Lo scorso 31 dicembre 2020, la sezione lavoro del Tribunale di Bologna ha condannato la società Deliveroo Italia S.r.l. (“Deliveroo” o la “Società”), convenuta in giudizio dalle associazioni sindacali FILMCAS CGIL, NIDIL CGIL, FILT CGIL (i “Sindacati”) per la natura discriminatoria delle condizioni di accesso alle sezioni di lavoro tramite la piattaforma digitale della Società.

  1. La decisione del Giudice

Deliveroo è una società multinazionale attiva nel settore del food delivery che, per lo svolgimento delle proprie attività, si avvale di un modello organizzativo basato su una rete di rider i quali, installando un’apposita app sul proprio smartphone, possono prenotare una determinata sezione di lavoro (cd. “slot di lavoro”).

Il sistema di prenotazione delle sezioni di lavoro, ormai non più utilizzato dalla Società, si fondava su un punteggio attribuito a ciascun rider da un algoritmo basato su un ranking reputazionale, elaborato sui parametri dell’affidabilità e della partecipazione del rider (cd. algoritmo “Frank”).

I valori dei due indici venivano determinati rispettivamente:

  • dal numero delle occasioni in cui il rider, pur avendo prenotato una sessione, non vi avesse partecipato, ossia non si fosse “loggato” nei 15 minuti prima dell’inizio della sessione (cd. “Indice di Affidabilità”);
  • dal numero di volte in cui il rider si fosse reso disponibile ad effettuare le consegne negli orari di cena (cd. “Indice di Partecipazione”).

Sulla base dell’Indice di Affidabilità e dell’Indice di Partecipazione, il rider guadagnava un punteggio funzionale alla possibilità di accedere al sistema di prenotazione degli slot di lavoro prima degli altri rider: più il rider era affidabile, più aveva la possibilità di collocarsi nella prima fascia di accesso alle prenotazioni, ossia la mattina e dunque scegliere tra più slot di lavoro disponibili.

Tale punteggio diminuiva nel caso in cui il rider non avesse cancellato la sezione di lavoro nelle 24 ore precedenti al turno oppure nel caso in cui non si fosse geolocalizzato nella zona di competenza almeno 15 minuti prima dell’inizio del predetto turno.

Queste circostanze determinavano quindi una “penalizzazione” del punteggio del rider, pregiudicandone l’affidabilità, senza tenere in considerazione le ragioni sottese alla mancata geolocalizzazione quali, ad esempio, l’adesione a forme di tutela collettiva, ragioni di salute o esigenze familiari. Alla luce di ciò, i Sindacati sostenevano la natura discriminatoria del sistema di prenotazione dei turni di lavoro che, di fatto, esponeva il rider alla perdita di punteggio e, dunque, di occasioni di lavoro future, emarginandolo dalla scelta dei turni.

La totale indifferenza e “cecità” della piattaforma di Deliveroo ai motivi posti alla base di eventuali assenze è stata considerata dal Giudice l’elemento in cui risiedeva la potenzialità discriminatoria del sistema di prenotazione degli slot di lavoro, il quale non era in grado di distinguere un’assenza dal lavoro per futili motivi o per motivi fondati (come quelli sopra richiamati). Infatti, le uniche assenze giustificate dalla Società (che, dunque, non determinavano una diminuzione del punteggio) erano quelle collegate a infortuni sul lavoro o connesse al malfunzionamento del sistema di prenotazione dei turni.

Pertanto, secondo il Giudice, la mancata inclusione e previsione di ulteriori motivazioni poste alla base delle assenze dei rider (quali sciopero, malattia, etc.), rappresentava una precisa scelta della Società di non includere le stesse nell’algoritmo, rafforzando quindi la tesi della natura discriminatoria dell’algoritmo Frank.

Accertato il carattere discriminatorio del predetto algoritmo, il Giudice ha condannato la Società (inter alia) a:

  • rimuovere gli effetti della condotta discriminatoria mediante la pubblicazione dell’ordinanza nelle FAQ della piattaforma della Società;
  • pagare, a titolo di risarcimento del danno, Euro 50.000 ai Sindacati.

 

Questa sentenza, oltre a rappresentare una conquista per i diritti dei lavoratori e le lavoratrici nell’ambito della nuova economia digitale, rappresenta anche un importante intervento giurisprudenziale per cominciare a considerare effettivamente la portata, i limiti e le conseguenze delle decisioni automatizzate.

Infatti, come dichiarato dalla segretaria confederale della Cgil, Tania Scacchetti, “Per la prima volta in Europa, un giudice stabilisce che l’algoritmo Frank è cieco e pertanto indifferente alle esigenze dei rider che non sono macchine, ma lavoratrici e lavoratori con diritti. Il ranking reputazionale declassa allo stesso modo, senza alcuna distinzione, sia chi si assenta per futili motivi, sia chi si astiene dalla consegna per malattia o per esercitare il diritto di sciopero”. La stessa aggiunge inoltre che “Il Giudice ha ritenuto quindi che il modello di valutazione adottato dalla piattaforma di food delivery era il frutto della “scelta consapevole” dell’azienda di privilegiare la disponibilità del rider, senza mai considerare le ragioni del suo possibile mancato collegamento alla piattaforma”. Nella sentenza del Giudice si legge, infatti, che la piattaforma, in specifici casi (i.e. infortunio sul lavoro e malfunzionamenti dei sistemi) sia in grado di “togliersi la benda che la rende “cieca” o “incosciente” rispetto ai motivi della mancata prestazione lavorativa da parte del rider e, se non lo fa, è perché lo ha deliberatamente scelto”.

