H&M: multa milionaria per violazione privacy dei dipendenti

L’accusa è di aver spiato centinaia dei propri dipendenti nella filiale tedesca di Norimberga. Ora, il colosso svedese della moda Hennes e Mauritz (H&M) è obbligato a pagare una multa di 35,3 milioni di euro per la violazione sulla legge sulla privacy. A stabilirlo il garante della protezione dei dati ad Amburgo. La cifra eccezionale è un monito: «L’importo della multa inflitta è adeguato e adatto a dissuadere le aziende dal violare la privacy dei loro dipendenti», ha spiegato il commissario per la protezione dei dati di Amburgo, Johannes Caspar.

Archiviate informazioni private su famiglia, salute e religione – Il caso era noto già dall’anno scorso. Secondo le autorità tedesche H&M aveva raccolto informazioni sulla vita privata dei dipendenti, registrandole e conservandole, almeno nel caso di alcune persone, fin dal 2014. Ad archiviare dettagli innocui ma anche problematiche famigliari , di salute e credenze religiose erano stati alcuni direttori della filiale di Norimberga. I superiori avevano potuto carpire «un’ampia conoscenza della vita privata dei loro dipendenti attraverso discussioni individuali e di gruppo», come riportano molti media tedeschi.

La violazione era legata alla conservazione dei dati personali dei dipendenti presso il centro servizi; H&M dichiara di aver immediatamente segnalato la violazione all’Autorità per la protezione dei dati di Amburgo e di aver “collaborato pienamente con l’autorità durante il procedimento”.

Questi i fatti: la direzione del locale centro servizi aveva instaurato la prassi di un “colloquio di bentornato” con i dipendenti di rientro dalle ferie o da malattie, anche brevi. Questi incontri avevano l’apparenza di una calorosa accoglienza dopo l’assenza.

In realtà, i colloqui venivano spesso registrati, o comunque, venivano redatte delle “note”, salvate in modo permanente all’interno di un’unità di rete, dove si dava atto dell’esito dei colloqui, registrando condizioni di vita private dei lavoratori, le esperienze di ferie specifiche, sintomi di malattie e diagnosi.

Con la scusa di questi colloqui i superiori acquisivano un’ampia conoscenza della vita privata dei propri dipendenti che spaziava da dettagli innocui a problematiche familiari e credenze religiose; le informazioni raccolte venivano registrate, anche monitorando conversazioni private e discussioni di corridoio, e archiviate digitalmente.

L’archivio era accessibile ad un certo numero di manager, veniva mantenuto aggiornato e consentiva una profilazione individuale dei lavoratori, fornendo una valutazione meticolosa delle prestazioni lavorative individuali.

Le informazioni ottenute dai supervisori davano luogo, dunque, ad un monitoraggio “sistematico e dettagliato” dei dipendenti che veniva poi utilizzato per ricavare un profilo individuale in vista di misure e decisioni riguardanti il rapporto di lavoro.

Il tutto è stato scoperto per caso, a seguito di un errore di configurazione che ha reso accessibili a tutta l’azienda, per alcune ore, le note contenenti tutti i dati raccolti, per un totale di circa 60 gigabyte.

L’azienda, a seguito dell’accertamento e della condanna, ha deciso di implementare la protezione dei dati riguardanti i propri lavoratori con una serie di azioni come la sostituzione del personale a livello manageriale presso il centro servizi di Norimberga, la previsione di corsi aggiuntivi in materia di privacy e diritto del lavoro per i manager, la creazione di un nuovo ruolo con specifiche responsabilità per seguire e migliorare continuamente le operazioni di trattamento dei dati personali, un rafforzamento delle procedure di pulizia dei dati, un miglioramento delle soluzioni di archiviazione conforme dei dati, la formazione e la leadership.

Quello che emerge dalle poche informazioni disponibili in relazione a questa vicenda è la fotografia di un caso da manuale di violazione di ogni più elementare regola in materia di “privacy” nell’ambito della gestione dei rapporti di lavoro.

