Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 miljoner euro mot Foodinho S.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Foodinho ägs av det spanska holdingbolaget Glovoapp23 SA. Foodinho använder en onlineplattform som tillhandahålls av Glovo ES för att hantera sina anställda och leveranserna. Plattformen gör det möjligt att se en karta över alla platser i världen där Glovo bedriver verksamhet och var varje anställd befinner sig i realtid. Genom att klicka på en förare kan Foodinho se var de befinner sig, vilka tidsluckor de är tillgängliga på, vilka leveranser de har utfört och vilket spår de har följt. Garante inledde en utredning efter att en av Foodinhos anställda avlidit när han levererade mat.
Garante konstaterade bland annat att Foodinho olagligen behandlat personuppgifter från sina 35 000 registrerade förare. Foodinho lagrade till exempel GPS-data som överförts av förare fram till augusti 2023, även när de inte utförde någon leverans. Företaget vidarebefordrade sedan den information som samlats in på detta sätt till tredjepartsföretag. Därutöver konstaterade Garante att Foodinho haft flertalet brister in företags integritetspolicy.
Garante konstaterade överträdelser av artiklarna 5, 6, 9 ,13, 22 ,25, 28, 32 och 35 GDPR. Med tanke på överträdelsernas kontinuerliga varaktighet, omfattningen av de registrerade som berörts, överträdelsens skadliga karaktär, allvarlighetsgraden av skadan för de registrerade i fråga, ansåg Garante att det var lämpligt att utfärda en sanktionsavgift på 5 000 000 euro.