Managed by Bots Report | Worker Info Exchange

Worker Info Exchange se creó para facilitar el acceso y la colectivización de datos a fin de generar poder de negociación mediante el establecimiento de un fideicomiso de datos.

Esto fue en respuesta al desarrollo de nuevas prácticas de gestión algorítmica que crearon profundas asimetrías informativas y explotación de los trabajadores.
Worker Info Exchange tiene como objetivo abordar la convergencia de datos y derechos laborales invocando los derechos de los artículos 15, 20 y 22 del RGPD en contextos laborales.
Este objetivo se ve gravemente obstaculizado por el incumplimiento generalizado del RGPD en la industria de los conciertos.
Hemos realizado más de 500 solicitudes de acceso de sujetos de datos en los últimos ocho meses a siete plataformas de viajes compartidos diferentes, incluidas Amazon Flex, Bolt, Deliveroo, Free Now, Just Eat, Ola y Uber.
El acceso a los datos es desafiado por empresas que implementan patrones oscuros y abusan deliberadamente de la implementación irregular del RGPD, lo que impulsa a los trabajadores a resolver problemas en los tribunales.
La recopilación de datos por plataformas de conciertos es excesiva y conduce a una vigilancia desproporcionada e irresponsable de los trabajadores, así como a una infraestructura de aplicación de la ley en expansión.
No hay transparencia sobre los sistemas de gestión algorítmica que se utilizan. Las narrativas de la empresa sobre qué tecnologías se utilizan y cómo son inconsistentes y poco fiables.

Summary

Introduction

Introducción

El año pasado marcó un punto de inflexión para los trabajadores de plataformas de conciertos en la realización de sus derechos laborales y digitales. La práctica del trabajo mediado digitalmente ha llevado a una convergencia de los derechos laborales y de protección de datos y la creciente actividad de litigio y defensa de los trabajadores ha estado dando resultados en estos dominios. En toda Europa, los tribunales han emitido varios juicios importantes que reconocen el papel explotador de las prácticas de gestión algorítmica por parte de las plataformas de conciertos, al tiempo que condenan la falta de equidad y transparencia en dichos sistemas automatizados.

En Italia, el tribunal de Bolonia dictaminó que el sistema de calificación de Deliveroo había discriminado a los trabajadores, mientras que la autoridad de protección de datos, Garante, impuso dos multas de GDPR a Deliveroo y Glovo debido a que no revelaron adecuadamente el funcionamiento de su asignación de trabajo y algoritmos de gestión del desempeño.

España aprobó la primera legislación para intentar regular la IA en el ámbito del empleo, estableciendo tanto la condición de trabajador para los trabajadores de concierto como el derecho a ser informado sobre las reglas y parámetros de los algoritmos a los que están sujetos, lo que desencadenó un torrente de quejas. Esto fue el resultado de otro caso judicial contra Glovo que terminó en el Tribunal Supremo de España.

Junto con estas decisiones de alto perfil, la Corte Suprema del Reino Unido también concluyó este año que los conductores de Uber eran parte de un servicio de transporte que está " muy estrictamente definido y controlado por Uber ", lo que traiciona una relación laboral clara, que, según la compañía, no existía en su esfuerzo por (mal) clasificar a los trabajadores como contratistas independientes. Significativamente, la evidencia de esta relación proviene de los sistemas basados en datos que utilizan las plataformas de viajes compartidos para administrar su fuerza laboral. Algunas de las cuestiones destacadas por la Corte Suprema del Reino Unido se relacionan con la gestión de los conductores a través del seguimiento algorítmico de las tasas de aceptación del trabajo, las opciones de ruta, el comportamiento de conducción y las valoraciones de los clientes. Sin embargo, aunque existe un mayor reconocimiento de la gestión algorítmica, los recientes avances en los tribunales no protegen por completo a los trabajadores contra sus daños. El estatus de trabajador de extremidad (b) otorgado a los conductores de Uber como resultado de la decisión de la Corte Suprema es un estatus de intermediario entre el contratista y el empleado , y aún no los protege de despidos injustos, por ejemplo.

Nuestra experiencia sugiere que estas herramientas de gestión algorítmica, junto con la intensificación de las prácticas de vigilancia, el escrutinio continuo de los trabajadores en busca de posibles fraudes o irregularidades, están dando como resultado un entorno de trabajo profundamente explotador. Estamos viendo una cantidad excesiva de despidos automatizados en toda la industria de los conciertos, muchos de los cuales creemos que son ilegales de acuerdo con el artículo 22 del Reglamento general de protección de datos (GDPR) . El artículo 22 proporciona a los trabajadores algunas protecciones limitadas contra los efectos adversos de la toma de decisiones automatizada y la elaboración de perfiles, a través del derecho a obtener la intervención humana y a impugnar la decisión. El artículo 15 del RGPD garantiza el derecho a ser informado sobre la existencia de dicha toma de decisiones automatizada y a recibir información significativa sobre la lógica del procesamiento.

Tomando estos derechos como base, Worker Info Exchange se creó con la misión de ayudar a los trabajadores a navegar en este espacio complejo y poco regulado. El objetivo y el cometido de nuestro trabajo es probar si estos instrumentos del RGPD se pueden utilizar para abordar las prácticas laborales injustas y ampliar el alcance de los datos que se ponen a disposición de las personas en su calidad de trabajadores. En otras palabras, nuestra ambición es utilizar el acceso a los datos como un método para desarrollar el poder colectivo de los trabajadores para probar los mecanismos de reparación en un mercado laboral mediado digitalmente.

Cuando la relación laboral entre la plataforma de conciertos y el trabajador se ejecuta a través de una amplia recopilación y análisis de datos, los derechos laborales se vinculan inextricablemente con el ejercicio de los derechos sobre los datos. Las plataformas de conciertos afirman el control sobre los trabajadores al mantener una asimetría de información, y el acceso a los datos puede proporcionar un medio para exponer el (des) equilibrio de poder generado por la brecha de información entre las plataformas de conciertos y sus trabajadores. Obtener acceso a datos personales puede permitir a los trabajadores realizar evaluaciones independientes sobre sus condiciones de trabajo y responder preguntas sobre sus cálculos salariales, la calidad y cantidad de trabajo ofrecido, así como desafiar los motivos de una gestión del desempeño adversa, incluida la suspensión y despido.

Nuestro objetivo al facilitar el acceso a los datos es crear almacenes colectivos de datos para desarrollar una mayor comprensión de las condiciones laborales y, en consecuencia, poder de negociación. En los últimos años, han surgido una serie de iniciativas destacadas que operan con objetivos similares pero utilizan diferentes metodologías para recuperar datos. Algunos proyectos en este campo ejecutan su propia recopilación de datos y análisis sobre ganancias y desempeño para evaluar la equidad de las condiciones laborales (por ejemplo, Driver's Seat Coop y WeClock, entre otros). Todos ellos presentan una visión única de la economía de los conciertos y deben considerarse como parte de un continuo de la práctica de los datos. Hemos abordado este problema exigiendo que las plataformas compartan los datos a los que los trabajadores tienen derecho legalmente; sin embargo, esto ha introducido obstáculos adicionales al objetivo más amplio de colectivizar los datos. Tomamos este camino porque queríamos sentar estándares y precedentes en la ley de protección de datos, pero también porque creemos que hay cierto tipo de información que solo se puede obtener solicitando los datos directamente desde las plataformas.

Hemos descubierto, particularmente en el caso de denuncias de actividad irregular y fraude alimentadas por vigilancia, que es necesario tener los datos en poder de las empresas para comprender y rebatir las acusaciones. El acceso a los datos puede ayudarnos a descubrir las inconsistencias en las narrativas avanzadas por las empresas de plataformas y ayudar a trasladar la carga de la prueba de los trabajadores a las plataformas. Desde esta perspectiva, el esfuerzo de los datos de la plataforma exigente ha demostrado ser un gran éxito en la resolución de numerosos conflictos laborales. La simple demostración de la negativa de las plataformas a proporcionar datos personales ha revertido varias revocaciones de licencias (ejecutadas por TfL) en los tribunales y, por lo tanto, se ha convertido en una herramienta adicional en el ejercicio de los derechos laborales.

Ésta constituye la otra rama de actividad de Worker Info Exchange; Como nos sentimos frustrados en nuestros intentos de ganar claridad y transparencia sobre los complejos sistemas que determinan las condiciones del lugar de trabajo, con frecuencia necesitamos recurrir a litigios y acudir a los tribunales para obtener decisiones en el campo emergente de los derechos laborales digitales. La 'crisis de datos' artificial que han creado las plataformas de conciertos es, en muchos sentidos, un intento de agotar y agotar los recursos de los trabajadores precarios y de los sindicatos al llevar las disputas a los tribunales, donde pueden prolongarse y retrasarse la rendición de cuentas por mala conducta empresarial.

De acuerdo con estas líneas de actividad, este informe está escrito en tres partes: La primera sección explora diferentes facetas de la gestión algorítmica y sus daños, con estudios de casos asociados. La segunda sección trata sobre nuestro proceso en la utilización de solicitudes de acceso de sujetos de datos (DSAR), mientras que la tercera ofrece una descripción general de los casos relacionados con GDPR que hemos llevado adelante en Ámsterdam, así como los casos de licencia que apoyamos en Londres. Este informe concluye un período de trabajo sobre estas funciones de nuestra organización, realizado con el apoyo de la Fundación Mozilla, Digital Freedom Fund y Open Society Foundations. Esperamos que este informe demuestre la situación actual en el ejercicio de los derechos en la intersección de los datos y el trabajo y revele los efectos acumulativos del incumplimiento reiterado por parte de las plataformas de conciertos.

"Las empresas de plataformas operan en un espacio sin ley donde creen que pueden hacer las reglas. Desafortunadamente, esto no es un juego; las realidades virtuales tienen duras consecuencias para los trabajadores temporales en la vida real. Lo que es alentador es que los propios trabajadores no están esperando leyes, políticos o incluso aliados en el movimiento de derechos humanos para rescatarlos. Los trabajadores temporales se están organizando y utilizando su voz colectiva para exigir nuevas protecciones que se ajusten a su propósito en una economía digitalizada".

Bama Athreya, miembro, fundaciones de la sociedad abierta

Part I Misclassification 2.0

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

En la batalla de seis años por los derechos de los trabajadores en la economía de conciertos del Reino Unido, Uber argumentó que era simplemente el agente del conductor autónomo que no hacía nada más que reservar pasivamente órdenes de trabajo y cobrar el pago. Para avanzar en esta ficción, las plataformas de conciertos establecen elaborados contratos que hacen que parezca que el conductor y el pasajero están realizando transacciones directamente entre sí, cuando en realidad toda la información de los pasajeros está estrechamente protegida por las empresas. Uber, por ejemplo, genera una factura teórica en nombre del conductor para cada pasajero que transporta. La factura citará solo el nombre del pasajero y nunca se envía al cliente.

Estas técnicas de clasificación errónea, que se utilizan comúnmente en la economía de los conciertos, permiten que las plataformas eviten las responsabilidades legales de los empleadores, como la protección de los derechos básicos de los trabajadores y las contribuciones al seguro nacional. En el Reino Unido, también ha permitido a las empresas de plataformas evitar el impuesto sobre las ventas (IVA). Pero a principios de este año, la Corte Suprema afirmó el derecho de los tribunales inferiores a descartar los contratos artificiales y determinar la verdadera naturaleza de la relación laboral con base en la evidencia de una relación de gestión de control sobre los trabajadores.

A medida que las empresas de plataformas concluyan que el uso de contratos engañosos ya no es viable como método de clasificación errónea de empleos, se verán tentadas a duplicar la automatización de procesos para ocultar el control de gestión. El control algorítmico se convierte en una clasificación errónea 2.0. De hecho, existe amplia evidencia de que esto ya está sucediendo. Las plataformas de conciertos están más decididas que nunca a perseguir estrategias de clasificación errónea para poder seguir controlando la fuerza laboral y evitar el riesgo de que los conductores se gradúen del estado de 'trabajador' con derechos limitados al estado de empleado con sustancialmente más derechos.

Entonces, ¿qué es el control algorítmico y cuáles son los riesgos específicos para los trabajadores de conciertos? En las industrias de transporte compartido y entrega, específicamente, los medios de gestión algorítmica que más nos preocupan incluyen lo siguiente:

Vigilancia. Vigilancia intrusiva con el propósito declarado de seguridad e identificación. Esto abarca el uso de tecnologías de detección de fraude y reconocimiento facial. Somos conscientes de que la vigilancia se lleva a cabo incluso cuando el trabajador no ha iniciado sesión para estar disponible para trabajar. También incluyó vigilar el uso de la aplicación por parte del trabajador como consumidor.
Gestión del rendimiento. Esto incluye, entre otros, el seguimiento del comportamiento de conducción, incluida la ETA, las calificaciones de los clientes, las tasas de aceptación y finalización del trabajo, la interacción con el personal de apoyo y la disponibilidad.
Localización de trabajo. Uber ha insistido hasta hace muy poco en que la asignación del trabajo se decide en función de la proximidad entre conductores y pasajeros; sin embargo, ahora admite que se tienen en cuenta el comportamiento y las preferencias anteriores. Ola admite que los perfiles de los conductores que incluyen la puntuación de 'perfil de ganancias' y 'probabilidad de fraude' se utilizan en la toma de decisiones automatizada de asignación de trabajo.
Precios. Estrechamente relacionado con la asignación de trabajo está la toma de decisiones de precios automatizada. Quizás el método más conocido es el llamado 'aumento' o 'precio dinámico' de Uber, que pretende despejar la demanda del mercado con fluctuaciones de precios locales en tiempo real.

Las decisiones de gestión anteriores son en su mayoría automatizadas o semiautomatizadas con una intervención humana limitada. Los modelos de negocio de la economía de los conciertos se basan en la automatización masiva de las decisiones de gestión y la supervisión del lugar de trabajo. Si bien algunos empleadores se muestran reticentes en este punto, Deliveroo ha sido bastante franco al respecto en su política de privacidad de usuarios :

“Dado el volumen de entregas con las que tratamos, utilizamos sistemas automatizados para tomar las decisiones automatizadas descritas anteriormente, ya que brindan una forma más precisa, justa y eficiente de identificar sospechas de fraude, evitando incumplimientos repetidos de su Acuerdo de proveedor y limitando el impacto negativo en nuestro servicio. Los controles humanos simplemente no serían posibles en los plazos y dados los volúmenes de entregas con las que nos ocupamos ".

Gestión del rendimiento

Esto incluye, entre otros, el monitoreo del comportamiento de conducción, incluida la ETA, las calificaciones de los clientes, las tasas de aceptación y finalización del trabajo, la interacción con el personal de apoyo y la disponibilidad.

Precios

Estrechamente relacionado con la asignación de trabajo está la toma de decisiones de fijación de precios automatizada. Quizás el método más conocido es el llamado "aumento" o "precio dinámico" de Uber, que pretende despejar la demanda del mercado con fluctuaciones de precios locales en tiempo real.

Vigilancia

Vigilancia intrusiva con el propósito declarado de seguridad e identificación. Esto abarca el uso de tecnologías de detección de fraude y reconocimiento facial. Somos conscientes de que la vigilancia se lleva a cabo incluso cuando el trabajador no ha iniciado sesión para estar disponible para trabajar. También incluía la vigilancia del uso de la aplicación por parte del trabajador como consumidor.

