Glovo: i rider sono tracciati anche quando non lavorano?

Sembrerebbe che la piattaforma di Glovo raccolga informazioni gps e altri dati non solo durante le consegne

sistemi automatizzati e la gamification del lavoro, al quale vengono applicate regole e dinamiche sempre più simili a quelle dei videogiochi, stanno modificando in modo repentino e radicale le strategie di alcune aziende, con ripercussioni in termini di privacy e di violazione dei diritti dei lavoratori.

Tra il 2021 e il 2023 il team di tracking.exposed, progetto di ricerca sulla profilazione online, ha effettuato un’analisi del funzionamento della app Glovo Couriers, in dotazione a ogni rider che lavora per la piattaforma spagnola, per fornire una prova tecnica e verificata di come Glovo agisca nei confronti dei lavoratori.

In termini tecnici si parla di reverse engineering (attraverso black-box testing) che consente a persone competenti in materia di analizzare il flusso di dati raccolti dall’app durante il suo utilizzo (e non solo).

Non è necessario avere accesso al codice sorgente, e quindi guardare dentro la scatola nera inaccessibile che contraddistingue gli algoritmi, poiché le decisioni prese attraverso quest’ultimo sono analizzate sulla base dei dati che vengono introdotti e dall’output che poi ne fuoriesce. Il coinvolgimento da parte di un rider, che ha fornito l’accesso alla app e ai dati, è stato fondamentale.

Il rider di Glovo è tracciato anche quando non lavora

Ciò che è emerso dall’analisi tecnica, avvenuta in più momenti, è che la posizione dei rider è tracciata non solo durante lo svolgimento delle consegne, e quindi nell’orario lavorativo, ma anche nel momento in cui l’app è lasciata in background sul dispositivo.

Rider di Glovo in bici
Foto | Unsplash @
Shashank Verma – Fortenews.it

In questo caso Glovo Courier app richiede l’accesso alla localizzazione gps del telefono del rider, a intervalli irregolari. Nello studio è citato un esempio: durante l’analisi è stato possibile confermare come tra l’una e le tre di notte le richieste di ricevere il dato gps siano state nove, e invece durante il giorno meno frequenti.

Ripetendo l’analisi una seconda volta il team ha potuto contro verificare la situazione, arrivando alla conclusione che la raccolta dei dati di geolocalizzazione avveniva in diversi momenti della giornata, anche al di fuori dell’orario di lavoro. Informazioni raccolte da una interfaccia specifica della piattaforma Glovo, Courier location, disegnata per ricevere queste informazioni dalla app.

Il tracciamento di Glovo, stando a quanto appurato nella prima analisi del 28 luglio 2021, comunque non si limiterebbe unicamente alla condivisione della posizione in cui il telefono del rider (e quindi molto probabilmente il rider stesso) si trova.

Altre informazioni come il livello di ricarica della batteria, l’eventuale caricamento o meno, e la velocità di spostamento del corriere sono inviate frequentemente alla piattaforma, anche se in modo irregolare. L’ipotesi avanzata dal team di ricerca è che l’app ricerchi la presenza di rider in una determinata area soprattutto nei casi in cui il numero di ordini risulti molto elevato. Una seconda e una terza analisi simile è stata condotta a febbraio e luglio 2022, portando agli stessi risultati.

È emerso inoltre come l’app condividesse con la piattaforma un rating dal valore numerico di 4.5, e successivamente di 32 (sotto la dicitura experiment score).

Non è però stato possibile chiarire a cosa servisse questo rating, di fatto sconosciuto al pubblico perché diverso dal punteggio di eccellenza pubblicizzato da Glovo, e se questo giochi un ruolo nella valutazione lavorativa dei rider o per quanto riguarda l’assegnazione degli ordini.

La privacy policy dell’app Glovo Courier non è particolarmente chiara circa le terze parti alle quali i dati raccolti durante l’orario di lavoro sono poi condivisi.

Nel documento si legge genericamente come questi possano essere inviati ad aziende o consulenti fiscali, tributari, assicurativi e legali, così come autorità fiscali o enti per la previdenza sociale, forze dell’ordine, fornitori di servizi esterni al fine di proporre al rider offerte commerciali.

La prima analisi del traffico tra l’app Glovo Couriers e terze parti ha fatto emergere come un’azienda statunitense specializzata in marketing, Braze, fosse destinataria non solo del codice univoco dei corrieri ma anche della loro email, numero di telefono e localizzazione.

Raccolta di dati che è stata confermata anche nei successivi test. Le preoccupazioni in questo senso, rileva il team di ricerca, trovano spiegazione nel momento in cui i dati raccolti riguardano le loro performance lavorative e il tempo al di fuori del lavoro (momento in cui l’app è in background).

Dal 2021 a oggi: l’inerzia della piattaforma

Quanto emerso nel report del team di tracking.exposed è stato sottolineato in parte anche da provvedimento del giugno 2021 da parte dell’Autorità per la protezione dei dati personali.

Rider di Glovo
Foto | Unsplash @Polina Malilo – Fortenews.it

 

Per quest’ultima il motivo della sanzione di 2,6 milioni di euro a Foodinho, la società italiana controllata da GlovoApp23, era da ritrovarsi nella mancata valutazione di impatto sul trattamento dei dati dei rider acquisiti attraverso l’app, così come nella mancata richiesta di consenso durante la raccolta di dati gps (che al tempo il garante aveva dichiarato aggiornata ogni 15 secondi), nonchè nel processo automatizzato utilizzato per fornire ai rider l’accesso alla prenotazione dei turni di lavoro.

Il garante si era al tempo espresso riconoscendo la violazione dei principi di trasparenza, privacy by design e privacy by default, definendo illecita nonché insicura l’elaborazione dei dati dei rider da parte della piattaforma, e sottolineando l’obbligatorietà di condurre una valutazione di impatto.

La piattaforma aveva impugnato il provvedimento davanti al tribunale di Milano definendo la multa comminata dal garante per la privacy eccessiva e in conflitto con l’articolo 83 del Gdpr, che definisce le condizioni delle sanzioni amministrative pecuniarie.

Dopo la vittoria di Foodinho nel novembre 2022, l’Autorità ha presentato ricorso in corte di Cassazione. L’ultima parola che spetta a questo organo è stata emessa alla fine di settembre, in una sentenza che è stata definita da alcuni avvocati come storica da un punto di vista tecnico.

In sostanza hanno accolto il ricorso del garante della privacy confermando il provvedimento annullato in primo grado, sottolineando l’importanza del regolamento europeo Gdpr nel definire sanzioni che seguono criteri di rilevanza, effettività e proporzionalità e chiarendo che il “giudice può annullare, modificare e rideterminare in tutto in parte l’entità della sanzione inflitta, tenuto conto della specificità ed effettività del singolo caso concreto”.

Per quanto riguarda le violazioni rilevate dall’Autorità nel provvedimento del luglio 2021 però, lo studio pubblicato da tracking.exposed conferma l’inerzia della piattaforma davanti alle richieste del garante circa la raccolta e la gestione dei dati e delle informazioni dentro e fuori gli orari di lavoro.

Gestione cookie