Maxi sanzione per H&M: gravi violazioni nella privacy dei dipendenti

L’autorità di Amburgo sanziona la nota catena low cost per aver reiteratamente monitorato ai fini di profilazione i propri dipendenti in evidente violazione della normativa sulla privacy.

L’ammontare della sanzione

L’Autorità per la protezione dei dati personali di Amburgo (The Hamburg Commissioner for Data Protection and Freedom of Information) ha comminato una sanzione record di oltre 35 milioni di euro nei confronti del colosso della moda H&M, a seguito dell’accertamento di una pluralità di reiterate violazioni perpetrate nei riguardi di diverse centinaia di dipendenti del centro servizi H&M di Norimberga.

A seguito delle verifiche poste in essere dalla competente autorità – successive a quanto trapelato nell’ottobre 2019 a causa di un errore di configurazione che aveva reso accessibili a tutta l’azienda una pluralità di dati – si accertava che, almeno a far data dal 2014, alcuni dei dipendenti operanti presso il summenzionato luogo di lavoro fossero stati sottoposti ad un costante monitoraggio da parte della direzione del centro stesso. Tale monitoraggio veniva perpetrato tramite dei colloqui (c.d. “welcome back talk”) – successivi a periodi (anche brevi) di assenza del dipendente per ragioni malattia o ferie – posti in essere con l’obiettivo ultimo di profilare il lavoratore, tanto da arrivare a ricavare informazioni circa esperienze concrete dei dipendenti in vacanza, ma anche i sintomi di malattia e le diagnosi.

Le risultanze di tali colloqui, combinate ad una meticolosa valutazione delle prestazioni lavorative individuali, contribuivano a stilare un profilo estremamente dettagliato del dipendente. Profilo che, in alcune circostanze, era sottoposto a conservazione anche per lunghi lassi di tempo, risultando consultabile da una massimo di cinquanta dirigenti aziendali.

Le misure adottate dal titolare

Una volta emerse tali gravissime violazioni, H&M, al fin di limitare parzialmente i danni conseguenti, ha deciso di adottare una serie di misure correttive che, oltre a prevedere un radicale cambio di impostazione dal punto di vista della protezione dei dati personali all’interno del centro coinvolto, hanno altresì comportato (volontariamente) il pagamento di un ingente indennizzo nei confronti dei dipendenti interessati. Tutte misure che non hanno comunque scongiurato l’enorme sanzione di 35 milioni di euro comminata dall’Autorità di Amburgo.

La pluralità delle violazioni

La vicenda in esame costituisce certamente un “caso limite” in forza della pluralità di violazioni commesse dal titolare (tali da infrangere più di un principio cardine in materia di trattamento dei dati personali) e dell’ulteriore circostanza che le stesse fossero state poste in essere in un ampio lasso di tempo. Ad ogni modo, risulta certamente un caso esemplificativo della combinazione potenzialmente “esplosiva” (almeno da un punto di vista sanzionatorio) tra violazioni in materia di data protection e violazioni in materia di diritti dei lavoratori. Questi ultimi, occorre ricordarlo, sono considerati alla stregua di una categoria debole di soggetti interessati, con tutte le ovvie conseguenze che ne derivano da un punto di vista di maggiore attenzione in materia di trattamento dati.

Violare la privacy dei dipendenti al fine di monitorarne la prestazione lavorativa costituisce chiaramente una condotta potenzialmente passabile di una sanzione esemplare e, in più, potenzialmente foriera di enormi danni dal punto di vista reputazionale. Tale fondamentale assunto dovrebbe essere sempre tenuto in considerazione da parte dei datori di lavoro (titolari del trattamento dati dei propri dipendenti), anche, ad esempio, con riferimento all’installazione di un banale impianto di videosorveglianza.

Avv. Pietro Maria Mascolo