Localización de trabajo

Hasta hace muy poco, Uber ha insistido en que la asignación de trabajo se decide en función de la proximidad entre los conductores y los pasajeros, pero ahora admite que se tienen en cuenta el comportamiento y las preferencias anteriores. se utilizan en la toma de decisiones automatizada de asignación de trabajo.

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

Vigilancia. Vigilancia intrusiva con el propósito declarado de seguridad e identificación. Esto abarca el uso de tecnologías de detección de fraude y reconocimiento facial. Somos conscientes de que la vigilancia se lleva a cabo incluso cuando el trabajador no ha iniciado sesión para estar disponible para trabajar. También incluyó vigilar el uso de la aplicación por parte del trabajador como consumidor.
Gestión del rendimiento. Esto incluye, entre otros, el seguimiento del comportamiento de conducción, incluida la ETA, las calificaciones de los clientes, las tasas de aceptación y finalización del trabajo, la interacción con el personal de apoyo y la disponibilidad.
Localización de trabajo. Uber ha insistido hasta hace muy poco en que la asignación del trabajo se decide en función de la proximidad entre conductores y pasajeros; sin embargo, ahora admite que se tienen en cuenta el comportamiento y las preferencias anteriores. Ola admite que los perfiles de los conductores que incluyen la puntuación de 'perfil de ganancias' y 'probabilidad de fraude' se utilizan en la toma de decisiones automatizada de asignación de trabajo.
Precios. Estrechamente relacionado con la asignación de trabajo está la toma de decisiones de precios automatizada. Quizás el método más conocido es el llamado 'aumento' o 'precio dinámico' de Uber, que pretende despejar la demanda del mercado con fluctuaciones de precios locales en tiempo real.

“Dado el volumen de entregas que manejamos, utilizamos sistemas automatizados para tomar las decisiones automatizadas descritas anteriormente, ya que brindan una forma más precisa, justa y eficiente de identificar sospechas de fraude, prevenir incumplimientos repetidos de su Acuerdo de proveedor y limitar el impacto negativo en nuestro servicio. Los controles humanos simplemente no serían posibles en los plazos y dados los volúmenes de entregas que manejamos”.

Vigilancia

Vigilancia intrusiva con el propósito declarado de seguridad e identificación. Esto abarca el uso de tecnologías de detección de fraude y reconocimiento facial. Somos conscientes de que la vigilancia se lleva a cabo incluso cuando el trabajador no ha iniciado sesión para estar disponible para trabajar. También incluye la vigilancia del uso que el trabajador hace de la aplicación como consumidor.

Localización de trabajo

Uber ha insistido hasta hace muy poco en que la asignación de trabajo se decide en función de la proximidad entre los conductores y los pasajeros, pero ahora afirma que se tienen en cuenta el comportamiento y las preferencias anteriores. Ola utiliza perfiles de conductor que incluyen "puntuaciones de probabilidad de fraude" en la toma de decisiones automatizada para el trabajo. asignación.

Gestión del rendimiento

La evaluación del desempeño laboral incluye, entre otros, el monitoreo del comportamiento de conducción, incluida la ETA, las calificaciones de los clientes, las tasas de aceptación y finalización del trabajo, la interacción con el personal de apoyo y la disponibilidad.

Precios

Estrechamente relacionado con la asignación de trabajo está la fijación automática de precios. Quizás el método más conocido es el llamado "aumento" o "precio dinámico" de Uber, que pretende despejar la demanda del mercado con fluctuaciones de precios locales en tiempo real.

Carrera armamentista de vigilancia

Hemos presenciado una carrera de armas de vigilancia en la economía de los conciertos desde que Uber introdujo su llamado Sistema de identificación en tiempo real híbrido durante 2020. Justo un día antes de que Transport for London (TfL) anunciara su decisión de rechazar la renovación de su licencia en noviembre de 2019, Uber se ofreció a introducir este sistema de vigilancia que incorpora reconocimiento facial con monitoreo GPS.

Esto fue en respuesta a la queja de TfL de que se había detectado a 21 conductores (de los 90,000 analizados durante varios años) que participaban en el intercambio de cuentas, lo que permitía a los conductores potencialmente sin licencia y sin seguro ofrecer ilegalmente sus servicios en la aplicación. La actividad fue posible al restablecer la ubicación GPS del dispositivo como fuera del Reino Unido, donde es posible que los conductores carguen sus propias fotos. Uber cerró rápidamente esta brecha y la actividad detectada fue extremadamente pequeña en comparación con la escala de la operación de Uber. La introducción de la tecnología de reconocimiento facial por parte de la industria ha sido completamente desproporcionada en relación con el riesgo percibido. Sin embargo, el requisito de identificación en tiempo real pasó a convertirse en una condición para la renovación de la licencia de Uber en el Tribunal de Magistrados de Westminster en septiembre de 2020.

En el caso de Uber, tanto la administración de la plataforma como TfL no han logrado garantizar que se implementaron las salvaguardas adecuadas para proteger los derechos y libertades de los conductores a pesar de que TfL había revisado la evaluación de impacto de protección de datos para la tecnología en marzo de 2020. Solicitud de libertad de información a TfL para tener acceso a la DPIA de Uber para los sistemas de identificación en tiempo real, pero se nos negó. Según los informes de TfL , el 94% de los conductores de vehículos de alquiler privados (PHV) provienen de minorías negras y étnicas y la introducción de esta tecnología, que es bien reconocida por sus bajas tasas de precisión dentro de estos grupos , ha demostrado ser desastrosa para los trabajadores vulnerables que ya están en empleo precario.

Desde entonces, Bolt anunció que estaba invirtiendo 150 millones de euros en sistemas de detección antifraude de controladores de inteligencia artificial, incluido el reconocimiento facial. Deliveroo anunció que ellos también introducirían controles de identidad por reconocimiento facial. Ola Cabs también ha implementado la identificación de reconocimiento facial como una característica de su sistema Guardian , incorporando el aprendizaje automático que, según ellos, les permite "aprender y evolucionar continuamente a partir de millones de puntos de datos todos los días, para mejorar la señalización de riesgos y la resolución instantánea".

FreeNow, una empresa conjunta de Daimler y BMW, también vigila de cerca a los conductores como parte de su programa de prevención del fraude. De hecho, los documentos presentados por FreeNow ante el Tribunal Superior en una revisión judicial de la decisión de TfL de otorgarles una licencia en Londres, revelaron que TfL ha realizado informes mensuales de despidos de conductores por diversas razones (incluida la 'actividad fraudulenta') una condición de su Renovación reciente de licencia. Pero la descripción de los datos procesados con el fin de prevenir el fraude plantea más preguntas de las que responde la política de privacidad de FreeNow.

En este documento, Free Now afirma que utilizan un algoritmo de "bosque aleatorio" para producir una puntuación de fraude que utilizan para " priorizar los viajes enviados en consecuencia". Esto asegura un envío justo y con riesgo mínimo ”. Free Now impugnó el uso de este sistema de detección de fraude cuando preguntamos al respecto en junio de 2021, alegando que esta sección de la política de privacidad estaba desactualizada (consulte el estudio de caso de la empresa en la sección II del informe). Sin embargo, la descripción de este sistema se ha mantenido en la política, a pesar de una actualización realizada en septiembre de 2021.

Lo que es particularmente preocupante sobre el uso de estos sistemas es que combinan la gestión del fraude con la gestión del desempeño. El hecho de que dichos indicadores de 'fraude' se utilicen como variables para la asignación de trabajo y que se permita que los comportamientos que los generan continúen en la plataforma demuestra que no se trata de instancias de fraude criminal, sino de mecanismos de control, que evalúan el desempeño de los trabajadores. frente a las opacas métricas establecidas por las empresas. Sugerimos que cualquier terminología de 'fraude' utilizada en estos contextos también funciona como parte del juego de clasificación errónea, diseñado para ocultar la relación laboral.

Surveillance Arms Race

Estudio de caso de vigilancia I: Fallo en el reconocimiento facial

En abril de 2020, Uber introdujo un sistema de verificación de identificación en tiempo real (RTID) en el Reino Unido que utiliza una combinación que incluye reconocimiento facial y verificación de ubicación para autenticar la identidad de un conductor e intentar evitar que los conductores compartan el acceso a su cuenta para trabajar.

El sistema RTID incorpora el uso de la API FACE de Microsoft, el software de reconocimiento facial y requiere que los conductores y mensajeros se tomen selfies en tiempo real de forma rutinaria para seguir usando la aplicación Uber. Luego, la foto se compara con la imagen de perfil de la cuenta del conductor (y en algunas jurisdicciones, con bases de datos públicas para " evitar el préstamo de identidad o para verificar las identidades de los usuarios ").

Pa Edrissa Manjang había estado trabajando con Uber durante aproximadamente un año cuando fue desactivado debido a una falla en la verificación de la selfie. Si bien los conductores y mensajeros de Uber brindan selfies de manera rutinaria, estos no se almacenan en los teléfonos de los trabajadores y no pueden retener la evidencia de sus envíos. Pa no recibió advertencias ni notificó ningún problema hasta su despido; el sistema de verificación de identificación en tiempo real pareció aprobar todas sus fotografías con un cheque verde.

Después de su despido, Pa envió numerosos mensajes a Uber para rectificar el problema, pidiendo específicamente que un humano revisara sus presentaciones. Cada vez que le dijeron a Pa "no pudimos confirmar que las fotos proporcionadas eran en realidad tuyas y debido a las continuas discrepancias, tomamos la decisión final de poner fin a nuestra asociación contigo". Obtuvimos las selfies en cuestión a través de una solicitud de acceso de sujeto, que reveló que todas las fotos que Pa envió eran en realidad suyas. Esta fue la primera instancia en la que logramos obtener las selfies enviadas por un mensajero o conductor. No está claro por qué esta solicitud tuvo éxito cuando muchas antes fracasaron.

También escribimos a Microsoft a principios de año para plantear nuestras preocupaciones con respecto al uso no regulado de la API FACE por parte de Uber en su plataforma. En respuesta , Microsoft enfatizó que todas las partes involucradas en la implementación de dichas tecnologías tienen responsabilidades que incluyen: "incorporar una revisión humana significativa para detectar y resolver casos de identificación errónea u otras fallas". y "para brindar apoyo a las personas que creen que sus resultados fueron incorrectos e identificar y abordar las fluctuaciones en la precisión debido a la variación en las condiciones". El caso de Pa demuestra claramente que estos controles cruciales no se han implementado en el procesamiento de imágenes RTID.

Pa ahora presenta un caso contra Uber para impugnar su despliegue de reconocimiento facial racialmente discriminatorio, representado por Bates Wells, con el apoyo de la Comisión de Igualdad y Derechos Humanos, App Drivers and Couriers Union y Worker Info Exchange.

EMBED: video de papá

Surveillance Case Study I: Facial Recognition

Estudio de caso de vigilancia II: Verificaciones de geolocalización

Si bien el uso de sistemas de reconocimiento facial defectuosos es indudablemente problemático, también hemos visto que muchos conductores fueron despedidos después de falsas acusaciones de Uber de que participaban en el uso compartido de cuentas fraudulentas después de que Uber detectara dos dispositivos en dos ubicaciones al mismo tiempo. En todos los casos que hemos analizado, hemos encontrado que el problema está relacionado con que el controlador instaló la aplicación en dos dispositivos por conveniencia, pero solo uno de los dispositivos inició sesión para trabajar.

Justo antes de las 8 pm del 11 de septiembre de 2020 y Aweso Mowlana estaba trabajando para Uber en el sur de Londres. Era un conductor con calificación de 4.95 estrellas que había realizado más de 11,500 viajes en más de 5 años trabajando para Uber. Aweso acababa de dejar a un pasajero cerca de Elephant and Castle cuando se desconectó para un breve descanso. Como muchos controladores, Aweso había instalado la aplicación en un segundo dispositivo que era un iPhone. Esa noche en particular había dejado el iPhone en casa y estaba trabajando con su otro teléfono, un Samsung.

A las 8:02 pm, Aweso intentó volver a iniciar sesión en la aplicación Uber para estar disponible para su próximo trabajo. Antes de que se le permitiera volver a iniciar sesión, se le pidió que proporcionara una selfie como parte de la Verificación de identidad en tiempo real (RTID) de Uber. Su foto coincidía con la foto de referencia de Uber, por lo que completó con éxito el procedimiento de inicio de sesión para continuar su turno. Pero sin que él lo supiera, los sistemas de Uber habían detectado y / o hecho ping a su segundo teléfono. Su hijo había cogido su segundo teléfono por error y se lo había llevado a la casa de su novia en Uxbridge. Uber dijo más tarde que solicitaron un cheque RTID de este dispositivo a las 8:03 pm, pero en ese momento Aweso ya estaba en línea en el sur de Londres. Uber afirma que la respuesta a la verificación de identidad se envió desde el iPhone alrededor de las 11:55 p.m. de esa noche.

Al día siguiente, Uber le informó que su cuenta había sido 'marcada por actividad de aplicación sospechosa' y que su cuenta ahora se suspendería mientras 'un equipo especializado revisa esto'. Algún tiempo después, Uber despidió permanentemente a Aweso a través de un mensaje de texto diciendo que habían 'encontrado evidencia que indica actividad fraudulenta' en su cuenta. Luego, Uber alegó que estaba compartiendo el acceso a su cuenta y, al hacerlo, había incumplido los términos y condiciones. Al mes siguiente, Transport for London revocó de inmediato la licencia de Aweso con el argumento de que ya no se podía considerar que estuviera "en forma y adecuado" para tener una licencia pública debido a su despido de Uber.

Worker Info Exchange ayudó a Aweso a realizar una solicitud de acceso al sujeto y analizar los datos recibidos. Un archivo llamado ' Datos detallados del dispositivo de D river' registra al menos algunos de los datos que se transmiten desde los dispositivos a Uber en tiempo real. La propia política de privacidad de Uber indica que cuando un dispositivo tiene la aplicación abierta en segundo plano o en primer plano, incluso si no está en línea y está lista para aceptar tarifas. En más de una docena de casos en los que apoyamos que los conductores apelaran sus revocaciones en el Tribunal de Magistrados, se confirmó cada apelación y se ordenó a TfL que restableciera las licencias. A partir de este archivo, pudimos ver hasta 230 filas de datos por minuto que Uber registra desde los dispositivos. Los datos que Uber recopiló de los dispositivos de Aweso incluyeron ubicación geográfica, nivel de batería, velocidad, rumbo del curso, número IMEI, etc.

Los datos mostraron que el dispositivo en Uxbridge nunca había iniciado sesión para trabajar ese día porque un campo titulado 'driver_online' mostraba el iPhone como 'FALSO' en todo momento ese día, incluida la hora en que se registró en Uxbridge. Esta es una prueba de que el dispositivo no se estaba compartiendo para trabajar con otros, como alegan Uber y Transport for London. Uber no proporcionó acceso a los datos personales procesados en ambas verificaciones de RTID, incluidas las fotos recopiladas. Los 'Datos detallados del dispositivo' no muestran ningún registro de ninguna actividad adicional para el iPhone después de las 8:03:43 pm. No vimos evidencia de datos de actividad del dispositivo a las 11:55 p.m. cuando Uber dijo que recibió una respuesta a la verificación de identificación emitida anteriormente.

