Profilazione illecita dei dipendenti: cosa possiamo imparare dalla sanzione record a H&M. La società di moda H&M ha ricevuto, il 1° ottobre 2020, una sanzione dall’Autorità Garante di Amburgo (Germania) di oltre 35 milioni di euro, la seconda più alta sinora comminata nei confronti di una società europea.
L’Autorità Garante di Amburgo si è pronunciata affermando che si tratta di un riconoscimento senza precedenti di responsabilità aziendale determinato da una violazione in materia di protezione dei dati.
Da quanto verificato dall’Autorità, la sede di H&M a Norimberga, all’incirca dal 2014, ha iniziato a raccogliere dati personali dei propri dipendenti al fine di creare profili accurati da utilizzare successivamente nelle valutazioni relative al loro percorso lavorativo in azienda.
La società, in particolare, registrava informazioni su dettagli della vita privata dei dipendenti: dopo periodi di assenza, dovuti a ragioni di malattia, oppure dopo periodi di vacanze, il dipendente veniva invitato dal suo referente a partecipare a una conversazione di “Bentornato” (chiamate dall’azienda “Welcome Back Talks”). In queste conversazioni erano acquisite e archiviate informazioni dettagliate che riguardavano la vita privata del dipendente, il suo stato di salute e informazioni sulle esperienze vissute durante il periodo di assenza. In alcuni casi, inoltre, i referenti sono riusciti ad acquisire, tramite conversazioni informali tenute con i dipendenti, informazioni relative a problemi familiari o alle convinzioni religiose.
L’Autorità è venuta a conoscenza della raccolta e del trattamento di tali informazioni a causa di un incidente informatico, che ha comportato l’accesso da parte di tutti i dipendenti dell’azienda al database contenente i profili dei lavoratori. La violazione si è verificata ad ottobre del 2019.
Durante l’istruttoria aperta dall’Autorità Garante di Amburgo, diversi testimoni hanno confermato le finalità per le quali le informazioni venivano utilizzate.
Johannes Caspar, componente dell’Autorità Garante di Amburgo, ha osservato che il caso documenta un grave disinteresse per la protezione dei dati dei lavoratori dipendenti della sede di H&M a Norimberga. L’importo della sanzione è stato determinato dall’Autorità in considerazione della gravità delle violazioni commesse e al fine di dissuadere le aziende dal violare la privacy dei propri dipendenti.
Il caso di H&M ci dimostra, ancora una volta, che la protezione dei dati personali non deve essere sottovalutata, soprattutto quando il trattamento riguarda i lavoratori. La sanzione irrogata dall’Autorità Garante di Amburgo rinforza la necessità per i titolari del trattamento di stabilire processi aziendali che siano in linea con i principi generali del GDPR, adottando non solo le misure di sicurezza adeguate per evitare le violazioni dei dati personali ma anche per minimizzare la raccolta e il trattamento dei soli dati necessari per le finalità (lecite) perseguite.
