La celebrity blacklist dei rider: spunti di riflessione GDPR

Se l’informazione è potere noi rider liberiano i dati“.

Continua la protesta dei rider contro i vip che non lasciano la mancia. Si torna a parlare dello scontro tra la #gigeconomy e la Data Economy e delle ripercussioni che tale vicenda ha assunto su scala globale con particolare riguardo alla protezione dei dati personali.

Lo scorso 25 Aprile sulla pagina Facebook di “Deliverance Milano”, Associazione creata e gestita dal collettivo di rider precari, è stato diffuso un elenco di tutte le star e i vip che regolarmente ordinano cibo a domicilio utilizzando app di food delivery (come Deliveroo, Foodora, JustEat, UberEats, Glovo).

Inizia così la storia della c.d. #blacklist dei #rider, una lista dove attualmente compaiono 25 nomi e cognomi tra “attori, presentatori, cantanti, calciatori, sportivi, musicisti, rapper, influencer” che “non lasciano la mancia a nessun fattorino, nemmeno in caso di pioggia!”. In buona sostanza, dunque, la lista non si limita a diffondere dei semplici nominativi di personaggi famosi, ma sembrerebbe associare a tali nominativi delle abitudini di acquisto legate “all’essere fedeli clienti” dei principali operatori nel settore del #food delivery. E’ evidente, peraltro, che associare il nominativo di un determinato personaggio ad un certo brand ha significative ripercussioni tanto sull’immagine del brand stesso, quanto sulla vita/sfera privata dell’interessato.

Se da un lato, la natura dei #dati personali diffusi (nome e cognome nella gran parte dei casi), non suscita di per sé grande impatto, dall’altro è significativo come lo sfruttamento di dati personali di soggetti (che per quanto “noti” sono pur sempre comuni consumatori) sia stato elevato ad arma nell’ambito di una battaglia sociale che vede da tempo attivi i rider al fine di veder riconosciuti i propri diritti quale autonoma categoria professionale.

In altri termini, la vicenda costituisce un chiaro esempio di come, ad oggi, è ormai comunemente radicata la consapevolezza del valore monetario dei dati personali nell’ambito della c.d. #Data Economy e del rilievo che questi hanno nel condizionare le scelte dei big del nuovo mercato globale.

Si assiste quindi alla “nascita sociale” del dato personale quale bene giuridico autonomo e di una nuova tipologia di “consumatore”, cioè l’“#interessato” (così come definito dal #GDPR) che conosce il valore dei propri dati e presta maggiore attenzione alla loro condivisione. Nello stesso post dei rider si evince chiaramente tale consapevolezza laddove si afferma come le realtà aziendali del settore generano “gran parte dei propri introiti, attraverso un enorme giro di affari che si basa sulla #profilazione dei nostri dati, prodotti in quanto utenti, da clienti e lavoratori […]”.

In tale contesto, è sicuramente utile domandarsi se e come questa situazione – abbastanza “cristallizzata” da un punto di vista “social” – sia stata gestita (o non gestita) dai big della food delivery con riferimento agli adempimenti imposti dalla normativa privacy attualmente vigente.

In particolar modo, dalla vicenda in questione emergono due criticità in ambito GDPR:
l’incertezza normativa legata alla natura del rapporto lavorativo (subordinato o autonomo) dei rider che si ripercuote sulla loro qualificazione lato privacy, in quanto soggetti che trattano per diverse finalità (profilazione inclusa) dati personali in nome e per conto dei #Titolari del Trattamento (ovvero i big della food delivery).
la presunta assenza di adeguate #misure tecniche e organizzative che i Titolari del Trattamento dovrebbero invece garantire ex art. 32 GDPR a tutti gli interessati (a prescindere dal fatto che gli stessi siano “personaggi” famosi o meno), direttamente e anche tramite i propri fornitori/provider di servizi, tra cui i rider stessi.

In assenza di un quadro documentale che consenta di fornire adeguate risposte a queste problematiche #privacy, viene spontaneo domandarsi quanto segue:

Questi “terzi fornitori di servizi con i quali condividiamo le tue informazioni” (come si legge ad esempio nell’informativa privacy pubblicata sul sito di Deliveroo), sono stati correttamente responsabilizzati prevedendo un’adeguata istruzione/formazione degli stessi da parte del Titolare del Trattamento? Quali clausole a presidio dei diritti degli interessati sono state inserite nel contratto (ove esistente) con i rider stessi?

La presente vicenda sembrerebbe suggerire una risposta negativa ad entrambi i quesiti. La stessa consente però di riflettere sulla duplice importanza della normativa GDPR: lato azienda, come processo da inglobare nell’organizzazione aziendale per massimizzare il profitto (e non semplice adempimento legislativo e/o burocratico); lato interessato, come strumento utile per tutelare i diritti personali in un mercato globale in costante cambiamento.