La experiencia de Pa y Aweso fue muy frecuente durante el año pasado y representó un volumen significativo de casos manejados por Worker Info Exchange y App Drivers & Couriers Union. En Londres, Transport for London tendió a revocar de inmediato las licencias de los conductores que, según se informó, no aprobaron los controles RTID de Uber a pesar de los problemas obvios con el sistema. A menudo, existen explicaciones razonables para el uso de varios dispositivos que se clasifican automáticamente como fraude. La propia política de privacidad de Uber indica que cuando un dispositivo tiene la aplicación abierta en segundo plano o en primer plano, incluso si no está en línea y está lista para aceptar tarifas. En más de una docena de casos en los que apoyamos que los conductores apelaran sus revocaciones en el Tribunal de Magistrados, se confirmó cada apelación y se ordenó a TfL que restableciera las licencias.

Worker Info Exchange, Big Brother Watch y App Drivers & Couriers Union escribieron una carta conjunta al alcalde de Londres para plantear nuestras preocupaciones sobre la confianza de Transport for London en pruebas defectuosas de Uber para tomar una decisión de revocación y exigieron que, como presidente de Transportes para la junta de Londres, que ordene una revisión de todas esas revocaciones injustas. Hasta la fecha, ni el alcalde ni TfL han respondido.

Surveillance Case Study II: Geolocation

Opaque Performance Management

Gestión del rendimiento opaco

La opacidad de las empresas de plataformas inhibe la comprensión de los trabajadores sobre cómo se puede integrar el control algorítmico en la gama de procesos críticos y a lo largo del tiempo. Por ejemplo, a los trabajadores no se les ha proporcionado la transparencia a la que tienen derecho legalmente para comprender cómo el perfil de desempeño se relaciona con la calidad y cantidad del trabajo ofrecido, así como con los rendimientos esperados para dicho trabajo.

En el caso de Ola, tenemos cierto conocimiento de las categorías de datos que recopilan y procesan en sus sistemas de asignación de trabajo, como puntajes de probabilidad de fraude, perfil de ganancias, historial de aceptación y cancelación de reservas, entre otros, sin embargo, esto no revela las diferentes ponderaciones. aplicado a estas variables, ni la lógica de procesamiento.

Uber ha sostenido durante mucho tiempo que su sistema de emparejamiento está determinado únicamente por la ubicación, a pesar de que su propia interfaz "Partner-Driver" sugiere lo contrario. El programa Pro de Uber (en el que los conductores se inscriben automáticamente para que puedan ser incentivados a cumplir los objetivos de rendimiento a cambio de beneficios y recompensas) informa a los conductores en un lenguaje vago que “las tasas de confirmación más altas significan tiempos de espera más cortos para los clientes y tiempos de recogida más cortos para todos conductores ”, aludiendo vagamente al hecho de que la disminución de puestos de trabajo resultará en menos ofertas de trabajo.

Uber solo recientemente ha ofrecido más transparencia en el sistema de coincidencia a través de una actualización de su política de privacidad que establece que "los usuarios pueden ser emparejados en función de la disponibilidad, la proximidad y otros factores, como la probabilidad de aceptar un viaje en función de su comportamiento o preferencias anteriores". pero, en el momento de redactar este documento, el enlace que ofrece más información sobre el sistema de comparación está roto, lo que demuestra la naturaleza cambiante de dicho procesamiento de datos. Una solicitud reciente de libertad de información que le hicimos a TfL, preguntando qué actualizaciones había proporcionado Uber en su sistema de emparejamiento (como está obligado a hacer cuando realiza cambios en su modelo operativo) no arrojó resultados, lo que destaca aún más la ofuscación de sus prácticas de gestión algorítmica. y la ausencia de supervisión regulatoria.

Las recientes revelaciones sobre las variables que determinan la asignación de trabajo también plantean importantes preguntas sobre la calidad de los trabajos ofrecidos a los conductores. ¿Se ofrecen a los conductores con altas tasas de aceptación del trabajo viajes de mayor duración y duración, lo que resulta en un salario más alto, sobre la base de perfiles similares? O, yendo un paso más allá, ¿se ofrecen tarifas diferentes a los conductores a través del sistema de precios dinámicos? De hecho, si los precios algorítmicos se combinan con la asignación de trabajo, y cómo, es un tema delicado sobre el que aún se sabe poco.

En los últimos años, Uber ha reemplazado los precios variables de tiempo y distancia para los clientes por un modelo de precios fijos en el que se acepta un precio por adelantado al comienzo de un viaje. Uber afirma que "el precio inicial es dinámico, lo que significa que el precio se calcula en tiempo real para ayudar a equilibrar la oferta y la demanda". Más recientemente, los conductores han informado que se les ofrecen tarifas muy bajas para trabajos individuales. Existe una oportunidad obvia para que Uber aumente su participación en la tarifa eventual pagada por los pasajeros. Se han planteado preocupaciones sobre los resultados discriminatorios del uso de estos sistemas de precios dinámicos en los pasajeros, lo que introduce la posibilidad de que los conductores también puedan estar sujetos a precios personalizados en tiempo real. Aquí existen serios problemas éticos si los operadores ofrecen precios más bajos a los trabajadores vulnerables basándose en la elaboración de perfiles que predice su voluntad de aceptar trabajo a diferentes precios.

En el Reino Unido, estas prácticas parecen ser contrarias a las disposiciones de la Sección 1 de la Ley de Derechos Laborales que da derecho a los trabajadores a recibir de su empleador una declaración clara de los términos de las condiciones de su trabajo, incluidas las tasas de pago.

Estudio de caso: control algorítmico

Uber envía mensajes a los conductores de forma rutinaria cuando son marcados por sus sistemas de detección de fraude para advertirles que pueden perder su trabajo si continúan con cualquier comportamiento que esté activando el sistema. Los mensajes contienen una lista no exhaustiva de los posibles desencadenantes, pero no proporcionan una razón específica para el conductor individual que está siendo acusado de fraude. Cuando Alexandru recibió el segundo y último de estos mensajes, sabiendo que otra bandera resultaría en el despido, decidió llamar al equipo de apoyo al conductor para obtener más detalles sobre por qué estaba activando el sistema antifraude y qué podía hacer para evitarlo. . A través de la llamada , Alexandru y el agente de soporte discutieron una variedad de situaciones que pueden haber causado que sus viajes parecieran irregulares, revelando la capacidad limitada que tienen los equipos de soporte para descifrar las indicaciones hechas por el sistema. Tres meses después de esta llamada, Uber envió un mensaje de disculpa indicando que le habían enviado las advertencias por error.

Alexandru's Call with Uber Support

00:00 / 39:14

Si bien la conversación es esclarecedora en términos de comprensión de los dilemas que enfrentan los conductores cuando la política de la empresa y las demandas de los pasajeros divergen, de particular interés para nosotros fue la discusión (25 minutos después de la llamada) sobre un desvío que Alexandru tomó debido a obras viales, así como su baja las tasas de aceptación de puestos de trabajo como posibles causas de su detección por parte del sistema antifraude. Tras el fallo de la Corte Suprema que clasificó a los conductores de Uber como trabajadores a principios de este año, Uber afirmó haber realizado cambios significativos en su plataforma , como ofrecer transparencia de precio y destino, así como eliminar las medidas punitivas por rechazar trabajos, en un intento por argumentar que el fallo de la Corte Suprema no se aplicó a los conductores actuales de Uber.

La experiencia de Alexandru en la plataforma va en contra de esta narrativa, ya que se hace evidente que es probable que lo marquen por desviarse de la ruta (a pesar del hecho de que Uber ahora opera un modelo de precio fijo, lo que significa que los conductores realizan tales cambios de ruta por su cuenta) y no aceptar lo suficiente del trabajo que se le ofreció en la plataforma. Esta llamada deja indudablemente claro que, en la práctica, los conductores siguen estando tan controlados por Uber como antes.

Además de estas prácticas de gestión, el programa Pro mencionado anteriormente es otra herramienta que Uber utiliza para ejercer control sobre su fuerza laboral, al tiempo que elude las obligaciones legales que puedan estar asociadas con dicho control. Por ejemplo, al vincular ciertas recompensas que culminan por mantener una calificación alta a empresas de terceros o presentar la participación en los beneficios de precios como puramente opcional a través de un empujón de comportamiento, Uber crea la ilusión de permitir que los conductores operen con total independencia y flexibilidad. El supuesto compromiso voluntario de los conductores con estos programas resulta en la renuncia a los derechos resultantes de tener una relación laboral.

EMBED: video de Alexandru

Case Study: Algorithmic Control

Expansión de la infraestructura de aplicación de la ley

También hay evidencia de que las plataformas se han convertido cada vez más en una fuente atractiva de inteligencia para la policía y los servicios de seguridad. En una declaración de un testigo presentada como prueba en septiembre de 2020 en la apelación de licencia de Uber en el Tribunal de Magistrados de Westminster, el gerente general de Uber del Reino Unido y Europa Occidental, Jamie Heywood, atestiguó una relación cada vez más cercana con la policía y los servicios de seguridad. Estos incluyen la Red Nacional de Policía contra el Terrorismo, SO15 - el Comando contra el Terrorismo del Servicio de Policía Metropolitana, el Consejo de Jefes de Policía Nacional (NPCC), el Colegio de Policía, la Agencia Nacional contra el Crimen y la Policía de Transporte Británica. Un área de cooperación ha sido el problema del transporte de drogas llamado County Lines. Citando al inspector detective Stuart Liddell del NPCC, Heywood testificó sobre una relación madura basada en niveles sofisticados de intercambio de inteligencia:

“Me alienta el compromiso mostrado por Uber con respecto a este asunto y se planea trabajar más [en 2020] para aprovechar el trabajo hasta ahora. Esto se centrará en aspectos más intrincados de las Líneas del Condado, el flujo de información e inteligencia y el fortalecimiento de la relación entre el Centro Nacional de Coordinación de las Líneas del Condado ".

De hecho, el NPCC presionó al comisionado de Transporte para Londres, Mike Brown, en apoyo de la apelación de la licencia de Uber. El jefe de policía Mark Collins incluso llegó a sugerir que la decisión de negarle a Uber su licencia podría tener un impacto negativo en la policía del Reino Unido.

"Con suerte, esta carta describe el impacto negativo en la actuación policial del Reino Unido en caso de que la policía no pueda acceder a los datos y la información que he descrito".

Heywood también testificó que Collins había afirmado que solo el Servicio de Policía Metropolitana realizaba más de 2.000 solicitudes de datos a Uber cada año. Este es un número relativamente alto de solicitudes considerando que, según el propio Informe de Transparencia de Uber, en 2020 todas las autoridades policiales de EE. UU. Juntas realizaron poco menos de 5,000 solicitudes de datos y todas las autoridades policiales canadienses juntas hicieron solo 411 solicitudes de este tipo.

Es probable que la administración de Uber se sienta presionada a cooperar con las iniciativas de recopilación de inteligencia policial, particularmente a la luz de la decisión de Transport for London de rechazar la renovación de su licencia dos veces. Esto se debe a que la sección 17 de la Ley de delitos y desórdenes de 1998 asigna una responsabilidad directa a las autoridades que otorgan licencias para prevenir el crimen y el desorden en su área. Esto establece un requisito para que las autoridades que otorgan licencias, como Transport for London, establezcan asociaciones de reducción de delitos y desórdenes (CDRP) en las que se espera que participen operadores de transporte como Uber.

En la orientación legal del Departamento de Transporte para las autoridades que otorgan licencias, el gobierno refuerza la expectativa de intercambio de inteligencia entre la policía, las autoridades que otorgan licencias y los operadores de transporte como Uber:

“Aumentar la conciencia entre las fuerzas policiales sobre el valor que las autoridades otorgan a la información recibida, particularmente en inteligencia sin convicciones, ayudará a promover estas relaciones y reforzará los beneficios de un mayor intercambio de información. Esta relación puede ser de beneficio mutuo, ayudando a la policía a prevenir el crimen. La policía puede obtener información valiosa de los conductores y operadores ... "

Si bien estas relaciones tienen una importancia significativa para el control del crimen a nivel comunitario, parece que se ha prestado poca atención al riesgo para las libertades civiles de un acceso relativamente fácil a los datos personales de conductores y pasajeros recopilados y almacenados por plataformas como Uber, Bolt y Ola. Taxis.

“Me alienta el compromiso mostrado por Uber con respecto a este asunto y se planea más trabajo [en 2020] para aprovechar el trabajo realizado hasta ahora. Esto se centrará en aspectos más intrincados de las Líneas del Condado, el flujo de información e inteligencia y el fortalecimiento de la relación entre el Centro Nacional de Coordinación de las Líneas del Condado”.

“Con suerte, esta carta describe el impacto negativo en la policía del Reino Unido en caso de que la policía no pueda acceder a los datos y la información que he descrito”.

“Aumentar la conciencia entre las fuerzas policiales sobre el valor que las autoridades otorgantes de licencias otorgan a la información recibida, particularmente sobre la inteligencia sin condena, ayudará a promover estas relaciones y reforzará los beneficios de un mayor intercambio de información. Esta relación puede ser mutuamente beneficiosa, ayudando a la policía a prevenir delitos. La policía puede obtener inteligencia valiosa de los conductores y operadores...”

Expansion of Law Enforcemen Infrastructure

Estudio de caso: intercambio de inteligencia con las fuerzas del orden

Otro trabajador que se acercó a nosotros en busca de ayuda fue un conductor de Uber que fue suspendido por error de la plataforma de Uber durante siete semanas, incurriendo en una pérdida de casi £ 5000, luego de una solicitud de inteligencia realizada por la policía. En 2019, el conductor recibió un mensaje de Uber indicando que fue suspendido temporalmente debido a una investigación en curso. No se le dio una razón ni un plazo para su suspensión. De hecho, le dijeron expresamente que no contactara a Uber mientras realizaban la investigación. Siete semanas después, recibió una llamada informándole que ahora podía trabajar.

Dos años después, una solicitud de renovación de licencia que el conductor hizo a TfL (que incluye una verificación mejorada de Divulgación y restricción del servicio) reveló el motivo de la suspensión, cuando TfL lo interrogó sobre el suministro de drogas en 2019 y amenazó con quitarle la licencia. Conmocionado por la revelación, el conductor exigió un número de referencia del crimen e hizo más investigaciones no solo con TfL, sino también con la Policía Metropolitana.

Ayudamos al conductor a realizar solicitudes de acceso de sujetos y quejas a Uber, TfL y la policía. Uber no cumplió con la solicitud (se informó al conductor que su solicitud se pasó a un equipo de especialistas pero no recibió más respuesta) sin embargo, la respuesta de TfL descubrió una extensa cadena de correos electrónicos entre varios funcionarios mientras intentaban identificar la fuente de la inteligencia. solicitud. Uber afirmó que la policía se les acercó, mientras que la policía no pudo localizar ningún registro o evidencia de la investigación del conductor. Finalmente, Uber nombró al oficial que había hecho la solicitud de inteligencia, pero cuando TfL buscó detalles sobre el caso, la OIC afirmó que no recordaba al conductor en cuestión.

