La pandemia ha visto esplodere il fenomeno delle consegne a domicilio di cibo e l’affluenza degli utenti a siti destinati alla raccolta degli ordini.
Come per tutti i servizi online, gli utenti si preoccupano soprattutto della sicurezza della transazione di pagamento e del rischio che i dati delle loro carte vengano intercettati. E anche da parte delle aziende di food delivery l’attenzione sul tema è massima. In realtà, nella consegna a domicilio c’è un aspetto spesso trascurato, che riguarda la privacy del cliente.
La mole di dati personali comunicati, raccolti e conservati per consegnare il cibo (e non solo) a domicilio è infatti enorme: il tema food e dati personali richiede dunque qualche approfondimento.
1) Anzitutto occorre capire chi è il titolare del trattamento dei dati personali comunicati, colui che determina i mezzi e le modalità del trattamento.
Non necessariamente si tratta del ristorante presso il quale vogliamo effettivamente ordinare, anzi quest’ultimo potrebbe anche ignorare del tutto l’identità del cliente. Il più delle volte, infatti, tutti i dati sono gestiti dalla società alla quale viene inviato l’ordine, la quale lo trasmette al singolo ristorante, trattando quest’ultimo come un proprio fornitore (es. Glovo, Deliveroo). Questo flusso di dati personali deve essere gestito nella logica dell’indispensabilità del trattamento, selezionando quelli che sono strettamente necessari per adempiere al contratto (cioè per evadere l’ordinazione).
2) Spesso i form online richiedono una mole di dati personali del tutto eccedente dalla finalità per cui gli stessi sono comunicati dall’utente. Con molta disinvoltura, tutti questi dati sono richiesti come “obbligatori”, talvolta come facoltativi.
In molti casi le piattaforme che gestiscono questi servizi non sono interessate soltanto al compenso (ossia alla provvigione che prendono per ogni consegna) ma al dato in sé, che ha un suo valore economico tutt’altro che trascurabile. Per questo tendono a chiedere ogni informazione che il cliente sia disposto a dare.
In ogni caso, l’informativa deve appunto informare e spiegare quali sono le finalità del trattamento. Una corretta individuazione delle finalità perseguite aiuta certamente a capire se vi è una coerenza fra i dati personali forniti e la finalità: se la finalità è eseguire il contratto (es: consegnare l’ordinazione ricevuta) perché richiedere, per esempio, luogo e data di nascita?
La risposta che potrebbe essere resa è: per verificare se l’utente è maggiorenne. Ma si tratta di una ingenuità. Si potrebbe semplicemente inserire un flag obbligatorio dove il soggetto dichiara di esserlo per poter finalizzare l’ordine.
Si tratta, insomma, di comportamenti e richieste che non sono legittimi e che devono essere segnalati al Garante.
3) Spesso, si afferma che il dato è stato fornito “spontaneamente” dall’utente e che quest’ultimo non può, quindi, lamentarsi.
Questa risposta non è di alcun aiuto. In ogni caso, i dati sono stati acquisiti e il Titolare del trattamento deve essere in grado di documentare le ragioni della richiesta.
Il punto è il seguente: il titolare del trattamento non può rifiutare un servizio per la sola ragione che il cliente non vuole dare informazioni non necessarie. Se questo principio viene violato, la persona che richiede la prestazione si trova costretta a conferire i propri dati. Non si può più parlare di spontaneità.
4) Immaginiamo un sito di food che chiede informazioni del tipo: sei vegano? Mangi più carne o pesce? Hai più di 40 anni? Hai un lavoro stabile? Sei un soggetto allergico? In che modo vengono trattati i dati?
Se si tratta di una indagine statistica anonima, cioè di dati personali destinati ad essere aggregati ma non più riconducibili alla persona che ha reso le risposte, allora non rientriamo nella sfera di applicazione del GDPR, il noto Regolamento EU n. 679/2016.
Il dato anonimo è non è infatti un dato personale, Ma questa informazione deve essere resa da chi raccoglie i dati.
5) Il Food si presta ad essere un tema particolarmente delicato perché alcune informazioni necessarie per fornire il servizio potrebbero rilevare lo stato di salute del soggetto. In tal caso, occorre che il soggetto, oltre a prendere visione della informativa, presti il consenso al trattamento di questo dato personale?
I dati che rivelano, o possono rivelare, lo stato di salute degli interessati sono chiamati dati particolari e vanno trattati con cautela.
Il form nell’acquisire queste informazioni dovrebbe essere predisposto in modo tale da evitare di agganciare a una specifica motivazione la scelta di non assumere particolari cibi. In questo modo, si potrebbe snellire il processo disancorando l’opzione alimentare da informazioni idonee a rilevare le convinzioni religiose filosofiche, o informazioni sulla salute, appunto.
Un conto è chiedere: sei allergico? Altro discorso è quello di chiedere: indicare ciò che non volete/ potete assumere (es: latticini, carne di maiale, pesce). In tal caso si potrebbe evitare di richiedere il consenso al trattamento.
È una possibilità astratta: ma la decisione e i processi vanno ponderati caso per caso, nella logica di tutelare anzitutto la salute delle persone.
In conclusione, nel trattamento dei dati personali sono molte le variabili da considerare al fine di tutelare le persone e la loro salute ed evitare di ingessare le società in processi inutili ed evitabili. Processi e procedure che hanno l’obiettivo di snellire i passaggi e consentire un corretto e sereno trattamento dei dati personali.
