The Hamburg Data Protection and Freedom of Information Commission has severely sanctioned the German headquarters of the Swedish low-cost clothing giant H&M in connection with a series of unlawful personal data processing operations carried out towards the employees of the Nuremberg service center that were detected as a result of a breach suffered by the company’s IT systems in 2019.
IL FATTO:
Con il provvedimento del 2 ottobre 2020, l’Autorità di controllo del Länder coincidente con la città-stato anseatica ha concluso il proprio processo sanzionatorio a carico di H&M Hennes & Mauritz Online Shop A.B. & Co KG (di seguito “H&M” o la Società”) con l’emissione di una sanzione pecuniaria del valore di 35.258.707,95 euro, la seconda più elevata mai registrata dal 25 maggio 2018. Il comunicato stampa emesso direttamente dalla Commissione è disponibile qui.
Il branch tedesco della società operante nel fashion retail era finito nel mirino dell’Autorità locale tedesca nell’ottobre del 2019, dopo che, a seguito di un errore tecnico di configurazione, un database contente circa 60 gigabyte di dati personali, anche particolari, dei dipendenti del centro servizi di Norimberga era divenuto accessibile all’intera società, destando notevole scalpore a livello mediatico e causando l’immediato intervento dell’HmbBfDI. Il breach, tempestivamente risolto dalla Società, era stato poi regolarmente notificato all’Autorità di controllo.
Il database era il frutto di una politica di monitoraggio e profilazione dei lavoratori altamente invasiva posta in essere dai manager del centro servizi a partire almeno dal 2014, con il fine di condurre una meticolosa valutazione delle performance individuali anche da porre alla base di valutazioni e decisioni in merito al percorso lavorativo dei dipendenti, il tutto all’oscuro dei diretti interessati.
La prassi prevedeva la sistematica raccolta di ingenti quantità di informazioni sulla vita privata dei dipendenti in occasione di apposite “welcome back talks” fissate al rientro da periodi di assenza (sia per ferie che malattia), o durante altre conversazioni, di carattere del tutto informale, tra i lavoratori ed i propri superiori (ad esempio durante la pausa sigaretta). I dati raccolti venivano impiegati per arricchire ed aggiornare dettagliate schede personali, archiviate digitalmente e consultabili liberamente da oltre 50 manager della Società. Il database consegnato da H&M all’Autorità conteneva anche dati relativi alla salute, alla vita familiare o all’orientamento religioso dei dipendenti, in assenza di qualsivoglia informativa o di una legittima base giuridica del trattamento ed in totale spregio dei principi di minimizzazione, correttezza, proporzionalità e trasparenza.
Il primo ottobre scorso la Società – che ha offerto piena collaborazione all’HmbBfDI sin dal principio della vicenda – ha pubblicato sul proprio sito web un comunicato con cui si è scusata con i dipendenti, assumendosi la piena responsabilità dell’accaduto e indicando alcune delle misure poste in essere per evitare il ripetersi di una simile situazione, in un evento che la stessa Commissione di Amburgo ha descritto come “senza precedenti”.
In aggiunta all’attuazione di un vasto piano d’azione diretto a migliorare la tutela dei dati personali, sia a livello organizzativo che tecnico, H&M ha reso noto che provvederà alla corresponsione di un risarcimento in denaro a tutti gli interessati assunti in epoca successiva al 25 maggio 2018, data di entrata in vigore del Regolamento (UE) 2016/679. Tutti gli elementi sopra descritti sono stati tenuti in debita considerazione ai fini del calcolo della sanzione, che ha comunque raggiunto l’importo record di 35 milioni di euro a causa della gravità delle violazioni rilevate.
PERCHÉ È IMPORTANTE:
La sanzione irrogata dall’Autorità tedesca è rilevante perché contribuisce ad accendere i riflettori sulle pesanti conseguenze cui le aziende vanno incontro in caso di trattamenti illeciti, sottolineando l’importanza di implementare un sistema organizzativo interno che supporti il titolare nel dimostrare la propria conformità alla vigente normativa in materia di dati personali. Da segnalare poi come l’erogazione agli interessati coinvolti di una compensazione economica preventiva, pur non essendo in grado di evitare sanzioni, anche elevate, da parte delle autorità competenti, possa rappresentare un deterrente in vista di eventuali rivalse degli interessati in via giudiziale.