Si coglie, in particolare, un radicale disprezzo per i principi fondamentali di trasparenza, informativa, legittimità e liceità, da sempre posti alla base della disciplina europea in materia di trattamento dei dati personali, ed una evidente lesione dei diritti di protezione della vita privata e familiare, garantiti dal diritto europeo in coordinamento con la convenzione europea dei diritti dell’uomo (art. 8) e dalla carta dei diritti fondamentali dell’UE.

Il comunicato stampa non chiarisce, sul punto, con quali modalità venisse implementata la profilazione, che è peraltro menzionata: non si comprende se le analisi e i profili dei dipendenti avvenissero in modo automatizzato. Non sappiamo, dunque, se ci sia stata una violazione anche dell’art. 22 del regolamento perché non è chiaro il funzionamento del modello di profilazione adottato.

Tuttavia, giova in ogni caso ricordare che il regolamento europeo afferma il generale divieto di sottoporre le persone fisiche a decisioni basate unicamente su trattamenti automatizzati e richiede la previsione di misure appropriate, comprensive, quantomeno, del “diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”. Si tratta di una frontiera essenziale del c.d. human-in-command approach, finalizzata alla conservazione del controllo umano su quanto svolto dalle macchine.

Interamente violata è, poi, tutta la disciplina giuslavoristica di protezione. Nel caso di specie, ovviamente, rileva il diritto tedesco, di cui non è il caso di dar conto in questa sede.

E’ doveroso ricordare che il principio di “legittimità” del trattamento (art. 5, par. 1, lett. b), Reg. 679/2016/UE) impone il rispetto delle discipline di settore che stabiliscono, come nel caso del lavoro, limiti più stringenti relativi a fattispecie per le quali l’ordinamento interno ritenga giustificata una compressione più intensa dei poteri del titolare del trattamento.

Nel caso del lavoro subordinato è la debolezza contrattuale del lavoratore ad imporre, come noto, una disciplina più rigida, e gli Stati membri hanno ampio margine di manovra.

Non si dimentichi, al riguardo, che l’art. 88 del regolamento, al paragrafo 2, permette agli Stati membri di intervenire con norme che includano “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro”.

La liaison tra l’apparato di protezione generale “privacy” e il diritto del lavoro, nel nostro ordinamento, è espressamente dichiarata dall’art. 113 del d.lgs. 196/2003, che a tutt’oggi dispone che “resta fermo quanto disposto dall’art. 8 della legge 20 maggio 1970, n. 300, nonché dall’articolo 10 del decreto legislativo 10 settembre 2003, n. 276”.
Il caso H&M dimostra che alcuni principi fondamentali, pur considerati ormai alla stregua di acquisizioni generalizzate, divenute parte della cultura giuridica, devono essere costantemente riportati all’attenzione con sempre rinnovata sottolineatura.

a) il divieto di controlli occulti. L’art. 3 dello Statuto dei lavoratori, a questo riguardo dispone che “i nominativi e le mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa debbono essere comunicati ai lavoratori interessati”.

Questa norma (che si applica ai controlli umani, laddove ai controlli “tecnologici” trova applicazione l’art. 4 dello Statuto) è sempre attuale, come dimostrano i fatti di Norimberga: l’apparente calorosa accoglienza sarebbe stata, verosimilmente, molto meno apparente se i lavoratori avessero saputo dell’incarico di controllo assegnato ai colleghi autori dei “colloqui di bentornato”.

b) Il principio della rilevanza ed accessibilità, da parte del datore di lavoro, delle sole informazioni relative a “fatti rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 St. lav.).

L’art. 8 dello Statuto dei lavoratori fornisce il criterio per qualificare la legittimità della base giuridica del trattamento in materia di lavoro ed è perfettamente collimante con quanto affermato dall’opinion 2/2017 del WP Art. 29, a mente della quale il datore di lavoro può indagare informazioni relative al lavoratore solamente se “necessary and relevant to the performance of the job”.

 

Articolo Ripreso da: FederPrivacy.Org