La denuncia que el conductor hizo a la Policía Metropolitana fue finalmente respondida en octubre de 2021 y concluyó que el conductor nunca había sido identificado como sospechoso:

“Los agentes tenían la tarea de identificar a un sospechoso en relación con un delito grave. A los agentes se les había pasado el nombre de una persona de interés. Puedo confirmar que NO eras tú. Se envió un formulario de protección de datos el 20 de febrero de 2019 a Uber con los detalles del sospechoso nombrado. No tengo la libertad de revelar más detalles sobre esto.

“En ningún momento apareció su nombre en esta consulta de investigación realizada con Uber. El oficial NO se acercó a Uber en busca de información relacionada con usted. Como resultado de nuestra consulta, Uber proporcionó a la policía sus datos. Una vez que se recibió la información de Uber y nos dieron su nombre, supimos que NO estaba vinculado a nuestra investigación y no se tomaron más medidas y se lo excluyó de cualquier otra investigación ".

“El oficial no ha violado ningún estándar profesional ni ha actuado fuera de su función como oficial de policía ni ha abusado de su poder. Tu nombre no era el propósito de la solicitud y en ningún momento le dijimos a Uber que eras una persona de interés ".

"Uber tal vez debería explicar cómo suspenden a alguien que no era el sujeto de la solicitud original y también por qué, después de 10 días, no se te reintegró automáticamente a la aplicación y no pudiste seguir trabajando".

EMBED: Video de L

“Los oficiales tenían la tarea de identificar a un sospechoso en relación con un delito grave. A los oficiales se les había pasado el nombre de una persona de interés. Puedo confirmar que NO fuiste tú. El 20 de febrero de 2019 se envió un formulario de protección de datos a Uber con los detalles del sospechoso nombrado. No tengo la libertad de revelar más detalles sobre esto.

“En ningún momento su nombre apareció en esta investigación realizada con Uber. El oficial NO se acercó a Uber en busca de información relacionada con usted. Como resultado de nuestra investigación, Uber proporcionó a la policía sus datos. Una vez que se recibió la información de Uber y nos dieron su nombre, supimos que NO estaba vinculado a nuestra investigación y no se tomaron más medidas y se le excluyó de cualquier otra investigación”.

“El oficial no ha violado ningún estándar profesional ni actuó fuera de su rol como oficial de policía ni abusó de su poder. Su nombre no era el propósito de la solicitud y en ningún momento le dijimos a Uber que usted era una persona de interés”.

“Uber quizás debería explicar cómo suspenden a alguien que no era el sujeto de la solicitud original y también por qué, después de 10 días, no se le restableció automáticamente en la aplicación y no pudo seguir trabajando”.

Case Study: Intelligence Sharing with Law Enforcement

Part II: Exercising Data Rights at Work: Access

Parte II: Ejercicio de los derechos sobre los datos en el trabajo: acceso

La legislación laboral no cuenta con las disposiciones necesarias para proteger plenamente a los trabajadores de las prácticas desleales derivadas de la gestión algorítmica. Sin embargo, las personas tienen derechos en virtud del RGPD que pueden proteger sus intereses en contextos laborales. Al apoyar a los trabajadores, invocamos sus derechos definidos en los artículos 15, 20 y 22, que les otorgan el derecho a acceder a los datos personales , el derecho a la portabilidad de los datos , así como el derecho a ser informados sobre la toma de decisiones automatizada y la lógica. de procesamiento .

Artículo 22: Los interesados no pueden estar sujetos a decisiones con efectos legales (o igualmente significativos), basadas únicamente en el procesamiento automatizado de datos.

[Si el responsable del tratamiento procesa datos con el consentimiento explícito del interesado, o para la ejecución de un contrato con él, el interesado tiene derecho a obtener la intervención humana, a expresar su punto de vista y a impugnar la decisión]

Artículo 15: Los interesados tienen derecho a recibir una copia de sus datos personales, junto con información complementaria, como los fines del procesamiento de datos, información sobre con quién se pueden compartir los datos, la duración del procesamiento, etc.
Articulo 20: Los interesados tienen derecho a recibir los datos personales que hayan proporcionado a un controlador en un formato estructurado, de uso común y legible por máquina. También tienen derecho a transmitir ("puerto") los datos a otro responsable del tratamiento. Cuando sea posible, pueden solicitar que los datos se transmitan directamente de un responsable del tratamiento a otro.

Si bien las plataformas hacen que las descargas de datos estén disponibles para los trabajadores, con frecuencia omiten las categorías de datos más propicias y necesarias para interrogar las condiciones de trabajo (como la equidad de pago, la asignación y la utilización del trabajo como se enumeran anteriormente). En nuestra aspiración de expandir el alcance de datos puestos a disposición de los trabajadores, realizamos solicitudes específicas de portabilidad y acceso de sujetos que cubren la gama completa de datos que las plataformas de conciertos recopilan de ellos. En estas solicitudes buscamos obtener tres tipos de datos diferentes:

1) Datos de entrada, proporcionados por los propios trabajadores

2) Datos de observación: basados en el uso de plataformas por parte de los trabajadores (es decir, datos brutos de medición y vigilancia, como datos de ubicación, telemática, etc.)

3) Datos inferidos: derivados del análisis de datos de observación (por ejemplo, elaboración de perfiles del comportamiento de los trabajadores en forma de evaluaciones de riesgo y fraude)

Artículo 22: Los interesados no pueden ser objeto de decisiones con efectos jurídicos (o de similar trascendencia), basadas únicamente en el tratamiento automatizado de datos.

[Si el responsable del tratamiento trata los datos con el consentimiento explícito del interesado, o para la ejecución de un contrato con él, el interesado tiene derecho a obtener la intervención humana, a expresar su punto de vista y a impugnar la decisión]

Artículo 15: Los interesados tienen derecho a recibir una copia de sus datos personales, junto con información complementaria, como los fines del procesamiento de datos, información sobre con quién se pueden compartir los datos, la duración del procesamiento, etc.

Artículo 20 : Los interesados tienen derecho a recibir los datos personales que hayan proporcionado a un responsable del tratamiento en un formato estructurado, de uso común y lectura mecánica. También tienen derecho a transmitir ('portar') los datos a otro controlador. Cuando sea factible, pueden solicitar que los datos se transmitan directamente de un controlador a otro.

Datos de entrada

Proporcionado por los propios trabajadores.

Datos observados

Basado en el uso de las plataformas por parte de los trabajadores (es decir, datos de medición y vigilancia sin procesar, como datos de ubicación, telemática, etc.)

Datos inferidos

Derivado del análisis de datos de observación (p. ej., elaboración de perfiles del comportamiento de los trabajadores en forma de evaluaciones de riesgo y fraude)

Estas categorías de datos a menudo se hacen explícitas en los documentos de orientación y las políticas de privacidad, pero no se comparten con los conductores cuando descargan sus datos o realizan solicitudes de acceso de sujetos. En nuestra experiencia, cuando los trabajadores buscan esta información, las plataformas de conciertos tienen como objetivo hacer que el proceso sea difícil y oneroso al involucrarse en una variedad de comportamientos de incumplimiento. Los trabajadores que buscan datos completos tienen que navegar por arquitecturas de sitios web extremadamente complejas y obstruccionistas y deben eludir esfuerzos adicionales de frustración por parte de los agentes de soporte, que prolongan innecesariamente los procesos administrativos simples o brindan respuestas automáticas que no responden adecuadamente a las consultas. Estos procedimientos pueden describirse como " patrones oscuros" diseñados para alejar a los trabajadores del ejercicio de sus derechos como interesados. En las ocasiones en que los trabajadores pueden obtener sus datos, a menudo faltan segmentos considerables o se presentan en formatos inconsistentes y no legibles por máquina, lo que hace que el análisis sea efectivamente imposible. Estos actos de obstrucción obligan a los trabajadores a realizar solicitudes reiteradas que las empresas finalmente utilizan como motivo para desacreditarlos.

En todas las devoluciones de DSAR que hemos visto, ningún empleador ha brindado una cuenta completa y adecuada del procesamiento automatizado de datos personales. Esto es particularmente importante en áreas que pueden determinar la seguridad del empleo, como la asignación de trabajo, la gestión del desempeño, la seguridad y la protección, como se analiza en este informe. Uber y Ola han argumentado ante los tribunales que la seguridad de su plataforma puede verse comprometida si la lógica de dicho procesamiento de datos se revela a sus trabajadores. En nuestra opinión, la seguridad y la protección solo se pueden mejorar cuando las plataformas establecen reglas y estándares de desempeño de manera transparente en lugar de depender de la vigilancia encubierta y los despidos sumarios, que son algunos de los motivadores clave de las DSAR.

Dada esta actitud resistente a los DSAR, también es importante tener en cuenta que muchos conductores temen represalias por parte de las empresas por realizar solicitudes. Cuando las plataformas de conciertos realizan verificaciones de identidad inmoderadas y prolongadas en respuesta a las solicitudes de acceso de los sujetos, los trabajadores se desaniman e intimidan fácilmente (consulte los correos electrónicos que Uber envía a los conductores en los estudios de casos de respuesta de la plataforma). En las numerosas entrevistas que hemos realizado con los conductores, los mensajes extensos de búsqueda de confirmación, transmitidos en un lenguaje legal complejo, se han mencionado con frecuencia como disuasivos para continuar con las solicitudes. Para muchos conductores, el acto de insistir en la solicitud equivale a sacar la cabeza por encima del parapeto y arriesgar el sustento y la seguridad laboral.

Esta percepción a menudo surge de experiencias de explotación e inseguridad continuas, derivadas de la capacidad y el conocimiento limitados de los trabajadores para ejercer los derechos democráticos, ya sea en el Reino Unido como inmigrantes o en sus países de origen, que en muchos casos muestran tendencias autoritarias. En una fuerza laboral que ya está muy fragmentada y propensa a la precariedad económica, donde la necesidad de seguridad supera con creces el deseo de desafiar la injusticia, el impacto de este tipo de comportamiento hostil por parte de las empresas no puede subestimarse. Esta inseguridad se ve agravada además por la opacidad de los algoritmos de gestión. En ausencia de explicaciones claras de cómo funcionan los sistemas de gestión del rendimiento o asignación de trabajo de caja negra, se vuelve muy fácil para los trabajadores involucrarse en pensamientos especulativos o incluso conspirativos sobre cómo sus interacciones con la plataforma afectan su trabajo. Esto puede luego extenderse a una desconfianza generalizada hacia otras instituciones y una aversión hacia la actividad organizativa. Estas son vulnerabilidades fuertes y persistentes en la fuerza laboral que requieren especial atención y protección.

Case Studies: Indivdual DSARs

Estudios de caso: DSAR individuales

Los siguientes estudios de caso demuestran algunas de las formas en que Uber se involucra en comportamientos obstructivos y de incumplimiento al responder a las solicitudes de datos de los trabajadores. Es significativo que estos ejemplos no se puedan explicar como excepciones o eventos aislados relacionados con agentes de soporte sin experiencia. Estas respuestas representan los procedimientos estándar que sigue Uber cuando los trabajadores desean ejercer sus derechos de acceso a los datos.

Respuestas circulares e inútiles

M. Ahmed es un ex conductor de Uber y mensajero de Uber Eats. En octubre de 2020, se suspendieron sus cuentas de conductor y mensajería de Uber, y en febrero de 2021, se desactivó su cuenta de conductor. Esto también afectó a su cuenta de mensajería UberEats, que posteriormente fue desactivada y eliminada.

Cuando el Sr. Ahmed preguntó por la causa de su despido, recibió respuestas contradictorias. Uber inicialmente citó verificaciones de reconocimiento facial fallidas y luego afirmó que la desactivación se debió a un gran volumen de pedidos no entregados. A lo largo de la correspondencia, se dirigieron a él por el nombre equivocado y finalmente aceptaron que los mensajes relacionados con las verificaciones de identificación en tiempo real fallidas se enviaron por error. La confusión en torno a su despido lo llevó a buscar sus datos personales.

En los últimos meses, Ahmed ha estado tratando de recuperar los datos asociados con su cuenta de Uber Eats desactivada. Ahmed intentó por primera vez obtener sus datos el 15 de abril de 2021, a través del formulario 'Enviar una consulta de privacidad sin una cuenta de Uber' en el sitio web de Uber, ya que su cuenta había sido eliminada después de su despido.

En respuesta, recibió un correo electrónico de Uber que decía: “Nuestro Aviso de privacidad limita nuestra capacidad para compartir la información del titular de la cuenta. Solo podemos proporcionar esta información a través del proceso descrito en nuestras pautas de solicitud de datos ". Este proceso se refiere a iniciar sesión en la cuenta y realizar la solicitud desde dentro de la cuenta. "Dicho esto, podemos trabajar con usted a través de los canales adecuados para ayudar según sea necesario".

Ahmed respondió pidiendo consejo sobre cómo podría acceder a los datos asociados con su cuenta ahora eliminada. Explicó que estaba escribiendo desde el correo electrónico asociado con su cuenta de Uber Eats y que también había proporcionado el número de teléfono móvil asociado con esta cuenta. Añadió que estaba feliz de proporcionar más información para confirmar su identidad.

A esto, el Sr. Ahmed recibió una respuesta indicando que su “preocupación no está relacionada con esta cuenta. Por favor escríbanos desde la cuenta en cuestión o inicie sesión a través de help.uber.com con las credenciales relevantes e infórmenos sobre el problema para que podamos ayudarlo más ".

Ahmed respondió, adjuntando una imagen del correo electrónico de incorporación que le envió Uber el 3 de julio de 2020, para demostrar que estaba escribiendo desde la cuenta correspondiente. El 19 de abril de 2021 recibió el mismo mensaje en el que indica que su “preocupación no está relacionada con esta cuenta”.

Ahmed respondió explicando una vez más que no puede acceder a su cuenta y que había proporcionado los detalles asociados con su cuenta de Uber Eats. Pidió recibir orientación sobre qué otra información podría proporcionar para identificarse. No recibió respuesta.

En este punto, el Sr. Ahmed buscó la ayuda de App Drivers and Couriers Union y Worker Info Exchange y escalamos el problema con Uber. El 11 de mayo de 2021, el Sr. Ahmed recibió un correo electrónico de Uber pidiéndole que confirmara la solicitud que hicimos en su nombre. Respondió confirmando que nos había dado su mandato y que le gustaría que se procesara su solicitud.

El 14 de mayo de 2021, Uber envió a Ahmed un formulario de verificación de identidad para procesar la solicitud. El formulario pedía los mismos detalles que ya había compartido en sus mensajes anteriores, como correo electrónico, número de teléfono, país de residencia, el tipo de datos solicitados. También solicitó su "calificación actual", que era inaplicable, ya que ya no tenía acceso a su cuenta. Ahmed envió el formulario a Uber, pero no recibió ninguna respuesta.

El 20 de mayo de 2021, Ahmed escribió a Uber para obtener confirmación de que estaban procesando su solicitud. No recibió respuesta.

En el momento de redactar este informe, el Sr. Ahmed no ha recibido sus datos. Tampoco se le ha dado ninguna explicación de por qué no se está tramitando su solicitud.

