Servizio di consegna cibo Glovo: tracciamento della posizione privata dei corrieri e altre violazioni
di Naiara Bellio
Una recente indagine di Tracking Exposed mostra che la filiale italiana di Glovo, Foodinho, registra l’ubicazione dei corrieri fuori turno e la condivide con soggetti non autorizzati. È stato inoltre scoperto che il fornitore dell’app di consegna ha creato un punteggio di credito “nascosto” per i propri ciclisti.
Negli ultimi anni, le autorità di regolamentazione e i sindacati hanno messo sotto esame Glovo e altre app di consegna. I fornitori di app sono sospettati di non impiegare i propri corrieri freelance e di privarli così dei loro diritti. L’introduzione della Legge Rider in Spagna due anni fa ha accelerato le azioni per regolamentare il loro status lavorativo e l’Unione Europea si sta muovendo nella stessa direzione con la sua proposta di Direttiva sui lavoratori su piattaforma .
Tuttavia, Glovo continua ad accumulare multe per milioni di euro per violazioni del diritto del lavoro. Non è chiaro quanto la società abbia effettivamente pagato poiché le multe sono sospese in attesa di appello. Glovo è accusato anche in Spagna di aver lasciato migliaia di corrieri con contratti di lavoro autonomo.
Non è solo una questione di condizione occupazionale
La ricerca più recente di Claudio Agosti e Gaetano Priori presso Tracking Exposed (ora operativo come parte della Reverse Engineering Task Force ), che hanno condiviso con AlgorithmWatch, mostra come anche i ciclisti subiscono violazioni della privacy e un uso improprio dei loro dati personali da parte dell’applicazione Glovo Courier. Inoltre, l’azienda potrebbe aver creato un proprio sistema di punteggio per valutare le prestazioni dei corrieri ed eventualmente basare le decisioni sui punteggi.
Dopo quattro anni di ricerca approfondita sulle dinamiche del servizio e un’analisi tecnica che ha coinvolto il reverse engineering dell’app Foodinho Courier, i ricercatori hanno trovato quello che chiamano un “punteggio di valutazione nascosto” che non corrisponde a nessuno dei punteggi pubblici di Glovo, come il “punteggio di eccellenza” che ogni ciclista può consultare nella propria app e che in qualche modo definisce le valutazioni che riceve dai clienti.
“Possiamo sostenere che questo valore non è né il cosiddetto ‘punteggio di eccellenza’ né il ‘punteggio Glovo’. Parliamo quindi di rating nascosto perché è chiaramente presente nell’infrastruttura ma non appare nell’interfaccia o nella documentazione”, affermano nel loro rapporto principale.
Tuttavia, questo secondo punteggio (e nascosto) era attivo e valutava la prestazione del corriere. Ma come? Quando AlgorithmWatch ha chiesto alla società il punteggio, ha rifiutato di commentare.
Infatti, in paesi come la Spagna, il punteggio di Eccellenza sarebbe stato rimosso insieme ad altre funzionalità dell’app per conformarsi ai requisiti della Legge sui Rider. Ad esempio, ora i corrieri possono decidere senza penalità se accettare o meno gli ordini, mentre prima i loro punteggi potevano essere influenzati negativamente se decidevano di non accettarli.
Violazione della privacy al di fuori dell’orario di lavoro
I ricercatori si aspettano inoltre che Glovo venga esaminato per negligenza nella gestione dei dati personali dei corrieri. Denunciano che la piattaforma registra la posizione dei passeggeri fuori orario e la condivide con Google e tracker di terze parti non autorizzati, insieme a informazioni personali e identificabili.
Anche se Google dovrebbe ricevere alcune informazioni relative all’utilizzo dell’app ― il suo strumento di tracciamento Firebase è integrato nella maggior parte delle app mobili di Glovo ― i ricercatori sono preoccupati per il fatto che i parametri non siano collegati solo al nome e all’e-mail del ciclista ma anche altri dati personali.
Altri destinatari di questi dati sono, secondo la loro analisi, due società che non si riflettono nella politica sulla privacy di Glovo : Braze e mParticle. Questi sono solo altri due pesci nel vasto oceano di aziende che succhiano e digeriscono dati personali a scopo di lucro. “Ricevono dati personali (numero di telefono, ID, generalità, e-mail e geolocalizzazione) anche se, nel nostro test, l’utente non lavorava a turno”, affermano gli autori.
Includere tali tracker nelle applicazioni mobili è più che comune, mentre le aziende che lo fanno raramente comunicano la loro pratica. Anche un’indagine simile condotta in Europa e in Messico sulle app per il monitoraggio del budget ha rivelato la presenza di questi tracker predatori senza alcun preavviso agli utenti : le applicazioni finanziarie trasmettevano informazioni alle banche e ai servizi di credito. La mancata corretta comunicazione dei trasferimenti di dati è sufficiente per far scattare una sanzione da parte delle autorità di protezione dei dati.
Annegamento nelle multe
Il partner italiano di Glovo, Foodinho, è già sotto esame da parte del Garante, l’autorità italiana per la protezione dei dati, per non aver gestito i propri dati personali in modo appropriato. Ha ricevuto una multa di 2,6 milioni di euro nel 2021 ma deve ancora pagarla poiché è in appello pendente . Nonostante ciò, Agosti e Priori hanno condiviso i loro risultati con il Garante e si aspettano che l’Agenzia imponga una sanzione corrispondente.
“Consideriamo questa decisione una sentenza storica, poiché a nostra conoscenza è la prima volta che un garante della privacy sanziona un’azienda per aver violato l’art. 22 GDPR in un contesto lavorativo”, concludono gli autori.
Si prevede che il Garante pubblicherà la propria analisi dell’app di Glovo entro la fine dell’anno, possibilmente basata sulle nuove scoperte di Tracking Exposed.
traduzione a cura di Diario Prevenzione
Osservatorio Repressione è un sito indipendente totalmente autofinanziato. Puoi sostenerci donando il tuo 5×1000 e darci una mano a diffondere il nostro lavoro ad un pubblico più vasto e supportarci iscrivendoti al nostro canale telegram