La notizia che è apparsa sui giornali sembra quasi di natura folkloristica, relegata tra la cronaca mondana e il gossip, ma la sua portata a livello giuridico è stata decisamente sminuita e, comunque, non compresa.

Alcuni rider, gli addetti alla consegna di pranzi a domicilio, hanno pubblicato su un loro sito o profilo social l’elenco dei VIP che hanno omesso di dare la mancia a coloro che, a qualsiasi ora e con ogni possibile condizione climatica, affrontano il traffico cittadino su mezzi obiettivamente poco sicuri per portare a destinazione cibi tradizionali, etnici, pizze e bevande. Accanto all’elenco di VIP è apparso anche il chiaro messaggio “sappiamo dove abitate”.

In primo luogo il messaggio  “lascia la mancia o faccio sapere a tutti che sei un tirchio e nella tua posizione non puoi permettertelo", configura tentativo di estorsione se non, come nel caso riportato poiché i nomi sono stati pubblicati, estorsione consumata. La pena prevista dall’art. 629 Codice Penale va da sei a venti anni di reclusione, oltre alla multa. Magari i giovani rider non se ne sono resi conto, ma hanno commesso un reato che potrebbe anche aggiungersi ad altre fattispecie relative all’uso improprio di dati personali dei quali sono venuti in possesso mediante il loro datore di lavoro.

Immaginiamo la scena? Un ordine per una cena mediante una app cui è collegata una carta di credito preregistrata e il rider, che non dovrebbe avere accesso ai dati dei clienti, viene peraltro a conoscenza di nominativi e indirizzi dei clienti, dei loro gusti o eventuali problemi connessi al cibo. In parole povere di dati personali che potrebbero anche essere di natura sensibile. Poi il rider in questione ne fa l’uso sopra indicato e, ovviamente, ne dovrà rispondere in sede disciplinare al datore di lavoro e anche in sede penale. Ma il problema va a toccare anche il titolare del servizio o della app, che si è visto sottrarre i dati da un proprio incaricato.

Appare evidente che si è verificata una falla nel sistema di sicurezza del trattamento dati nel sistema nel suo complesso. E’ ovviamente necessario prendere in considerazione quali siano gli obblighi che si sono reciprocamente assunti rispettivamente il gestore della app e il ristorante e chi, eventualmente, gestisca il servizio dei rider. Una situazione da ricostruire adesso ma che doveva essere monitorata fin dall’inizio dell’attività per proteggere l’intera filiera.

E’ verosimile che si assista ad uno scarico di responsabilità tra le aziende coinvolte quando i personaggi che hanno visto il loro nome prima in internet e poi sui giornali chiederanno il risarcimento del danno di immagine a loro arrecato e, in ogni caso, da ciò può derivare un danno non da poco alle aziende e a questo settore dell’economia che aveva portato nuove possibilità di lavoro (al punto che il governo ha al vaglio una legge a tutela proprio dei rider).

Ma questa vicenda suona come una grave violazione della privacy di persone che, come sembra potersi ritenere in questo caso, non hanno certo prestato il consenso al trattamento all’ultimo anello della catena (il rider), che li ha bellamente sbandierati in piazza. Il caso può ripetersi in altre fattispecie analoghe: basti pensare a quei casi in cui ci si rivolge ad un tour operator, ma quest’ultimo si appoggia ad hotel o strutture che non si sono adeguate al GDPR.

Diventa quindi onere di ogni azienda, già in sede di valutazione della policy sul trattamento dati personali, considerare gli eventuali altri partner, fornitori, consulenti indispensabili allo svolgimento della propria attività e il loro possibile livello di coinvolgimento nel trattamento dei dato personali. E non stiamo parlando solo del settore specifico, ma di ogni possibile attività. In ogni caso il primo elemento che emerge per gli operatori è che ogni azienda dovrà non solo avere policy di rispetto del GDPR assolutamente rigorose, ma assicurarsi che il personale, non solo quello strettamente di desk o incaricato per le funzioni svolte al trattamento dati, riceva quell’adeguata preparazione per cercare quantomeno di minimizzare i rischi.

Analizzando in profondità l’accaduto emerge che i rider sono professionisti che lavorano autonomamente con loro mezzi e loro (se ne posseggono) coperture assicurative. Vero è che da un anno stanno cercando di regolarizzare la loro posizione con un contratto subordinato, ma ancora siamo in alto mare.

E allora da un punto di vista del Regolamento europeo della privacy? Sono a tutti gli effetti dei responsabili esterni subordinati al titolare e come tali devono garantire le disposizioni dell’articolo 32. Si tratta di  soggetti, distinti dal titolare, che devono essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell'interessato. 

Su questo punto ne vedremo delle belle perché, oltre a dubitare fortemente che ai riders sia stata consegnata e fatta firmare specifica lettera di incarico e mansionario di data processor, di sicuro essi non hanno rispettato;

1) i diritti degli interessati che erano nel loro pieno potere di dare o non dare una mancia;
2) criterio di liceità del trattamento che si esauriva con la semplice consegna di quanto dai clienti ordinato.

Il titolare del trattamento risponde della gestione effettuata dal responsabile, dovendo ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR). Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento, che pone in essere tramite i responsabili.

E qui sicuramente il rischio non è stato valutato, perchè la pubblicazione senza autorizzazione di dati anagrafici con l aggiunta di abitudini e stili di vita (l’elargizione di una mancia rientra in questa sfera poiché si puo’ dedurre la magnanimità o la parsimoniosità degli interessati, che in ogni caso non hanno certamente dato il loro consenso) rappresenta una grave violazione dei diritti dell’interessato e una delle più gravi inadempienze del Titolare del trattamento che non ha correttamente vigilato.

Torna alla mente, in questo caso, l’importanza del rispetto dell’art. 29 e del fatto che tutte le persone che trattano dati per conto del titolare devono essere formate ed edotte sui diritti e sui doveri degli interessati e sulla protezione dei dati a loro affidati. Non sappiamo come finirà questa storia, probabilmente qualche avvocato di qualche VIP presenterà un reclamo al Garante e una richiesta risarcitoria (l’art 82 del GSPR prevede il diritto al risarcimento del danno per ogni interessato che abbia ricevuto un danno materiale o immateriale da un trattamento non corretto o da una qualsiasi violazione delle norma scritte nel Regolamento).

Chi pagherà? Il Titolare? il Responsabile? Nessuno?

Chissà, ma quel che è certo è che ne sentiremo ancora parlare…

 Avv. Gianni Dell'Aiuto & Alessandro Papini Presente A.I.P.