Circular and Futile Answers: M Ahmed

Intercambio de datos incremental e inconsistente

Amini es un ex conductor de Uber que fue desactivado en noviembre de 2020 luego de una verificación de geolocalización fallida . Uber informó su despido a TfL, quien luego revocó la licencia de contratación privada de Amini, dejándolo sin trabajo. En un intento por comprender la causa de su despido, Amini trató de obtener sus datos de Uber.

Amini hizo su primera solicitud el 13 de abril de 2021 y solicitó todos sus datos personales, incluidas las 26 categorías de datos descritas en el documento de orientación elaborado por Uber, así como las imágenes enviadas por él en respuesta a las verificaciones de identificación en tiempo real. Especificó que quería datos que cubrieran todo el período que ha estado activo como conductor de Uber.

El Sr. Amini recibió una respuesta a su solicitud el 5 de mayo de 2021, sin embargo, los datos proporcionados solo cubrieron los 30 días anteriores a su solicitud. Dado que Amini no pudo trabajar para Uber durante este período, muchos de los conjuntos de datos proporcionados estaban en blanco.

Luego, Amini hizo otra solicitud el 6 de mayo de 2021, declarando una vez más que estaba solicitando datos sobre todo el período de tiempo que ha trabajado con Uber, y agregó específicamente que deseaba datos recopilados hasta noviembre de 2020.

El Sr. Amini recibió una respuesta el 28 de mayo de 2021. Sin embargo, una vez más se le enviaron datos incompletos. Específicamente, el csv de datos detallados del dispositivo del controlador proporcionado por Uber estaba completamente en blanco.

El Sr. Amini hizo otra solicitud el 2 de junio de 2021 solicitando los datos faltantes. Recibió los datos detallados del dispositivo del controlador para noviembre de 2020 el 10 de junio de 2021. Sin embargo, a pesar de especificar que quería todos los campos de datos enumerados en las notas de orientación producidas por Uber, se le envió un conjunto de datos restringido que omitía 32 de los 50 datos. los campos.

Inconsistent and incremental data sharing

Ofuscación y resistencia

Majid es un exconductor de Uber que fue desactivado en septiembre de 2020 luego de una verificación de geolocalización fallida. Al igual que en el caso de Amini, Uber informó del despido de Majid a TfL, lo que provocó la revocación de su licencia de alquiler privado. En un esfuerzo por comprender la base de las acusaciones de Uber, intentó obtener sus datos.

Majid se puso en contacto por primera vez con Uber para solicitar sus datos el 2 de junio de 2021. En respuesta, recibió un mensaje en el que se le pedía que explicara su preocupación de manera breve. Majid respondió con su solicitud de 3 categorías de datos (de las 26 categorías enumeradas en las notas de orientación de Uber) para septiembre de 2020.

El 8 de junio de 2021, el Sr. Majid recibió un mensaje de Uber que decía: “Nuestra Política de privacidad no nos permite realizar cambios o discutir información personal sin contacto a través de la dirección de correo electrónico asociada con su cuenta de socio. Para ayudarlo con su problema específico, deberá escribir utilizando la dirección de correo electrónico asociada con esa cuenta. Gracias por entender."

En esta etapa, el señor Majid se puso en contacto con nosotros, confundido, ya que le había escrito a Uber desde su cuenta. Él respondió, explicando a Uber que se comunicó con ellos iniciando sesión en su cuenta de conductor, por lo que definitivamente estaba escribiendo desde la dirección de correo electrónico correcta. Preguntó si podía proporcionar alguna identificación / documentación adicional para asegurarle a Uber que era él quien hacía la solicitud.

En respuesta, recibió el mismo mensaje de Uber: “Hola ... gracias por tu mensaje. Entendemos que le gustaría hablar sobre información relacionada con una cuenta de Uber. Si usted es el titular de la cuenta, escriba desde la dirección de correo electrónico asociada con su cuenta Partner-Driver y podremos ayudarlo de inmediato ".

El 9 de junio de 2021, Majid inició sesión en su cuenta de socio e inició un chat con el soporte de Uber para volver a intentarlo. Se ignoró su mensaje preguntándole si podía realizar una solicitud de acceso al sujeto.

El 14 de junio de 2021, Majid se puso en contacto con Uber una vez más y le dijo que tenía una consulta sobre su cuenta de socio conductor. Recibió una respuesta de Uber: “Gracias por comunicarse ... Hemos aprovechado la oportunidad para revisar su inquietud y podemos ver que ya se comunicó con nosotros sobre este tema. Uno de los miembros de nuestro equipo está investigando su problema y nos comunicaremos con usted lo antes posible. Para agilizar nuestra comunicación y evitar confusiones, vamos a cerrar este contacto ".

El 16 de junio de 2021, Majid se puso en contacto con Uber una vez más, indicando que se le había pedido que iniciara sesión en su cuenta para realizar una solicitud y, una vez hecho, quería compartir los detalles de su solicitud. Recibió una respuesta al día siguiente y, posteriormente, envió detalles de la solicitud (de los tres conjuntos de datos enumerados anteriormente) el 18 de junio de 2021.

Al no recibir respuesta, Majid se puso en contacto con Uber nuevamente el 28 de junio de 2021, en busca de confirmación de que su solicitud estaba siendo procesada. El 1 de julio de 2021, recibió una respuesta en la que se indicaba que su preocupación había sido planteada al equipo especializado y que se pondrían en contacto para investigar más a fondo.

El 2 de julio de 2021, el Sr. Majid recibió una respuesta al hilo de mensajes que había iniciado el 9 de junio de 2021. Este mensaje indicaba que Uber requiere que las solicitudes se envíen personalmente a la dirección postal de Uber BV en los Países Bajos.

Majid no ha recibido más comunicaciones.

Obfuscation and Resistance

“La cuestión de los algoritmos es central en el tema de la uberización. Con demasiada frecuencia, es el algoritmo el que juega el papel real del jefe, ya que la tecnología proporciona nuevos medios para la subordinación de los trabajadores. Obviamente, existe la necesidad de transparencia en la gestión algorítmica, pero más allá de esta transparencia, existe la necesidad de una gestión conjunta del algoritmo. Los representantes de los trabajadores deben poder participar en su desarrollo”.

Leila Chaibi, eurodiputada

Estudios de caso: Respuestas de la plataforma a

Solicitudes por lotes por intercambio de información del trabajador

Como se demuestra en los ejemplos anteriores, los procesos de solicitud individuales pueden consumir mucho tiempo y capacidad. Por lo tanto, hemos creado procesos que nos permiten realizar solicitudes por lotes en nombre de los conductores y agilizar este complejo procedimiento. Hemos establecido un sistema que utiliza la solución de identificación y firma electrónica desarrollada por Scrive para recibir un mandato legal de los trabajadores para realizar solicitudes en su nombre. Esta solución también incluye una verificación de identidad realizada por Onfido (el mismo servicio de verificación de identidad utilizado por Uber), para garantizar que tanto nosotros como el controlador de datos podamos estar seguros de la identidad del solicitante y preservar la privacidad de sus datos. La verificación de identificación requiere que los trabajadores presenten uno de los siguientes documentos de identificación: pasaporte, licencia de conducir, tarjeta de identidad o permiso de residencia. A través de este proceso, se crea un documento de consentimiento individual para cada individuo que está sellado electrónicamente y es verificable a través de adjuntos ocultos que contienen un registro de evidencia para probar la autenticidad del proceso de identificación. (Scrive también proporciona un servicio para verificar la integridad de los formularios de consentimiento, que está vinculado en los documentos). Enviamos estos documentos, junto con una hoja de cálculo que contiene los nombres, correos electrónicos, direcciones y números de teléfono de los trabajadores que realizan las solicitudes.

Algunas empresas se han mostrado receptivas y cooperativas al responder a las solicitudes realizadas a través de este procedimiento, mientras que otras se han involucrado en un comportamiento mucho más obstructivo y hostil. Sin embargo, incluso cuando las empresas han cumplido con las solicitudes, ha habido problemas consistentes en el establecimiento de las categorías precisas de datos recopilados, así como en la obtención de todos los datos solicitados en un formato estructurado y legible por máquina. Pocas empresas han podido proporcionar documentos de orientación con descripciones claras de las categorías de datos, y los datos que hemos recibido a menudo muestran incongruencias significativas con el procesamiento descrito en las políticas de privacidad. En términos generales, las empresas han mostrado una tendencia a negar las prácticas de datos que no desean revelar. En un caso, una empresa afirmó que la evaluación de fraude a la que se hace referencia en su política de privacidad solo se había realizado como parte de una prueba y que la política de privacidad estaba desactualizada. Otro nos remitió a un documento que, según afirmaron, había reemplazado al en el que estábamos basando nuestra solicitud, a pesar de que ambos documentos se actualizaron en la misma fecha.

A pesar de estas dificultades, el rechazo más controvertido al que nos hemos enfrentado ha sido la denegación de nuestro derecho a actuar en nombre de los trabajadores al realizar solicitudes de acceso de sujetos como un tercero. Este derecho inequívoco (claramente establecido en la guía de la ICO e incluso promovido por la propuesta de reforma del GDPR del gobierno) fue cuestionado tanto por Bolt como por Uber. Si bien es evidente que la resistencia actúa para frustrar el proceso de solicitud, también apunta a una brecha importante en la orientación existente sobre los procesos de verificación de identidad. Cuando las empresas insisten en realizar verificaciones de identidad mediante el contacto directo con los trabajadores, sometiéndolos a una correspondencia legalmente compleja, esto niega en gran medida el propósito de apelar a terceros para solicitudes. Existe un conflicto preocupante entre los derechos de las partes respectivas aquí que requiere una guía regulatoria urgente para garantizar que no se abuse y manipule para profundizar las asimetrías de información.

Platform Responses to Requests

Deliveroo

De las siete empresas a las que hemos realizado solicitudes, Deliveroo fue la que mejor cumplió. En nuestras solicitudes, solicitamos a las empresas que confirmen la fecha en la que se responderá a la solicitud y que procesen las solicitudes de forma masiva, informándonos cuándo se realizan todas las divulgaciones individuales.

Deliveroo respondió a las solicitudes dentro del plazo legal, siempre que documento de orientación, que anota claramente las categorías de datos y se comunica con nosotros a lo largo del proceso.

Deliveroo

Libre ahora

Free Now cumplió con nuestra solicitud dentro del plazo previsto y ha respondido durante todo el proceso, sin embargo, hemos encontrado un par de problemas que vale la pena destacar.

1) Free Now inicialmente intentó dirigirnos a su formulario de contacto en línea para realizar la solicitud. Esto no admitía el tamaño de los documentos que necesitábamos compartir. Solo pudimos obtener el correo electrónico del DPO después de varios correos electrónicos que explicaban el problema.

2) Los datos que recibimos no cubrían algunas de las categorías de datos que habíamos solicitado, como los datos relacionados con el algoritmo de "bosque aleatorio" utilizado para la prevención del fraude. Esto se explica en el política de privacidad del conductor que establece: “Basándonos en la puntuación calculada, podemos priorizar los viajes despachados en consecuencia. Esto asegura un envío justo y con riesgo mínimo ”. Cuando señalamos esto, Free Now declaró:

“No procesamos puntuaciones de fraude en nuestros conductores y no utilizamos (ni hemos utilizado) el algoritmo de detección de fraude en relación con nuestros conductores y / o sus datos personales.

Por lo tanto, la sección 3.4 de nuestro aviso de privacidad del controlador requiere una actualización a este respecto y lamentamos cualquier confusión al respecto. A modo de antecedentes, primero introdujimos esta sección en el aviso en relación con las pruebas que estaba realizando nuestro Departamento de Aseguramiento de Ingresos. Sin embargo, nunca se incluyeron controladores en esta prueba y, por lo tanto, no se crearon puntuaciones de fraude relacionado con los conductores (o similares). Desde entonces, hemos dejado de realizar estas pruebas ".

3) En respuesta a nuestra solicitud de un documento de orientación adjunto que ofrezca descripciones de las categorías de datos, se nos informó:

"Dado el formato accesible, conciso e inteligible de los datos en cuestión, no se requiere orientación adicional con respecto a estas solicitudes".

“No procesamos puntajes de fraude en nuestros conductores, y no usamos (y no hemos usado) el algoritmo de detección de fraude en relación con nuestros conductores y/o sus datos personales.

Por lo tanto, la sección 3.4 de nuestro aviso de privacidad del conductor requiere una actualización a este respecto y lamentamos cualquier confusión al respecto. A modo de antecedentes, primero introdujimos esta sección en el aviso en relación con las pruebas que estaba realizando nuestro Departamento de Aseguramiento de Ingresos. Sin embargo, nunca se incluyeron conductores en esta prueba y, por lo tanto, no se crearon puntajes de fraude relacionados con los conductores (o similares). Desde entonces, hemos dejado de realizar estas pruebas”.

“Dado el formato accesible, conciso e inteligible de los datos en cuestión, no se requiere orientación adicional con respecto a estas solicitudes”.

“Con el fin de evitar actividades fraudulentas, almacenamos los datos de ubicación GPS que nos envía su dispositivo móvil en intervalos cortos desde el momento de la aceptación hasta el final de un recorrido. Esto permite que FREE NOW cree un mapa de todo el recorrido de un recorrido. De esta manera, queremos asegurarnos de que los conductores no extiendan deliberadamente la ruta para lograr una tarifa más alta. Al mismo tiempo, podemos rectificar las quejas injustificadas de los pasajeros al poder seguir el curso y la ruta reales de un recorrido. El procesamiento de sus datos de ubicación GPS durante un recorrido se lleva a cabo para su propia protección, así como para la protección del pasajero y para nuestra protección sobre la base del art. 6 (1) f) RGPD.”

Free Now

Amazon Flex

Amazon Flex respondió inicialmente a las solicitudes solicitando la identificación de los interesados, sin embargo, al recibir una explicación de la verificación realizada a través de Onfido, acordaron que se había proporcionado información suficiente sobre los interesados para cumplir con las solicitudes.

Tras la confirmación, Amazon Flex nos informó que necesitarían dos meses adicionales para responder plenamente a las solicitudes.

Amazon cumplió con las solicitudes dentro del período de tiempo establecido, sin embargo, inicialmente no pudo producir un documento de orientación que ofreciera una explicación de las categorías de datos o los campos de datos, lo que hizo que gran parte de la información fuera ininteligible ya que no estaba claro cuáles eran las unidades o métricas de medición para muchos. de ellos. También enviaron todos los datos en formato pdf a pesar de nuestra especificación para un formato legible por máquina como un csv.

Posteriormente, escribimos a Amazon para abordar estas omisiones y pudimos obtener tanto un documento de orientación como los datos en un formato legible por máquina.

Amazon Flex

Solo come

Tras la confirmación de las solicitudes, Just Eat nos informó que necesitarían dos meses adicionales para responder completamente a las solicitudes y que proporcionarían los datos para septiembre de 2021. Just Eat proporcionó los datos en la fecha especificada y comunicó que habían procesó los DSAR, como habíamos solicitado.

Los datos incluían información de ubicación extensa (en formato pdf) pero no proporcionaban ninguna de las otras categorías que habíamos solicitado, como métricas para evaluar el cumplimiento de las operaciones y / o la entrega exitosa.

No se proporcionó un documento de orientación.

