Il 1° ottobre 2020, la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (l’“Autorità”) ha comminato una sanzione pari a circa 35 milioni di euro nei confronti della nota società di moda H&M Hennes & Mauritz Online Shop A.B. & Co KG (la “Società” o “H&M”) per aver monitorato e profilato diverse centinaia di dipendenti, dando luogo quindi a una grave violazione dei diritti dei dipendenti stessi.

I FATTI CONTESTATI  

A partire dal 2014, la Società ha avviato un’operazione di raccolta di informazioni relative alla vita privata dei dipendenti, finalizzata alla creazione di profili personali ben dettagliati da utilizzare o tenere in considerazione sia per la valutazione della performance lavorativa dei dipendenti, sia nell’ambito di decisioni riguardanti il loro impiego.

La Società ha ottenuto tali informazioni attraverso le cd. “Welcome back talks” con i dipendenti, organizzate dalla stessa a seguito di vacanze o assenze per motivi di salute in occasione delle quali i dipendenti erano chiamati a condividere con i propri referenti aziendali dettagli della loro vita privata, come ad esempio racconti delle vacanze e delle esperienze ivi vissute o informazioni inerenti al proprio stato di salute e quindi eventuali sintomi e diagnosi di malattie sofferte.

Oltre alle predette informazioni, la Società, attraverso conversazioni di tipo informale – occorse persino durante “pause sigarette” – è riuscita altresì ad acquisire informazioni dettagliate relative sia a eventuali problematiche familiari dei dipendenti, sia agli orientamenti religiosi degli stessi.

Così, le informazioni ottenute attraverso le attività di monitoraggio e conseguente profilazione hanno contribuito, nel tempo, alla creazione profili dettagliati e aggiornati, archiviati digitalmente e resi accessibili ad oltre 50 managers della Società. Tale prassi ha consentito a H&M di avere a disposizione un ricco database, accessibile a tutti i manager, dal quale poter attingere in sede di valutazione della prestazione lavorativa del dipendente o comunque per finalità relative al suo impiego.

Tuttavia, a causa di un incidente informatico verificatosi ad ottobre del 2019, tutto il personale dell’azienda ha avuto accesso per varie ore al predetto database, venendo dunque a conoscenza in maniera del tutto accidentale – e a circa 5 anni dall’inizio delle attività di raccolta – delle informazioni acquisite in modo illecito dalla Società.

A seguito dello scandalo scoppiato ad inizio anno 2020, l’Autorità ha tempestivamente ordinato il sequestro del database per procedere con le opportune verifiche. In tale circostanza, si è scoperto che il database della Società, negli anni, aveva raggiunto circa 60 giga di informazioni collegate ai dipendenti (riguardanti aspetti molto personali, ad esempio relativi alla salute e alla vita privata dei dipendenti) e utilizzate per finalità di profilazione di varia natura.

LE SANZIONI

Nell’ambito dell’istruttoria condotta dall’Autorità – che ha confermato, anche con l’ausilio di alcuni testimoni, l’effettiva attività di monitoraggio e profilazione condotta dalla Società sui propri dipendenti – si è resa necessaria l’adozione di misure correttive tra cui, a titolo esemplificativo, lo sviluppo di una consapevolezza aziendale sull’importanza della protezione dei dati personali nel contesto lavorativo, attraverso (inter alia):

  • la nomina di un Data Protection Coordinator;
  • la previsione di aggiornamenti mensili sullo stato della protezione dei dati nel contesto aziendale;
  • l’incremento della protezione dei c.d. whistleblower; nonché
  • la previsione di meccanismi concreti che permettessero agli interessati di esercitare i propri diritti e, in particolare, il diritto di accesso.

Oltre alle misure correttive di cui sopra, l’Autorità ha disposto, in considerazione delle numerose violazioni delle norme del Regolamento (UE) 2016/679 sulla protezione dei dati personali (“GDPR”), il pagamento di una sanzione pari a circa 35 milioni di euro, considerata dalla stessa adeguata e idonea a punire la condotta illecita della Società nonostante l’impegno di quest’ultima nel cercare di porre rimedio a quanto accaduto.

Tale importo è stato calcolato tenendo in considerazione il fatto che la Società ha posto in essere trattamenti di dati personali in violazione di tutti i principi di cui all’art. 5 del GDPR (ovvero dei principi di liceità, correttezza e trasparenza, minimizzazione dei dati, limitazione delle finalità, pertinenza e non eccedenza), nonché dei diritti dell’interessato di cui all’art. 13 del GDPR, ma ha altresì posto in essere i trattamenti in violazione di quasi la totalità degli obblighi imposti dal Titolo IV del GDPR (come ad esempio l’effettuazione del Data Protection Impact Assessment, adempimento richiesto dal GDPR nel caso in cui i trattamenti di dati personali possano comportare una profilazione degli interessati).

CONCLUSIONI

La sanzione irrogata nei confronti di H&M – tra le più elevate al momento in Europa – sembrerebbe avere lo scopo di dissuadere con forza le aziende dal porre in essere qualsiasi trattamento di dati personali o condotta che possa violare o mettere a rischio la privacy dei propri dipendenti.

Tale monito si rivolge non solo a quelle aziende che pongono in maniera consapevole attività di trattamento di dati personali in violazione dei principi e delle regole dettate dalla normativa vigente, ma anche a quelle aziende, enti o organizzazioni (sia pubbliche che private) che spesso si ritrovano inconsapevolmente  a violare la normativa a causa di una scarsa cultura aziendale in materia di protezione dei dati personali trattati, che le ha portate a non adottare i necessari presidi di sicurezza di tipo legale, organizzativo, informatico e di governance.

Occorre ricordare, inoltre, che, ai sensi dell’art. 82 del GDPR, è riconosciuta agli interessati (in questo caso, ai dipendenti e ai loro familiari) la possibilità di agire in giudizio contro la Società al fine di ottenere il risarcimento dei danni (sia materiali che immateriali) derivanti dalla violazione del GDPR stesso. Nel caso di specie, il danno immateriale potrebbe esser stato causato infatti dalla particolare tipologia dei dati personali trattati (dati attinenti alla sfera personale del dipendente, dati relativi alla salute, dati relativi agli orientamenti religiosi, etc.) il cui trattamento è generalmente vietato ai sensi dell’art. 9 del GDPR – se non in presenza di presupposti specifici e nel rispetto di determinate condizioni previste dalla normativa stessa –, nonché dal rapporto di subordinazione intercorrente con il titolare del trattamento (ovvero la Società).