La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti.

La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con l’autorità privacy di Amburgo ma questo non le è valso il contenimento della sanzione di 35 milioni di euro, una delle più alte sinora inflitte a livello UE.

SINTESI

Per circa quattro anni, a partire almeno dal 2014, il dipartimento per il servizio clienti di Norimberga della H&M era solito registrare ed archiviare sistematicamente conversazioni di centinaia di dipendenti, sia con i propri superiori sia tra di loro durante la pausa caffè. Alle registrazioni avevano accesso una cinquantina di manager al fine di costruire profili anche su dati altamente personali e anche a scopo di valutazione professionale e «per ottenere un profilo dettagliato dei dipendenti per misure e decisioni riguardanti il ​​loro impiego».

L’attività illecita viene scoperta dagli stessi dipendenti a seguito, nell’ottobre 2019, dell’errata archiviazione di alcuni file nella cartella pubblica dell’intranet aziendale da parte di un manager; da qui la notizia viene ripresa dai media e innesca l’intervento dell’autorità e la conclusiva sanzione di 35 milioni di euro.

VIOLAZIONI

Non essendo pubblicamente disponibile la decisione del Commissario di Amburgo per la protezione dei dati e la libertà di informazione, si può tentare di individuare le violazioni cui è incorsa l’azienda traendo spunto dalle notizie diffuse sulle circostanze di fatto.

Come è stato detto da altri commentatori, è persino difficile elencare tutte le infrazioni cui sarebbe incorsa l’azienda svedese a seguito di questa vicenda.

VIOLAZIONE DEI PRINCIPI

Di sicuro sono stati violati quasi tutti i principi dell’articolo 5 del GDPR.

  • La condotta è caratterizzata da comportamenti illeciti, scorretti e occulti, in contrasto con i principi di liceità e trasparenza [art. 5.1 a)].
  • Le finalità perseguite con i dati raccolti si sono dimostrate occulte e illegittime, violando in tal modo il principio di finalità [art. 5.1 b)].
  • I dati raccolti non erano nè pertinenti all’attività lavorativa nè limitati all’ordinaria gestione del rapporto, disattendendo il principio di minimizzazione dei dati [art. 5.1 c)]
  • La conservazione dei dati, ancorchè acquisiti illegittimamente e per finalità illecite, è avvenuta per un arco di tempo di durata ingiustificabile, in contrasto col principio di limitazione della conservazione [art. 5.1 e)]
  • Il trattamento è risultato carente anche sotto il profilo della sicurezza, in quanto i dati sono stati divulgati all’intera popolazione aziendale per un certo arco temporale, in violazione del principio di integrità e riservatezza [art. 5.1 f)]
  • Il tutto a dimostrazione di una diffusa e vasta disapplicazione della norma, in contrasto col principio di responsabilizzazione.

MANCANZA DI BASI GIURIDICHE

Il trattamento effettuato, in quanto illegittimo, è risultato privo di basi giuridiche (art. 6) e, siccome riguardava anche particolari categorie di dati (sintomi di malattia, diagnosi, convinzioni religiose), non riscontrava nessuna delle deroghe al generale divieto di trattamento di tali dati personali di particolare delicatezza (art. 9, GDPR).

ANALISI DEI RISCHI E DPIA

La vicenda, ancorchè sembrerebbe avere avuto inizio già nel 2014 cioè molto prima dell’applicazione del GDPR, è continuata sino al 2019 e le pertinenti operazioni di trattamento dati sarebbero dovute essere “catturate” dalla politica di analisi dei rischi prescritta dal regolamento con riferimento a tutti i trattamenti che si ha intenzione di o che si è già realizzato. Peraltro, non sembrerebbe plausibile che una simile iniziativa o anche solo talune operazioni della stessa potessero sfuggire al setaccio offerto dall’incrocio tra archivi e processi mappati, quale operazione propedeutica alla formazione del registro dei trattamenti (art. 30, GDPR).

Una volta rilevate, queste operazioni di trattamento avrebbero dovuto formare oggetto dell’analisi dei rischi e da questa sarebbe presumibilmente emerso un elevato rischio, tale da far scattare l’obbligo della DPIA (art. 35, GDPR).