Just Eat

Ola

Ola confirmó la recepción de la solicitud un mes después de que se hizo. Se nos informó que "procesarán esto a su debido tiempo".

Los conductores recibieron respuestas a sus solicitudes un mes después, que consistía en una hoja de cálculo que contenía solo la información ingresada por el conductor al registrarse, como: nombre, número de teléfono, número de seguro nacional, detalles de pago; junto con la calificación promedio.

Posteriormente, le escribimos a Ola para expresarle nuestra preocupación de que los datos proporcionados no cubrían muchas de las categorías enumeradas en la página "Cómo procesamos sus datos" de Ola. Ola respondió refiriéndonos a la Política de privacidad , sugiriendo que el resto de la información estaba desactualizada y reemplazada por la Política de privacidad.

Explicamos que las fechas de los dos documentos indicaban que se habían actualizado al mismo tiempo. Las categorías a las que nos referimos parecían ser un desglose detallado del procesamiento de datos descrito en la Política de privacidad.

No recibimos más comunicaciones de Ola.

Ola

Tornillo

Bolt ignoró nuestra solicitud realizada el 27 de abril de 2021. Solo pudimos obtener una respuesta después de presentar una queja ante la Inspección de Protección de Datos de Estonia, Andmekaitse Inspektsioon (AKI), la autoridad supervisora principal de Bolt. El 24 de mayo de 2021, AKI dio instrucciones a Bolt para que respondiera a nuestra solicitud antes del 4 de junio de 2021.

El 4 de junio de 2021, recibimos un correo electrónico en el que Bolt afirmó no haber recibido los documentos que les habíamos enviado:

“Hemos recibido a través de nuestra principal autoridad supervisora de la UE, a saber, AKI, su correspondencia dirigida a Bolt," por correo electrónico ", con fecha del 27 de abril de 2021.

AKI nos escribió el 24 de mayo pidiendo a Bolt que respondiera a su correspondencia. Recibimos solo su carta y ninguno de los anexos mencionados en su correspondencia.

Su solicitud, con fecha del 27 de abril de 2021, busca la portabilidad de los datos personales de los interesados, es decir, los conductores, que se dice que están bajo su mandato.

Verificación de identidad

Bolt no ha recibido el nombre de ningún sujeto de datos que se dice que está bajo su mandato.

Se dice que Worker Info Exchange, en su correspondencia, ha identificado y autenticado a cada conductor. Si bien esto se agradece, corresponde al controlador, Bolt, utilizar todas las medidas razonables para verificar la identidad de un sujeto de datos que ha realizado una solicitud de acceso a sus datos personales. Teniendo en cuenta que solo recibimos su carta, con fecha 27 de abril de 2021, comunicada a través de AKI, no tenemos medios para inspeccionar ni satisfacernos de la verificación, y asegurarnos de que las salvaguardas técnicas adecuadas aseguren la autenticidad de estas solicitudes.

Jurisdicción de la autoridad supervisora

Bolt se compromete a defender los derechos de los usuarios, ofrece un canal de quejas y se relaciona con AKI y otras autoridades supervisoras con entusiasmo siempre que sea necesario. En este caso, sin embargo, no estamos satisfechos de que Worker Info Exchange sea competente en el sentido del RGPD para presentar una queja ante AKI en nombre de los interesados ".

Respondimos de inmediato, adjuntando los documentos del mandato que habíamos enviado a Bolt el 27 de abril. Bolt no respondió. Enviamos un correo electrónico de seguimiento para confirmar la recepción de los documentos por parte de Bolt el 16 de junio de 2021, esto también fue ignorado.

Finalmente, en octubre de 2021, después de escalar aún más el asunto con AKI, recibimos un acuse de recibo de nuestras solicitudes de datos de Bolt. En la correspondencia , Bolt desafió una vez más nuestro proceso de autenticación de identificación y afirmó que muchas de las categorías de datos que habíamos solicitado estaban fuera del alcance de la portabilidad de datos. No nos queda claro por qué algunas de estas categorías (como las "clasificaciones de eficiencia" como se especifica en la política de privacidad ) no estaban dentro del alcance de las solicitudes de acceso del sujeto. Se nos dijo que se proporciona acceso a los conductores con respecto a los datos del viaje y que compartir cualquier información de ruta adicional infringiría los derechos de otros y sería "comercialmente devastador" para Bolt:

“Por lo tanto, en principio, Bolt habría buscado cumplir, habiendo cumplido con las comprobaciones de autenticación pertinentes, cualquier solicitud de portabilidad de este tipo mediante la provisión de lo que permanece dentro del alcance de la obligación:

• Nombre, correo electrónico, número de teléfono, lugar de residencia.

• Información sobre vehículos (incluido el número de registro)

• Licencia de conducir, fotografía, profesión y documentos de identidad.

Esta información ya está disponible para Bolt Drivers en el portal de la cuenta, y se puede inspeccionar y recuperar ".

Además, ayudamos a un conductor de Bolt que había estado tratando de obtener sus datos a realizar una solicitud individual a Bolt. Bolt había estado ignorando las repetidas solicitudes del conductor desde agosto de 2020. El conductor presentó una queja a AKI y se le indicó a Bolt que respondiera a su solicitud antes del 16 de junio de 2021. Al conductor finalmente se le enviaron algunos datos (en su mayoría datos proporcionados por el propio conductor). , como los documentos que presentó durante el registro), sin embargo, esto no cubría una serie de categorías de datos importantes, como datos de ubicación, información de ruta o calificaciones de eficiencia. Al conductor no se le ofreció una explicación de por qué no se le dieron estos conjuntos de datos.

“Hemos recibido a través de nuestra principal autoridad supervisora de la UE, a saber, AKI, su correspondencia dirigida a Bolt, “por correo electrónico”, con fecha 27 de abril de 2021.

AKI nos escribió el 24 de mayo pidiéndole a Bolt que respondiera a su correspondencia. Solo hemos recibido su carta y ninguno de los archivos adjuntos a los que se hace referencia en su correspondencia.

Su solicitud, con fecha del 27 de abril de 2021, busca la transferencia de datos personales de los interesados, es decir, los conductores, que se dice que están bajo su mandato.

Verificación de identidad

Bolt no ha recibido el nombre de ningún sujeto de datos que se diga que está bajo su mandato.

Se dice que Worker Info Exchange, en su correspondencia, identificó y autenticó a cada conductor. Si bien esto es apreciado, corresponde al controlador, Bolt, utilizar todas las medidas razonables para verificar la identidad de un sujeto de datos que haya realizado una solicitud de acceso a sus datos personales. Teniendo en cuenta que solo recibimos su carta, con fecha 27 de abril de 2021, comunicada a través de AKI, no tenemos medios para inspeccionar ni asegurarnos de la verificación, y garantizar que las garantías técnicas adecuadas aseguren la autenticidad de estas solicitudes.

Jurisdicción de la autoridad de control

Bolt se compromete a defender los derechos de los usuarios, ofrece un canal de quejas y se relaciona con entusiasmo con AKI y otras autoridades de supervisión siempre que sea necesario. En este caso, sin embargo, no estamos convencidos de que Worker Info Exchange sea competente en el sentido del RGPD para presentar una queja ante AKI en nombre de los interesados”.

“Por lo tanto, en principio, Bolt habría buscado cumplir , habiendo cumplido con los controles de autenticación pertinentes, con cualquier solicitud de portabilidad a través de la provisión de lo que permanece dentro del alcance de la obligación:

• Nombre, correo electrónico, número de teléfono, lugar de residencia.

• Información sobre vehículos (incluido el número de registro)

• Licencia de conducir, fotografía, profesión y documentos de identidad.

Esta información ya está disponible para Bolt Drivers en el portal de la cuenta y puede ser inspeccionada y recuperada ”.

Bolt

Uber

Mientras procesaba las solicitudes, Uber decidió oponerse al proceso que configuramos para realizar solicitudes en nombre de los conductores. Uber intentó invalidar las solicitudes que hicimos el 20 de abril de 2021 con la siguiente respuesta:

"Gracias por sus correos electrónicos. Según la información que nos proporcionó, solo podemos concluir que Onfido podría verificar si una persona es quien dice ser, pero no si los detalles que proporcionaron corresponden a los de su propia cuenta de conductor en la aplicación Uber. El proceso tampoco nos proporciona evidencia de que los conductores relevantes realmente solicitaron a la ADCU o WIE que los representara en el ejercicio de sus derechos como sujeto de datos.

Aparte de si la ADCU o WIE, o cualquier organismo representativo, bajo GDPR puede representar a los interesados en el ejercicio de sus derechos, hemos recibido múltiples respuestas de conductores que indican que nunca autorizaron a la ADCU o WIE a realizar tal solicitud en su nombre. En algunos casos, esta solicitud se denominó "una estafa". Por lo tanto, no podemos concluir sin ninguna duda razonable que las personas en cuyo nombre realiza una solicitud son en realidad los titulares de las cuentas de los conductores correspondientes. Y aunque el proceso puede verificar la identidad de un sujeto de datos, no podemos verificar si es el sujeto de datos correcto. De acuerdo con la guía de ICO y el artículo 12 (6) del GDPR, nuestros procesos están diseñados para verificar la identidad del titular de la cuenta antes de divulgar cualquier dato personal ".

Con esta respuesta, Uber optó por verificar las solicitudes enviando el siguiente correo electrónico a los conductores: (El mensaje de Uber se refiere erróneamente a ADCU en lugar de WIE, ya que ADCU hizo una solicitud similar el 2 de marzo de 2021).

“Uber ha recibido recientemente una solicitud de portabilidad relacionada con su dirección de correo electrónico a través de la App Drivers & Couriers Union (“ ADCU ”).

Uber ha implementado las medidas adecuadas para responder al ejercicio de los derechos del interesado de acuerdo con el Reglamento General de Protección de Datos de la UE ("GDPR"). El primer paso para responder a estos es verificar sin duda razonable la identidad del solicitante, para asegurarse de que es el titular de la cuenta el que realiza la solicitud, y para garantizar la protección de los datos personales, en particular contra el acceso no autorizado.

La solicitud recibida no permite a Uber verificar la autorización otorgada por el interesado para una solicitud de acceso realizada por un tercero, ni verificar sin duda razonable la identificación del solicitante como titular de la cuenta. También reiteramos que para el ejercicio de los derechos de acceso o portabilidad, la política de Uber es exigir siempre una identificación idéntica a la identificación utilizada para sus servicios. La identificación se basa en los identificadores en línea recopilados y verificados en el momento del registro de la cuenta o posteriormente modificados y reverificados: la dirección de correo electrónico, el número de teléfono, la contraseña y, en su caso, un pin de verificación enviado por SMS.

Por lo tanto, Uber no puede cumplir con la solicitud recibida a través de ADCU. Para que podamos procesar la solicitud de portabilidad, y de acuerdo con la guía de ICO, decidimos escribirle directamente y pedirle amablemente que confirme la solicitud respondiendo a este mensaje a través del soporte en la aplicación ".

Muchos conductores respondieron a Uber para confirmar las solicitudes. Un mes después de la confirmación de las solicitudes, Uber escribió a los conductores para informarles que no podrían responder a la solicitud dentro de los 30 días posteriores a la recepción y que requerirían tiempo adicional.

Uber finalmente comenzó a procesar las solicitudes de portabilidad de datos hacia fines de junio, más de tres meses después de que se envió la solicitud original. En estas solicitudes de portabilidad, Uber solo compartió seis categorías de datos, que contienen información o documentos presentados por los propios conductores, citando el caso de transparencia reciente (consulte la respuesta de Uber a continuación para el enlace) que presentamos contra Uber. Uber afirmó que el tribunal había confirmado la justificación de la portabilidad de datos para prevenir el bloqueo, que tomaron como pretexto para compartir datos limitados:

“Con referencia a su solicitud de portabilidad de datos, por la presente le proporcionamos sus datos y una explicación de las categorías de datos que se proporcionan.

Debido a los recientes desarrollos legales y jurisprudencia relacionados con Uber ( http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2021:1020 ), hemos evaluado nuestros procesos para responder a las solicitudes de portabilidad de datos para realizar asegúrese de cumplir con todos los requisitos aplicables al responder a dichas solicitudes. En este sentido, hemos tenido en cuenta que el fundamento de la portabilidad de los datos es evitar un 'encierro' del interesado, como confirmó recientemente el tribunal.

Después de esta evaluación, Uber proporcionará datos personales que usted haya enviado de forma consciente y activa a Uber y que no afecten negativamente los derechos y libertades de los pasajeros como parte de la respuesta a su solicitud de portabilidad.

Por lo tanto, le proporcionaremos las siguientes categorías de datos:

Información del perfil de la cuenta del conductor
Información del perfil de la cuenta del pasajero
Documentos del conductor
Contactos de confianza del conductor
Información del perfil del conductor
Ubicaciones guardadas del pasajero / comedor / conductor

En caso de que no se hayan proporcionado datos para una de las categorías anteriores, ese archivo para esa categoría permanecerá vacío ".

Luego, Uber comenzó a devolver las solicitudes de acceso al sujeto en septiembre, casi cinco meses después de que se presentaran las solicitudes. En las respuestas que recibimos, finalmente recibimos la mayoría de las categorías de datos que solicitamos y explicaciones de por qué no recibimos las que no recibimos.

"Gracias por sus correos electrónicos. Con base en la información que nos proporcionó, solo podemos concluir que Onfido podría verificar si una persona es quien dice ser, pero no si los detalles que proporcionó corresponden a los de su propia cuenta de conductor en la aplicación Uber. El proceso tampoco nos brinda evidencia de que los conductores relevantes realmente le pidieron a la ADCU o WIE que los representara en el ejercicio de sus derechos de sujeto de datos.

Aparte de si ADCU o WIE, o cualquier organismo representativo, bajo GDPR puede representar a los interesados en el ejercicio de sus derechos , hemos recibido múltiples respuestas de los conductores que indican que nunca autorizaron a ADCU o WIE a realizar tal solicitud en su nombre En algunos casos, esta solicitud se denominó "una estafa". Por lo tanto, no podemos concluir sin duda razonable que las personas en cuyo nombre está realizando una solicitud son en realidad los titulares de las cuentas de los conductores correspondientes. Y aunque el proceso puede verificar la identidad de un sujeto de datos, no podemos verificar si es el sujeto de datos correcto. De acuerdo con la orientación de ICO y el artículo 12 (6) del RGPD, nuestros procesos están diseñados para verificar la identidad del titular de la cuenta antes de divulgar cualquier dato personal".

“Uber recibió recientemente una solicitud de portabilidad relacionada con su dirección de correo electrónico a través de App Drivers & Couriers Union (“ADCU”).

Uber ha implementado las medidas apropiadas para responder al ejercicio de los derechos de los interesados de acuerdo con el Reglamento General de Protección de Datos ("GDPR") de la UE. El primer paso para responder a estos es verificar sin duda razonable la identidad del solicitante, para asegurarse de que es realmente el titular de la cuenta que realiza la solicitud, y para garantizar la protección de los datos personales, en particular contra el acceso no autorizado.