  1. La disciplina dei processi decisionali automatizzati ai sensi del GDPR

Grazie al progresso tecnologico, il ricorso a processi decisionali automatizzati è sempre più diffuso (soprattutto in settori quali, ad esempio, quello bancario, finanziario, sanitario, pubblicitario, etc.) e rende le attività e i trattamenti più efficienti ed economici sebbene, al contempo, si configurino rischi per i diritti e le libertà degli individui.

Tuttavia, i processi decisionali automatizzati, che rappresentano il lato opposto della medaglia del principio di autodeterminazione informativa dell’individuo, espongono lo stesso al rischio di essere espropriato del diritto di costruire e controllare la propria immagine sociale[1]. Spesso, infatti, le decisioni automatizzate sono fondate sul funzionamento di complessi algoritmi che, talvolta, oltre ad essere incomprensibili agli individui, creano delle forme di discriminazione senza che gli individui ne siano effettivamente a conoscenza. E questo è proprio il caso dell’algoritmo Frank utilizzato da Deliveroo che, sulla base di comportamenti dei rider, faceva aumentare o diminuire il loro ranking reputazionale creando vere e proprie forme di discriminazione nell’accesso ai turni di lavoro.

Per arginare i rischi connessi a tali decisioni, il legislatore europeo ha previsto l’art. 22 del Regolamento UE 2016/679 (“GDPR”), il quale introduce il diritto dell’individuo a non essere sottoposto a decisioni automatizzate, ivi inclusa la profilazione.

In particolare, gli elementi chiave su cui si fonda il diritto di cui all’art. 22, GDPR sono essenzialmente due: (i) il trattamento automatizzato; e la successiva (ii) decisione basata “unicamente” sul predetto trattamento. In questo modo, dunque, l’art. 22, GDPR vieta l’adozione di decisioni prese senza che l’intervento umano eserciti un’influenza reale sull’esito della decisione.

Il divieto di cui all’art. 22, GDPR non è assoluto dal momento che il secondo comma del medesimo articolo contempla tre specifiche deroghe. In particolare, il divieto non sussiste nel caso in cui:

  • la decisione è necessaria ai fini della conclusione e/o esecuzione di un contratto. Tale ipotesi, come suggerito dal WP29 nel documento del 3 ottobre 2017 “Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679”, è comunque da intendersi in senso restrittivo dovendo il titolare, di volta in volta, dimostrare che la decisione è necessaria in quanto non vi siano altri mezzi disponibili;
  • la decisione è autorizzata dal diritto dell’Unione europea o dallo Stato membro (i.e. processo decisionale automatizzato eseguito al fine di monitorare e prevenire le frodi fiscali);
  • la decisione è fondata sul consenso esplicito dell’interessato.

Nei casi di cui sopra, considerando i rischi connessi a queste specifiche attività, il titolare del trattamento dovrebbero adottare garanzie adeguate volte a tutelare i diritti, le libertà e gli interessi legittimi degli interessati. Si tratta, ad esempio, di fornire una specifica informazione all’interessato, nonché di garantire allo stesso il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione[2].

  1. Adempimenti del titolare del trattamento in caso di decisioni automatizzate

Il legislatore europeo, al fine di rendere i trattamenti automatizzati conformi al GDPR, ha individuato una serie di adempimenti che il titolare del trattamento dovrà porre in essere. Si tratta in particolare di specifici adempimenti il cui compimento dipende esclusivamente dall’accountability del titolare. È infatti noto ormai come il principio di responsabilizzazione, sancito dall’art. 5, comma 2 del GDPR, sia la chiave di lettura dell’intero GDPR e impone al titolare del trattamento non solo di svolgere le opportune valutazioni in merito ai casi specifici, ma anche di dimostrare le logiche sottese alle sue azioni.

Per tale ragione, nell’ambito dei processi di decisione automatizzata, il titolare dovrà:

  • adempiere agli obblighi di trasparenza quali, a titolo esemplificativo l’utilizzo di procedure matematiche o statistiche appropriate per la profilazione, nonché fornire l’informativa agli interessati rispetto agli specifici trattamenti svolti;
  • individuare, di volta in volta, le basi giuridiche che legittimino il trattamento;
  • porre in essere, di volta in volta, le misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori per garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche;
  • garantire l’effettiva possibilità all’interessato di esercitare il diritto di opposizione di cui all’art. 21 del GDPR; e soprattutto
  • svolgere la valutazione di impatto di cui all’art. 35, GDPR, particolarmente raccomandata nel caso in cui siano impiegate nuove tecnologie nei trattamenti svolti.

[1] Cfr. G. M. Riccio, G. Scorza, E. Belisario, “GDPR e normativa privacy, commentario”, Wolters Kluwer, Milano, 2018, p. 222 e ss.

[2] Considerando 71 del Regolamento UE 2016/679.