Che c’è di buono nel provvedimento del Garante contro Foodinho
Di Luca Menichino
Con il provvedimento del 10 luglio u.s. il Garante della privacy ha comminato a Foodinho, società di food delivery, una sanzione di € 2.600.000.
Sappiamo bene che le consegne dei ciclo fattorini sono gestite da un software totalmente automatizzato con cui si raccoglie l’ordine, si indica la destinazione del ristorante, la destinazione ultima dell’utente e il percorso, per rendere più spedita la consegna. Il software elaborava, tra le altre cose, un punteggio automatico di gradimento del rider sulla base di vari indici predeterminati e il 20% della valutazione dipende dall’umore del cliente e del ristoratore. Simili automatismi “vanno a incidere sulla sua persona proponendo o negando l’accesso alle fasce orarie e anche la possibilità di rendere la prestazione”. Inoltre, il sistema informatico, quanto meno nel primo periodo di utilizzo, consentiva ad un numero molto elevato di soggetti di visionare in tempo reale lo stato delle consegne in tutta Europa e di tutti i rider attivi, senza particolari filtri e senza l’indicazione di specifiche necessità.
Leggendo il provvedimento traspare un atteggiamento ostile e una volontà punitiva nei confronti della società. Per la verità, riesce difficile giustificare sanzioni così elevate in presenza di prescrizioni generali ed astratte che non facilitano di certo il compito dell’imprenditore nell’adottare delle soluzioni concrete che tengano conto di esigenze tra loro contrapposte: non è facile minimizzare il dato quando quello stesso dato deve essere conservato per giustificare la prestazione e anche l’incasso davanti a diverse Autorità.
Ma ci sono almeno due aspetti molto rilevanti della decisione che hanno un innegabile valore culturale e di sensibilizzazione sulle libertà fondamentali dell’individuo. Si tratta della sorveglianza continua e della dipendenza dell’uomo dall’algoritmo. Il GDPR, attraverso il principio della minimizzazione del dato, vuole impedire l’accesso ai dati se non per verificabili e giustificate necessità (art. 5 GDPR); vuole impedire, dunque, un controllo continuo della macchina sull’uomo, eliminando gli spazi di riservatezza e comprimendo la libertà e la dignità dell’individuo. Il Regolamento comunitario, sotto un altro versante, se consente l’uso dell’automazione nella valutazione delle performance, impone che vi sia pur sempre un intervento umano e che si possa instaurare un rapporto dialettico (art. 22 c. 3 GDPR), per impedire che l’algoritmo - che potrebbe, a sua volta, incorporare errori e pregiudizi - decida in sostituzione dell’uomo.
Ecco che, almeno sotto questi profili, la decisione del Garante costituisce un punto di riferimento in difesa della libertà dell’uomo. I progettisti dei nuovi software dovranno tener conto di queste indicazioni e dovranno adottare tutti gli accorgimenti tecnici per garantire che non vi siano valutazioni automatiche o un controllo costante della prestazione.
In questo modo ci sarà innovazione e automazione ma, al contempo, saranno salvaguardati i diritti fondamentali dell'individuo.
Milano, 21 luglio 2021