App di Consegne a Domicilio: Violazione GDPR
E’ un app super tecnologica che vanta oltre 10 milioni di download nel Play Store di Google con utenti da 20 nazioni del mondo che la utilizzano per fruire di servizi di consegna rapida a domicilio, che nelle grandi città sono spesso operativi 24 ore su 24 e sette giorni a settimana grazie al lavoro di oltre 1.500 addetti, ma se i clienti volevano fare richiesta di accesso ai loro dati personali o esercitare i loro diritti non avevano un Data Protection Officer a cui rivolgersi.
Nonostante giri di affari milionari con un business basato su avanzate tecnologie di profilazione di gusti e abitudini di consumo dei clienti, geo-localizzazione dei fattorini e degli stessi utenti per conoscere in tempo reale i tempi di consegna su una mappa interattiva visualizzabile sul proprio dispositivo elettronico, ed anche raccolte di informazioni sensibili riferite ad allergie ed intolleranze alimentari dei clienti, se si andava però a leggere l’informativa sul trattamento dei dati personali non vi era alcuna menzione del DPO, semplicemente perché Glovo non lo aveva mai nominato.
Questo almeno fino a quando alcuni utenti non hanno iniziato a presentare reclami alle autorità per la privacy contro la Glovoapp23 SL, società spagnola con sede a Barcellona che ha sviluppato la nota app di home delivery, largamente diffusa anche in Italia, dove durante il lockdown ha registrato aumenti di ordini fino al 300% nelle 90 città dove è attualmente operativa.
Alla richiesta di chiarimenti inviata dal Garante per la privacy spagnolo (AEPD), il quale aveva appurato l’effettiva assenza di ogni menzione del Dpo nell’informativa dell’app, da una parte Glovo forniva una risposta formale in cui sosteneva di non aver nominato il Data Protection Officer perché non sarebbe rientrata nei parametri indicati dall’art.37 del Gdpr e che le funzioni di riscontro agli interessati sarebbero state svolte da altri incaricati all’interno dell’azienda, mentre dall’altra provvedeva a dotarsi di questa figura, dandone comunicazione alla stessa autorità il 31 gennaio 2020.
La reazione non proprio lineare della Globoapp23 SL non convinceva il Garante Privacy spagnolo, che perciò il 9 giugno 2020 adottava una risoluzione nel procedimento n.PS-00417/2019, sanzionando la società con una multa di 25.000 euro per violazione dell’art.37 del Regolamento UE 2016/679.
Tutto sommato, poteva andare peggio a Glovo perché per le violazioni di questo tipo il Gdpr prevede sanzioni fino a 10 milioni di euro o fino al 2% del fatturato annuo globale, e con i giri d’affari come quelli sviluppati dalla nota app di home delivery a livello mondiale, non era escluso che potesse arrivare una multa con alcuni zeri in più.
Non è la prima volta che le app di consegne a domicilio finiscono sotto la lente delle autorità per la privacy, infatti lo scorso anno il Garante italiano aveva aperto un’istruttoria sui trattamenti di dati personali da queste effettuati, che in molti casi risultavano comportare numerose richieste di accessi ai dispostivi degli utenti, tra cui la posizione gps, l’attivazione della fotocamera, la scansione della carta di credito, e l’accesso alla rubrica, tutte autorizzazioni che una volta concesse in fase di installazione dell’applicazione potevano essere poi disattivate solo manualmente dall’utente. Tutti buoni motivi che a febbraio di quest’anno avevano spinto il Garante per la privacy ad includere le app di home delivery nel piano ispettivo per il primo semestre del 2020.
Sarà quindi da vedere se la sanzione sulla mancata nomina del Dpo è stata solo un primo avviso della scure delle autorità che potrebbe abbattersi su Glovo, oppure se questa sarà stata in grado di correre ai ripari in modo convincente.
Articolo Ripreso da: FederPrivacy.Org