dunque retribuzione. I trattamenti automatizzati, usati anche “per la valutazione dell’affidabilità e disponibilità ad accettare turni, per assegnazione degli ordini, effettuano di fatto una profilazione”.

Già alcuni mesi fa il Tribunale di Bologna, con una sentenza storica, aveva condannato Deliveroo per il sistema discriminatorio dell’algoritmo e anche in quel caso a nulla erano valse le richieste di chiudere il processo avanzate dall’azienda, che nel frattempo aveva modificato il proprio sistema di accesso al lavoro. Il Giudice, sulla base del ricorso promosso dalle categorie della Cgil, ha riconosciuto in quel caso che per anni l’algoritmo che gestiva il sistema di valutazione della affidabilità del ranking reputazionale di fatto aveva discriminato i lavoratori, essendo cieco e indifferente rispetto alle loro esigenze e privilegiando sempre la disponibilità, quasi che fossero macchine e non persone. Il tema naturalmente è alquanto complesso, specie in un sistema in cui si ampliano i divari di potere e di conoscenza fra azienda e lavoratori e in cui la digitalizzazione e l’automazione spersonalizzano le relazioni. 

Ma chi deve conoscere i meccanismi algoritmici sottesi dalle piattaforme? Non vi è dubbio che debbano essere informati correttamente lavoratrici e lavoratori e i loro rappresentanti sindacali, come la Cgil dice ormai da tempo, con la consapevolezza che ciò che è ormai sempre più evidente in termini discriminatori per attività lavorative, come quelle svolte in ambito food delivery, in realtà è oggi estendibile a tutte le attività che prevedano la regolamentazione di fasi di attività lavorative tramite algoritmi e procedure di intelligenza artificiale. 

Si va dalla selezione in entrata alla complessiva organizzazione del lavoro, dunque a tutte le possibili fasi legate allo svolgimento di prestazione lavorativa. E dato che l’algoritmo si “autoimplementa”, secondo una pratica nota come machine learning, non è neppure sufficiente che vi sia trasparenza nella sola fase iniziale di implementazione: come dice il Garante in merito a Deliveroo è necessario che periodicamente si verifichi che i risultati prodotti dall’algoritmo non siano dannosi, discriminatori, sperequanti. Qui sta il tema, più volte posto dal sindacato, del necessario riconoscimento di un diritto all’informazione e alla trasparenza dei meccanismi decisionali, riconosciuto il capo ai lavoratori, sia ex ante sia in itinere. È il momento di prendere spunto anche dalle pronunce delle Autorità competenti per riconoscere la necessità di un aggiornamento della normativa di merito e per lo sviluppo di tematiche contrattuali trasversali ai diversi settori di applicazione di lavoratrici e lavoratori.

Il quadro regolatorio generale, come diciamo da tempo, deve necessariamente avere una dimensione almeno europea ma, anche richiamandosi all’art 88 del Gdpr, vi è spazio per una contrattazione nazionale di merito. Se poi l’algoritmo e il sistema tecnologico sono utilizzati anche a fini di controllo della singola prestazione, torna il tema dell’art 4 dello Statuto dei lavoratori e della necessità di riconoscere come fondamentale la tutela del singolo in un’ottica congruente al rispetto del diritto della privacy, riconosciuto come diritto di libertà. Dunque il tema dei dati, che è al centro della valutazione del Garante, è un tema strettamente connesso anche al controllo dei singoli.

La enorme mole di dati che viene raccolta in occasione della prestazione lavorativa impone che norme e contratti consentano al lavoratore di avere consapevolezza di questo utilizzo e che sappia dove sono custoditi e a quale fine vengano utilizzati. È parimenti è necessario interpretare lo Statuto dei lavoratori a tutela dei diritti di lavoratrici e lavoratori alla luce delle implementazioni tecnologiche. Se quindi, alla luce degli effetti possibili dell’utilizzo dei dati su tutta la vita lavorativa, intendiamo anche il diritto alla privacy come diritto fondamentale è necessario pensare a una figura anche contrattuale di tutela del diritto alla privacy e rendere contestualmente agibile la contrattazione degli algoritmi sottesi alle soluzioni tecnologiche utilizzate per l’organizzazione del lavoro.