L’autorità regionale garante per la protezione dei dati e per la libertà di informazione di Amburgo (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit – HmbBfDI) ha emesso una sanzione di 35,3 milioni di euro a H&M per una serie di violazioni riguardanti attività di trattamento illecito dei dati dei dipendenti.
Tutto è iniziato a ottobre 2019, quando a causa di un errore di configurazione è stato reso accessibile a tutti gli operatori della società il database dei dipendenti. Il data breach ha permesso così di scoprire che il centro servizi di Norimberga aveva raccolto dal 2014 un archivio di 60 Gb contenente dati relativi ad aspetti estremamente personali della vita dei dipendenti: dati relativi alla salute, alla condizione sociale e finanche problemi familiari e convinzioni religiose. L’elevato livello di dettaglio e l’aggiornamento continuo dei profili consentiva un collegamento sistematico anche alla valutazione delle prestazioni lavorative, consentendo così ai manager dell’azienda (il database risultava accessibile a 50 di loro) l’adozione di decisioni relative allo svolgimento del rapporto di lavoro, inclusi dunque anche provvedimenti disciplinari e cambi di mansione.
L’attività di profilazione illecita, stante la sua particolare pervasività e continuità nel tempo, è stata definita senza precedenti in quanto di impatto estremamente rilevante nei confronti dei diritti e delle libertà dei lavoratori i quali si sono trovati a propria insaputa soggetti ad una continua sorveglianza che ha prodotto impatti significativi sullo svolgimento del proprio lavoro.
Le immediate scuse ufficiali di H&M e la presa di posizione aziendale contro tali pratiche, così come la piena collaborazione con l’autorità di controllo, la proposta di risarcimento formulata verso i propri dipendenti e l’adozione di misure correttive per l’implementazione della protezione dei dati personali all’interno della sede di Norimberga non sono state però sufficienti per esonerare l’azienda svedese dalle proprie responsabilità di organizzazione ma hanno contribuito ad attenuare l’importo della sanzione. Il fatturato del 2019 di circa 22 miliardi di euro registrato da H&M, infatti, avrebbe consentito all’Authority di comminare una sanzione pecuniaria ai sensi dell’art. 83.5 GDPR fino all’importo di quasi 900 milioni di euro, pari al 4% del fatturato mondiale annuo.
L’obbligo generale di responsabilizzazione in capo al titolare del trattamento, infatti, richiede non soltanto la predisposizione di tutele formali bensì garantire l’effettività delle misure predisposte attraverso il loro continuo controllo, riesame ed aggiornamento se necessario. In particolare, qualora le attività di trattamento siano svolte nei confronti di interessati cc.dd. “vulnerabili”, quali sono i dipendenti, il grado di tutela da assicurare deve essere rafforzato facendo riferimento tanto alle misure di sicurezza quanto, a maggior ragione, ai presidi adottati per assicurare la conformità ai principi del GDPR.