La solicitud recibida no permite a Uber verificar la autorización otorgada por el titular de los datos para una solicitud de acceso realizada por un tercero, ni verificar sin duda razonable la identificación del solicitante como titular de la cuenta. Asimismo, reiteramos que para el ejercicio de los derechos de acceso o portabilidad, la política de Uber es exigir siempre una identificación idéntica a la utilizada para sus servicios. La identificación se basa en los identificadores en línea recopilados y verificados en el momento del registro de la cuenta o modificados y verificados posteriormente: la dirección de correo electrónico, el número de teléfono, la contraseña y, cuando corresponda, un pin de verificación enviado por SMS.

Por lo tanto, Uber no puede cumplir con la solicitud recibida a través de ADCU . Para que podamos procesar la solicitud de portabilidad, y de acuerdo con la guía de ICO, decidimos escribirle directamente y pedirle amablemente que confirme la solicitud respondiendo a este mensaje a través del soporte en la aplicación”.

“Con referencia a su solicitud de portabilidad de datos, por la presente le proporcionamos sus datos y una explicación de las categorías de datos que se proporcionan.

Debido a los desarrollos legales recientes y la jurisprudencia relacionada con Uber ( http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2021:1020 ),

hemos evaluado nuestros procesos para responder a las solicitudes de portabilidad de datos para asegurarnos de que cumplimos con todos los requisitos aplicables al responder a dichas solicitudes. En este sentido, hemos tenido en cuenta que la razón de ser de la portabilidad de los datos es evitar un 'bloqueo' del interesado, tal y como ha confirmado recientemente el tribunal.

Después de esta evaluación, Uber proporcionará datos personales que usted haya enviado consciente y activamente a Uber y que no afecten negativamente los derechos y libertades de los pasajeros como parte de la respuesta a su solicitud de portabilidad.

Por lo tanto, le proporcionaremos las siguientes categorías de datos:

Información del perfil de la cuenta del conductor
Información del perfil de la cuenta del pasajero
Documentos del conductor
Conductor Contactos de confianza
Información del perfil del conductor
Usuario/Comedor/Conductor Ubicaciones guardadas

En caso de que no se hayan proporcionado datos para una de las categorías anteriores, ese archivo para esa categoría permanecerá vacío.”

Sin embargo, a pesar de nuestra especificación para que Uber procese las solicitudes por lotes y nos notifique en cada etapa del proceso, Uber ha optado por manejar las solicitudes de manera fragmentada y sin una comunicación clara, lo que crea más desafíos en el seguimiento de la finalización de los DSAR. .

Data Rights at Work: Litigation

Parte III: Ejercicio de los derechos sobre los datos en el trabajo: litigio

Casos de Amsterdam

Los temas enumerados anteriormente ilustran la necesidad de recurrir al litigio en el ejercicio de los derechos laborales digitales. Con este fin, Worker Info Exchange ha ayudado a varios grupos de conductores a presentar tres casos separados contra Ola y Uber en el Tribunal de Distrito de Ámsterdam, invocando los derechos de los conductores tal como se definen en los artículos 15, 20 y 22 del RGPD. Presentamos los casos en asociación con App Drivers & Couriers Union (ADCU) para desafiar el acceso insuficiente a los datos y la transparencia en la toma de decisiones algorítmicas.

Nuestro principal objetivo al presentar estos casos fue establecer un estándar de transparencia para el acceso de los sujetos y las divulgaciones de portabilidad de datos que se pueda aplicar a nivel colectivo e ir más allá de la resolución de los casos individuales de los trabajadores. Con estos casos, intentamos establecer que la carga de la prueba recae en el controlador de datos para revelar en su totalidad qué categorías de datos procesa, incluidas las categorías de datos observados e inferidos (a los que se hace referencia anteriormente), que argumentamos que los interesados no pueden tener conocimiento o ser específicos sobre, hasta que el procesador de datos se comprometa primero con la transparencia. Creemos que establecer un estándar de este tipo ayudaría a crear un modelo replicable que se pueda usar con diferentes empresas en la economía de los gig, así como en diferentes sectores e industrias. Con este precedente establecido, otros grupos y organizaciones podrían recopilar los mismos datos estructurados y estandarizados y contribuir a un ecosistema de datos más rico y saludable que permitiría identificar y desafiar los daños y las desigualdades algorítmicas.

Visión general

El 20 de julio de 2020, un grupo de conductores presentó un caso contra Uber BV, que tiene su sede en Ámsterdam y actúa como responsable del tratamiento de datos en virtud del RGPD para todo el procesamiento de datos relacionados con los conductores en la Unión Europea (conductores de Uber contra Uber I). El 9 de septiembre de 2020, se presentó una denuncia similar contra Ola (Ola drivers v. Ola). Estos casos cuestionaron los datos insuficientes compartidos por las empresas en respuesta a las solicitudes de acceso de los sujetos, que se basaron en el documento de orientación de Uber y el documento de procesamiento de datos de Ola citado anteriormente en este informe. En el caso de Uber, a algunos conductores les faltaban hasta 19 de las 26 categorías de datos enumeradas en el documento de orientación. De manera similar, los controladores de Ola habían podido obtener una porción muy pequeña de los datos que Ola recopila y procesa sobre ellos.

Además, el 26 de octubre de 2020, cuatro conductores de Uber del Reino Unido presentaron quejas más específicas, exigiendo transparencia en la toma de decisiones automatizada, incluida la elaboración de perfiles, así como la información sobre la lógica subyacente involucrada y las consecuencias previstas de dicho procesamiento para los conductores ( Conductores de Uber contra Uber II). En cada uno de los casos, los conductores fueron despedidos después de que Uber dijera que sus sistemas habían detectado actividad fraudulenta por parte de las personas involucradas.

El Tribunal dictó sentencias el 11 de marzo de 2021. El tribunal admitió todas las solicitudes individuales, excepto las de dos conductores de Uber. En los tres casos, el tribunal rechazó el argumento de Uber de que los conductores que tomaban acciones colectivas para buscar acceso a sus datos equivalían a un abuso de los derechos de protección de datos. No constituye tal abuso. Estas consideraciones del tribunal reconocieron indirectamente el derecho de terceros, como Worker Info Exchange, a ejercer los derechos sobre los datos en nombre de los trabajadores.

Conductores de Uber contra Uber I : El 20 de julio de 2020, un grupo de conductores presentó una demanda contra Uber BV, que está establecida en Ámsterdam y actúa como controlador de datos para todo el procesamiento de datos relacionados con los conductores en la Unión Europea. Este caso cuestionó los datos insuficientes compartidos por la empresa en respuesta a las solicitudes de acceso de los sujetos, que se basaron en el documento de orientación de Uber. citado anteriormente en este informe. En este caso, a algunos conductores les faltaban hasta 19 de las 26 categorías de datos enumeradas en el documento de orientación.

Ola Drivers contra Ola: El 9 de septiembre se presentó una denuncia similar contra Ola Cabs. En este caso, los DSAR se basaron en el documento de procesamiento de datos de Ola. Como en el caso de Uber, los conductores de Ola pudieron obtener una porción muy pequeña de los datos que Ola recopila y procesa sobre ellos.

Conductores de Uber v. Uber II: Además, el 26 de octubre de 2020, cuatro conductores de Uber del Reino Unido presentaron quejas más específicas, exigiendo transparencia en la toma de decisiones automatizada, incluida la elaboración de perfiles, así como información sobre la lógica subyacente involucrada y las consecuencias previstas de dicho procesamiento para los conductores. En cada uno de los casos, los conductores fueron despedidos después de que Uber dijera que sus sistemas habían detectado actividad fraudulenta por parte de las personas involucradas.

"Los trabajadores solo pueden cuestionar las decisiones de manera efectiva si saben cómo o por qué se tomaron. En este contexto, el conocimiento es poder. La transparencia y las reglas sólidas pueden empoderar a los trabajadores en la era digital. Pero para poner fin a la era de 'la computadora dice que no' en el trabajo, necesitamos un conjunto nuevo y sólido de derechos laborales digitales para el siglo 21. Además de la transparencia, debemos detener la arbitrariedad, la vigilancia constante y la carga de trabajo extrema que conlleva tener un algoritmo como administrador. Las plataformas ya no deben poder esconderse detrás de sus algoritmos y agrandar el desequilibrio de poder entre empleador y empleado a través de la tecnología".

Kim van Sparrentak, eurodiputada

Uber Drivers v Uber I

Conductores de Uber v. Uber I
(Solicitudes Generales de Transparencia)

En este caso, el tribunal rechazó algunas de las denuncias de los conductores de Uber por varias razones. En primer lugar, el tribunal sostuvo que, dadas las circunstancias, no era suficiente que los demandantes se basaran en el principio de transparencia. A Uber se le permitió, de acuerdo con el considerando 63 del RGPD, solicitar una especificación de los datos personales que los solicitantes desean recibir porque procesó una gran cantidad de datos. Por lo tanto, se denegó la solicitud con respecto a una serie de categorías de datos (p. ej., Comportamiento al conducir).

El tribunal sostuvo que las referencias o informes internos que se incluyeron en el perfil del conductor mantenido por la gerencia no contenían ninguna información sobre el sujeto de datos que pudiera ser verificada por el propio sujeto de datos. En este caso, el perfil del conductor al que se hacía referencia era un perfil aparentemente mantenido por el personal de soporte que actualizaba el perfil con notas y etiquetas relacionadas con las quejas, comentarios y consultas de los clientes y/o conductores. Por lo tanto, Uber solo estaba obligado a proporcionar los datos sobre los solicitantes que forman la base fáctica de las notas mantenidas y no las notas y etiquetas internas mantenidas por la gerencia, lo que decimos equivale a monitoreo y gestión del desempeño.

Los conductores solicitaron información sobre los datos procesados en el llamado "sistema de precios por adelantado" de Uber, que determina precios fijos para los clientes antes del inicio de un viaje, en función de una ruta prevista que se espera que siga el conductor. Sin embargo, el tribunal señaló que los conductores no demostraron que quisieran poder verificar la exactitud y legalidad del procesamiento de datos. Por lo tanto, esta parte de la solicitud no se consideró más que "un deseo de obtener información" sobre cómo Uber utiliza algoritmos para gestionar el rendimiento de los viajes. El tribunal concluyó que el art. 15 GDPR no apoya este objetivo.

El tribunal también denegó la solicitud de información sobre la toma de decisiones automatizada y la elaboración de perfiles en relación con la asignación de trabajo. Si bien era obvio que el sistema de comparación por lotes y el sistema de fijación de precios por adelantado tuvieron algún impacto en el cumplimiento del acuerdo entre Uber y el conductor, el tribunal no vio evidencia de ninguna consecuencia legal o efecto significativo, como se menciona en las Directrices y Arte. 15 (1) sub h RGPD.

Finalmente, el tribunal sostuvo que el artículo 20 del RGPD no requería que Uber proporcionara ciertas categorías de datos personales en un archivo csv o por medio de una API. A excepción de los datos proporcionados en formato pdf, Uber había proporcionado los datos personales en un formato que permitía a los solicitantes transmitir estos datos a otro responsable del tratamiento, tal como exige el artículo 20.

El tribunal también consideró si ciertas categorías de datos debían transferirse en un formato legible por máquina. Las categorías de datos en cuestión incluían 'Boletos de Zendesk', 'Quejas de conductores' y 'Facturas'. El tribunal dictaminó que estas categorías de datos no entran en el ámbito de aplicación del artículo 20 del RGPD, porque los datos no habían sido proporcionados a Uber por el los propios reclamantes. Por lo tanto, el tribunal no vio ningún motivo para ordenar a Uber que transfiriera estos documentos en un formato distinto al formato pdf.

El tribunal decidió que la solicitud de transferencia de datos personales en formato csv de los conductores se basó en el deseo de agregar los datos para mejorar su posición de negociación colectiva, y que el propósito de la portabilidad de datos es evitar el bloqueo. Si bien esto no nos ha presentado una dificultad inmediata, el análisis del tribunal sobre la limitación de los derechos de portabilidad de datos con el fin de establecer un fideicomiso de datos es interesante. En nuestra opinión, el derecho de los trabajadores a negociar es congruente con el objetivo del Artículo 20 de evitar el encierro.

Ola Drivers contra Ola
(Solicitudes Generales de Transparencia)

La sentencia en el caso contra Ola Cabs resultó en algunas victorias importantes. A Ola se le ordenó revelar:

En el caso de un solicitante, el tribunal decidió que la decisión de hacer deducciones de las ganancias del conductor equivalía a una decisión automatizada sin intervención humana. Creemos que esta es la primera vez que una decisión algorítmica se califica como una decisión automatizada en el sentido del art. 22 GDPR por un tribunal europeo.

Se ordenó a Ola que proporcionara información sobre las elecciones realizadas, los datos utilizados y los supuestos en base a los cuales se tomó la decisión automatizada, de manera transparente y verificable. También se ordenó a Ola que comunique los principales criterios de evaluación y su papel en la decisión automatizada, para que los conductores puedan comprender el fundamento de las decisiones y comprobar la corrección y legalidad del tratamiento de datos.

1) Datos de calificación, en forma anónima, en la medida en que estos datos no estuvieran disponibles a través de la aplicación Ola.
2) Datos personales de los solicitantes que se usaron para generar 'puntuaciones de probabilidad de fraude' y 'perfiles de ganancias' que se mantuvieron en cada conductor.
3) Datos personales de los solicitantes que se utilizaron en el sistema de vigilancia Guardian de Ola para identificar lo que Ola describe como 'actividad de viaje irregular'.

Ola driers v. Ola

Uber Drivers v. Uber II

Conductores de Uber v. Uber II

(Transparencia en la toma de decisiones automatizada)

En el caso del grupo de conductores que se presentó el 20 de julio de 2020, el tribunal rechazó la alegación de que la decisión de rescindir la relación laboral de los conductores se basó únicamente en la toma de decisiones automatizada según el artículo 22 del RGPD. A falta de pruebas en contrario, el tribunal aceptó el relato de Uber sobre sus procedimientos internos y concluyó que hubo una intervención humana significativa en cada uno de estos casos.

Sin embargo, el juicio también produjo una victoria significativa. Con respecto a dos de los solicitantes, el tribunal consideró que Uber no había aclarado qué acciones fraudulentas específicas resultaron en la desactivación de sus cuentas. Según la información proporcionada por Uber, estos solicitantes no pudieron verificar qué datos personales utilizó Uber en el proceso automatizado de toma de decisiones que condujo a la decisión de rescindir su empleo. Como resultado, la decisión de desactivar sus cuentas no fue lo suficientemente transparente. Por lo tanto, se ordenó a Uber que proporcionara acceso a los datos personales utilizados para la decisión de desactivar sus cuentas, de tal manera que los solicitantes pudieran verificar la corrección y legalidad del procesamiento de datos.

Para los seis conductores que presentaron denuncias el 26 de octubre de 2020, Uber no defendió estos casos y se dictó una sentencia en rebeldía a favor de los conductores el 24 de febrero de 2021. Se ordenó a Uber reintegrar a los conductores y pagar una compensación por la pérdida de ingresos. así como daños y perjuicios. Transport for London revocó las licencias de muchos de los conductores de Londres debido a las acusaciones de actividad fraudulenta de Uber. Apoyamos a todos los conductores que apelaron la revocación en el Tribunal de Primera Instancia de la Ciudad de Londres y todos ellos vieron revocada la decisión de revocación. Vea más sobre esto en la sección de Apelaciones de Londres de este informe.

