Tra il 2021 e il 2023 il team di tracking.exposed, programma di ricerca sulla profilazione online, ha effettuato un’analisi del funzionamento dell’app Glovo Couriers, in dotazione ad ogni rider che lavora per la piattaforma spagnola, per fornire una prova al fine di mettere in luce il modo in cui la società agisce nei confronti dei lavoratori.
La tecnica utilizzata si chiama reverse engineering e consente a persone competenti in materia di analizzare il flusso di dati raccolti dall’app durante il suo utilizzo (e non solo).
Ciò che è emerso dall’analisi tecnica, avvenuta in più momenti, è che la posizione dei rider viene tracciata non solo durante lo svolgimento delle consegne, e quindi nell’orario lavorativo, ma anche nel momento in cui l’app è lasciata in background sul dispositivo.
In questo caso Glovo Courier app richiede l’accesso alla localizzazione GPS del telefono del rider, ad intervalli irregolari.
Ripetendo l’analisi una seconda volta il team è arrivato alla conclusione che la raccolta dei dati di geolocalizzazione avveniva in diversi momenti della giornata, anche al di fuori dell’orario di lavoro. Informazioni raccolte da un’interfaccia specifica della piattaforma.
Il tracciamento di Glovo, in base a quanto è stato appurato nella prima analisi del 28 luglio 2021, non si limiterebbe alla condivisione della posizione in cui il telefono del rider si trova. Altre informazioni come il livello di ricarica della batteria e la velocità di spostamento del corriere sono inviate frequentemente alla piattaforma, anche se in modo irregolare.
La discussione relativa alla privacy policy dell’app Glovo Courier si focalizza in particolar modo sulla condivisione con terze parti di dati raccolti durante l’orario di lavoro. Nel documento si legge come questi dati possano essere inviati ad aziende o consulenti fiscali, tributari, forze dell’ordine e fornitori di servizi esterni al fine di proporre al rider offerte commerciali.
Quanto emerso nel report del team di tracking.exposed è stato sottolineato anche dal provvedimento del giugno 2021 da parte dell’Autorità per la protezione dei dati personali.
Il Garante si era espresso riconoscendo la violazione dei principi di trasparenza, privacy by design e privacy by default, definendo illecita e insicura l’elaborazione dei dati dei rider da parte della piattaforma, e sottolineando l’obbligatorietà di condurre una valutazione di impatto.
La piattaforma aveva impugnato il provvedimento davanti al tribunale di Milano definendo la multa comminata dal garante per la privacy eccessiva e in conflitto con l’articolo 83 del Gdpr, che definisce le condizioni delle sanzioni amministrative pecuniarie.
Nel novembre 2022, dopo la vittoria di Foodinho – società italiana controllata da GlovoApp23 – l’Autorità ha presentato ricorso in corte di Cassazione. L’ultima parola che spetta a questo organo è stata emessa alla fine di settembre, in una sentenza che è stata definita da alcuni avvocati come storica da un punto di vista tecnico.
È stato accolto il ricorso del Garante confermando il provvedimento annullato in primo grado, sottolineando l’importanza del regolamento europeo Gdpr nel definire sanzioni che seguono criteri di rilevanza, effettività e proporzionalità.
In merito alle violazioni rilevate dall’Autorità nel provvedimento del luglio 2021 tuttavia, lo studio pubblicato da tracking.exposed conferma l’inerzia della piattaforma davanti alle richieste del Garante circa la raccolta e la gestione dei dati e delle informazioni dentro e fuori gli orari di lavoro.
C.L.