Non così alla moda: H&M, noto brand del fashion, riceve una sanzione per trattamento illegittimo di dati personali dei dipendenti

Il Prof. Dr. Johannes Caspar, Commissario per la protezione dei dati e la libertà d'informazione di Amburgo, ha commentato: "Questo caso documenta un grave disinteresse per la protezione dei dati dei dipendenti presso la sede di H&M a Norimberga. L'importo dell'ammenda inflitta è quindi adeguato ed efficace per dissuadere le aziende dal violare la privacy dei propri dipendenti. Gli sforzi della direzione per compensare le persone colpite in loco e per ripristinare la fiducia nell'azienda come datore di lavoro devono essere visti espressamente in modo positivo. Le informazioni trasparenti fornite dai responsabili e la garanzia di un risarcimento economico dimostrano certamente l'intenzione di dare ai dipendenti il rispetto e l'apprezzamento che meritano come lavoratori dipendenti nel loro lavoro quotidiano per la loro azienda".

Il caso, che ha avuto vasta eco sui media tedeschi ed anche internazionali, riguarda il trattamento, operato mediante raccolta illegittima, di dati personali di diverse centinaia di dipendenti dell'H&M Service Center di Norimberga da parte della sua direzione.

Come indicato nel citato comunicato stampa, sin dal 2014, i dati personali e relativi alla vita privata di un numero consistente di dipendenti addetti al Service Center H&M di Norimberga sono stati raccolti e memorizzati in maniera permanente sui driver di rete della società. In occasione del rientro a lavoro dopo assenze per ferie e malattia ed anche per brevi periodi, i responsabili del Service Center hanno condotto cd. "Welcome Back Talks" con i dipendenti, colloqui che venivano registrati. Ancora, e attraverso colloqui individuali o addirittura attraverso chiacchiere occasionali, i supervisori/team leaders del Service Center hanno acquisito un'ampia conoscenza della vita privata (dettagli innocui come anche problematiche familiari, problemi di salute e credenze religiose) dei loro dipendenti. Alcuni dati ed informazioni raccolti sono stati registrati, memorizzati digitalmente e resi in parte leggibili da parte di circa 50 dirigenti dell'azienda. Le registrazioni sono state talvolta effettuate con un alto livello di dettaglio e per estesi periodi temporali, documentando lo sviluppo delle tematiche apprese. Oltre ad una meticolosa valutazione delle prestazioni lavorative individuali, i dati così raccolti sono stati utilizzati, tra l'altro, per ottenere un profilo dettagliato dei dipendenti al fine di assumere provvedimenti e decisioni riguardanti il rapporto di lavoro. La combinazione della raccolta di dettagli sulla loro vita privata e la relativa registrazione ha portato a “una erosione particolarmente intensa dei diritti civili dei dipendenti”.

Già nell’ottobre 2019, il fatto era stato reso noto in occasione di un errore di configurazione dei sistemi di H&M a causa del quale i dati erano stati resi accessibili a tutta l'azienda per diverse ore. Dopo averne appreso attraverso la stampa, il Commissario per la protezione dei dati e la libertà d'informazione di Amburgo ha dapprima ordinato il "congelamento" del contenuto dell'unità di rete interessata e poi ne ha richiesto la consegna ricevendo dall’azienda una raccolta di circa 60 gigabyte di dati per la propria valutazione Gli interrogatori condotti su numerosi testimoni hanno confermato le pratiche documentate dopo aver analizzato i dati.

La scoperta delle gravi violazioni da parte del Service Center di Norimberga ha spinto H&M ad adottare varie misure correttive e a presentare al Commissario per la protezione dei dati e la libertà d'informazione di Amburgo è stato prospettato come la protezione dei dati dovrà essere attuata d'ora in poi nel sito di Norimberga. Per venire a patti con gli eventi passati, la direzione aziendale non solo si è scusata espressamente con le persone interessate, ma ha anche seguito il suggerimento di pagare ai dipendenti coinvolti (per lo meno quelli già in forze nel maggio 2018, momento a decorrere dal quale il GDPR è divenuto definitivamente applicabile) un considerevole risarcimento. Si tratta di un riconoscimento senza precedenti della responsabilità aziendale a seguito di un incidente che ha riguardato la protezione dei dati.

L’eclatante caso di H&M spinge a riflettere sulla rilevanza del trattamento dei dati personali dei dipendenti secondo le prescrizioni del GDPR e le indicazioni, attraverso i propri provvedimenti, delle Autorità Garanti dei singoli Paesi. La sanzione – ingentissima – irrogata ad H&M deve fungere da deterrente e da monito per evitare che le violazioni vengano perpetrate ai danni dei dipendenti “nel loro quotidiano lavoro per la loro azienda”.

Nella pratica quotidiana delle aziende i temi propri della privacy & data protection e quelli propri della gestione delle risorse umane sono strettamente connessi. La rivoluzione culturale introdotta dal Regolamento 679/2016 (“GDPR”) ha determinato, da parte datoriale, la necessità di adottare un approccio consapevole, proattivo ed effettivo, che bilancia le esigenze aziendali con la tutela dei dipendenti in ambito data protection. Tale bilanciamento di interessi non può venire meno neanche a causa della pandemia Covid-19 e a fronte delle nuove modalità di svolgimento della prestazione di lavoro.

L’attenzione per la protezione dei dati all’interno della propria organizzazione, a partire dall’assessment e dal data mapping, consente al datore di lavoro di raccogliere importanti risultati in termini di valore e reputazione e prevenire il rischio di sanzioni come quella irrogata ad H&M.