Apelaciones

Actualmente, las tres sentencias de los casos Uber y Ola están pendientes ante el Tribunal de Apelaciones de Ámsterdam. En sus decisiones del 11 de marzo de 2020, el Tribunal de Distrito de Ámsterdam dictaminó que los conductores eran admisibles. El recurso de Uber y Ola por abuso de derecho fue rechazado. Además, se concedieron varias solicitudes de los conductores, como la solicitud de acceso sobre el uso de los sistemas de vigilancia de conductores y los datos utilizados como base del despido improcedente de dos conductores.

No obstante, gran parte de las solicitudes de acceso fueron rechazadas. Creemos que, en varios casos, el tribunal aplicó una interpretación demasiado limitada o incorrecta del principio de transparencia y de los derechos de los interesados. El tribunal también pareció tener problemas con la complejidad técnica y legal del procesamiento de datos por parte de Uber.

En apelación, los conductores plantean, entre otras, las siguientes objeciones al fallo del Tribunal de Distrito:

1) Es incorrecta la consideración de que los choferes deberían haber concretado con mayor precisión sus solicitudes;
2) Las etiquetas, informes, calificaciones y datos de GPS se encuentran dentro del alcance del derecho de acceso.
3) Uber y Ola no pueden negar el acceso invocando los 'derechos y libertades' de los pasajeros.
4) El Tribunal de Distrito no reconoció que las decisiones de Uber relativas a la desactivación de conductores calificadas como decisiones automatizadas en el sentido del art. 22 GDPR, ya que estas decisiones afectaron considerablemente a los conductores y Uber no mostró evidencia de interferencia humana significativa.

Appeals

Casos de apelación de licencias de Londres

Una avalancha de quejas

En el último año hemos apoyado a más de una docena de conductores en sus apelaciones en los tribunales contra decisiones tomadas por Transport for London (TfL) de revocar las licencias de conducir después de las denuncias de fraude basado en aplicaciones de operadores como Uber. TfL es responsable de otorgar licencias y regular el comercio de taxis y alquiler privado en un mercado de dos niveles, regulado por separado bajo diferentes leyes. TfL es responsable de evaluar la aptitud de los conductores y operadores para obtener la licencia y los operadores deben remitir todos los despidos de conductores al regulador para una evaluación de aptitud.

Las solicitudes de libertad de información han revelado que TfL recibió 10,169 notificaciones de despidos de conductores de operadores de alquiler privado con licencia en Londres durante el período de doce meses que finalizó el 31 de agosto de 2021. Esto representa un aumento del 123% con respecto al mismo período del año anterior. Para el período, TfL informó que había un total de 105 000 conductores de alquiler privado con licencia y 78 000 vehículos de alquiler privado con licencia disponibles. Dado que las licencias de conducir tienen un plazo de tres años en comparación con un año para la licencia de vehículos, esta última normalmente se considera un indicador más confiable del número real de conductores que trabajan disponibles para el período. Pero durante la duración de la pandemia, la demanda de servicios de viajes compartidos se redujo drásticamente y Uber informó que las reservas se redujeron en un 50% en promedio durante el año.

Es probable que la mayoría de los informes provinieran de Uber como el mayor operador privado de alquiler de Londres. Esto podría equivaler a hasta el 20% de la fuerza laboral disponible para el período de despido. Sugerimos dados los volúmenes y la falta de una participación humana significativa en la decisión de despido, muchas de estas decisiones fueron tomadas y ejecutadas por medios automatizados y semiautomáticos.

London Licensing Appeal Cases

Estos despidos a menudo se deben a problemas asociados con el sistema Real Time ID (RTID) de Uber: reconocimiento facial y controles de geolocalización . (como se discutió en los casos de Pa Edrissa Manjang y Aweso Mowlana), que determinan erróneamente que los conductores están compartiendo cuentas, si se descubre que varios dispositivos vinculados con la cuenta del conductor están 'accediendo' desde ubicaciones dispares aproximadamente al mismo tiempo. En otro caso que examinamos , pudimos recuperar un conjunto de datos adicional llamado datos del controlador en línea/fuera de línea, que "proporciona datos sobre cuándo el controlador se conectó y se desconectó, también conocido como 'estado del controlador'". Los diferentes estados en los que puede estar el conductor son Abierto, En ruta, En viaje y Fuera de línea. Luego comparamos los datos de ubicación de los dos dispositivos con los datos en línea/fuera de línea del controlador. Esto también reveló que solo el dispositivo que llevaba el conductor se había utilizado para conectarse.

Presiones regulatorias

Estos casos apuntan a problemas importantes con la forma en que se define el fraude laboral dentro de las políticas de la empresa de plataformas. Como hemos discutido anteriormente en el informe, está claro que estos casos no se refieren a actos de fraude criminal, sino a fallas en el cumplimiento de métricas de desempeño establecidas de manera opaca. En consecuencia, la reversión exitosa de estas decisiones de revocación ha dependido principalmente del incumplimiento de Uber con nuestros DSAR y de proporcionar cualquier evidencia de fraude o mala conducta real. Esto se ha destacado muchas veces en los tribunales, donde se ha señalado que en ningún momento de estos casos ha habido un riesgo para el público, y que TfL ha procedido directamente a la revocación, sin ninguna investigación sobre los hechos reales.

Es en este nivel de cumplimiento normativo que vemos una falta de escrutinio grave, que no solo perpetúa la automatización puesta en marcha por las plataformas de conciertos, sino que también la fomenta. Existe evidencia de que el regulador también ha estado exigiendo detección e informes antifraude, lo que se presiona a los operadores a hacer a riesgo de perder su propia licencia. Los documentos judiciales de la apelación de licencia de Uber de 2020 revelan que TfL revisó la Evaluación de impacto de protección de datos (DPIA) para el sistema RTID en marzo de 2020. Nuestra solicitud de libertad de información a TfL para que nos proporcione una copia de la DPIA fue rechazada por la necesidad de TfL manteniendo la confidencialidad con Uber como entidad regulada.

En 2015, TfL emitió una propuesta de consulta para: “ Hacer que sea un requisito que las plataformas basadas en aplicaciones tengan, y puedan demostrar durante los controles previos a la licencia y las inspecciones de cumplimiento, medidas de seguridad adecuadas para evitar que la aplicación sea utilizada por una persona que no sea el conductor con licencia al que están asignando las reservas”. TfL continuó especificando la solución tecnológica que esperaban ver: “Nuestra preferencia es que los operadores diseñen un sistema en el que, mientras está disponible para trabajar para un operador, el conductor debe volver a iniciar sesión periódicamente en su aplicación de reservas, por ejemplo, a través de reconocimiento facial o tecnología de huellas dactilares, minimizando así la posibilidad de que la cuenta sea utilizada por otro conductor”.

La evaluación de impacto integrada regulatoria independiente no logró identificar la escala del problema que TfL buscaba abordar y señaló que "actualmente hay una ausencia de datos de toda la industria sobre el nivel de seguridad actualmente en funcionamiento". Aún más preocupante es que la evaluación de impacto no reconoció ningún impacto en los conductores por la imposición de tecnología de vigilancia invasiva en el lugar de trabajo, aunque sí reconoció el impacto en el costo para los operadores y los beneficios menores a moderados para los pasajeros.

Al final, no se presentó ninguna propuesta, pero TfL se comprometió a "explorar opciones para garantizar que, cuando los operadores utilicen plataformas basadas en aplicaciones, estas sean seguras y no se puedan utilizar de forma fraudulenta". Sin embargo, a pesar de la ausencia de un estándar regulatorio, TfL ha fomentado la introducción de dichos estándares como condición para otorgar licencias a Uber, Free Now y posiblemente a otros. En efecto, TfL ha establecido un estándar regulatorio de facto y ha catalizado una carrera armamentista de vigilancia en la economía informal, pero lo ha hecho sin el escrutinio público adecuado de un proceso regulatorio.

“Es extremadamente preocupante que los trabajadores de la economía colaborativa se arriesguen a que se restrinja tanto su derecho a acceder a sus datos en el trabajo y que se eliminen las protecciones frente a decisiones automatizadas, como la elaboración de perfiles de rendimiento, la asignación del trabajo e incluso los despidos automáticos.

Este abuso sirve para subrayar por qué tenemos que tener un nuevo acuerdo para todos los trabajadores que brinde un estatus de empleo único para todos los trabajadores, excepto para los que realmente trabajan por cuenta propia, con plenos derechos y protecciones desde el primer día.

Claramente, las empresas aprovecharán al máximo las oportunidades que les brinda el falso trabajo por cuenta propia para abusar y explotar su fuerza laboral, a menos que esa oportunidad sea cerrada por la legislación para brindar derechos laborales fundamentales y protecciones para todos”.

Andy McDonald, parlamentario

Conclusión

Conclusion

A pesar de los avances recientes en los tribunales de varias jurisdicciones, los problemas fundamentales de la precariedad en la economía de los conciertos continúan. Incluso donde se han afirmado los derechos de los trabajadores, como en el Reino Unido, el gobierno no ha hecho cumplir los derechos de forma más amplia. Esto deja a los trabajadores con pocas alternativas al litigio, si tienen los recursos para hacerlo. El estatus de trabajador como clasificación del peldaño inferior todavía se queda corto para los trabajadores temporales porque no ofrece protección contra el despido improcedente. El hecho de no pagar el tiempo de espera como tiempo de trabajo permite que las plataformas aprovechen la inmediatez de la disponibilidad para aumentar el tiempo de respuesta del cliente y reducir las ganancias de los trabajadores.

Todos estos problemas se ven agravados por el hecho de que las plataformas no respetan los derechos digitales de los trabajadores. Nuestro informe muestra niveles lamentablemente inadecuados de transparencia sobre el alcance de la gestión algorítmica y la toma de decisiones automatizada a la que están sujetos los trabajadores en la economía de conciertos. A los trabajadores se les niega rotundamente el acceso a sus datos personales, se les frustra su solicitud o simplemente se les da una devolución incompleta.

Aquí también encontramos que las leyes se aplican débilmente y el alcance de la protección es insuficiente. Las protecciones del artículo 22 contra la toma de decisiones automatizadas injustas brindan opciones de escape para los empleadores que pueden reclamar una revisión humana superficial para sellar decisiones injustas tomadas por máquinas. La proliferación de perfiles, generados por el aprendizaje automático, puede dificultar enormemente que los trabajadores descubran, comprendan o prueben la imparcialidad de la toma de decisiones automatizada en relación con los fundamentos del lugar de trabajo, como la asignación del trabajo, la gestión del desempeño y las medidas disciplinarias. Incluso cuando se realizan divulgaciones, al principio solo podemos obtener una visión unidimensional del procesamiento de datos personales, mientras que para comprender realmente la gestión algorítmica en el trabajo, debemos comprender la interacción entre las funciones de gestión algorítmica separadas.

La nueva directiva de la UE propuesta ha hecho grandes avances en la identificación de nuevas protecciones importantes para los trabajadores de plataformas de la economía colaborativa en Europa, como la presunción de empleo y protecciones mejoradas contra la toma de decisiones automatizada injusta. Pero la clasificación errónea continuará desafiando este proceso si los empleadores deshonestos continúan ocultando verdaderas decisiones de gestión del desempeño y vigilancia intensiva detrás de la etiqueta de prevención antifraude.

Se necesita tiempo y dinero para acceder a la reparación en los tribunales, y los trabajadores precarios necesitan soluciones más rápidas para que sean efectivas. Es por eso que los trabajadores deben mejorar su poder de negociación a través de la organización y la acción colectiva. Por lo tanto, la capacidad de los trabajadores para acceder y agrupar sus datos es una fuerza poderosa en la organización que aún no se ha aprovechado adecuadamente. Cuando los trabajadores puedan controlar mejor sus datos, podrán controlar mejor su destino en el trabajo.

Este informe fue escrito por Cansu Safak y James Farrar.

Agradecemos a Anton Ekker por sus contribuciones y a App Drivers and Couriers Union (ADCU), Bama Athreya y Yaseen Aslam por su continuo apoyo.

Este trabajo fue posible gracias al apoyo de la Fundación Mozilla, Digital Freedom Fund
y Fundaciones Sociedad Abierta.

Ilustraciones de Avantika Mohapatra.

Publicado 13 diciembre 2021

Si tiene alguna pregunta o desea ponerse en contacto, envíe un correo electrónico a: office@workerinfoexchange.org

Acknowledgments

Tu información,
tu poder.

Tu información,
tu poder.

Gestionado por bot: explotación basada en datos en la economía de los conciertos

Introducción

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

Estudio de caso de vigilancia I: Fallo en el reconocimiento facial

Estudio de caso de vigilancia II: Verificaciones de geolocalización

Estudio de caso: control algorítmico

Expansión de la infraestructura de aplicación de la ley

Estudio de caso: intercambio de inteligencia con las fuerzas del orden

Parte II: Ejercicio de los derechos sobre los datos en el trabajo: acceso

Estudios de caso: DSAR individuales

Respuestas circulares e inútiles

Intercambio de datos incremental e inconsistente

Ofuscación y resistencia

Estudios de caso: Respuestas de la plataforma a

Solicitudes por lotes por intercambio de información del trabajador

Deliveroo

Libre ahora

Amazon Flex

Solo come

Ola

Uber

Parte III: Ejercicio de los derechos sobre los datos en el trabajo: litigio

Casos de Amsterdam

Conductores de Uber v. Uber I
(Solicitudes Generales de Transparencia)

Ola Drivers contra Ola
(Solicitudes Generales de Transparencia)

Conductores de Uber v. Uber II

(Transparencia en la toma de decisiones automatizada)

Apelaciones

Casos de apelación de licencias de Londres

Una avalancha de quejas

Conclusión

Gestionado por bot: explotación basada en datos en la economía de los conciertos

Introducción

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

Parte I: Clasificación errónea 2.0 Controlado por algoritmo

Estudio de caso de vigilancia I: Fallo en el reconocimiento facial

Estudio de caso de vigilancia II: Verificaciones de geolocalización

Estudio de caso: control algorítmico

Expansión de la infraestructura de aplicación de la ley

Estudio de caso: intercambio de inteligencia con las fuerzas del orden

Parte II: Ejercicio de los derechos sobre los datos en el trabajo: acceso

Estudios de caso: DSAR individuales

Respuestas circulares e inútiles

Intercambio de datos incremental e inconsistente

Ofuscación y resistencia

Estudios de caso: Respuestas de la plataforma a

Solicitudes por lotes por intercambio de información del trabajador

Deliveroo

Libre ahora

Amazon Flex

Solo come

Ola

Uber

Parte III: Ejercicio de los derechos sobre los datos en el trabajo: litigio

​

Casos de Amsterdam

Conductores de Uber v. Uber I (Solicitudes Generales de Transparencia)

Ola Drivers contra Ola (Solicitudes Generales de Transparencia)

Conductores de Uber v. Uber II

(Transparencia en la toma de decisiones automatizada)

Apelaciones

Casos de apelación de licencias de Londres

​

Una avalancha de quejas

Conclusión

Conductores de Uber v. Uber I
(Solicitudes Generales de Transparencia)

Ola Drivers contra Ola
(Solicitudes Generales de Transparencia)