x

x

Profilare i dipendenti? costa molto caro…

GDPR
Ph. Federico Radi / GDPR

Il 1° ottobre 2020 la nota società multinazionale di moda H&M è stata sanzionata dalla Commissione di Amburgo per la protezione dei dati e la libertà d’informazione (“Commissione”) per una somma pari a 35.258.707,95 milioni di euro.

Secondo quanto rilevato dalla Commissione, la sede di Norimberga della società, quanto meno a partire dal 2014, avrebbe illecitamente acquisito dati personali dei dipendenti concernenti la loro vita privata, successivamente archiviati, in via permanente, in una sezione ad hoc segretata del network aziendale.

Il metodo di raccolta dei suddetti dati era il seguente.

A seguito di un periodo di vacanza o di malattia, che comportasse una più o meno breve interruzione dall’esercizio dell’attività lavorativa, i dipendenti erano invitati da un team di supervisori ad un colloquio di “Bentornato” (Welcome Back Talks).

In occasione dello stesso, il referente aziendale registrava, all’insaputa dei dipendenti, tutte le conversazioni che, in molti casi, non avevano ad oggetto solamente l’esperienza vacanziera del lavoratore, bensì i sintomi e le diagnosi legati alla malattia che lo aveva costretto a casa. Se ciò non bastasse, alcuni supervisori, tramite conversazioni private coi dipendenti o voci di corridoio, avevano acquisito un’ampia serie di dati riguardanti gli aspetti più privati della vita dei lavoratori, quali dettagli concernenti la loro situazione familiare o addirittura il loro credo religioso, poi immagazzinati su supporto digitale ed archiviati online.

L’istruttoria ha fatto emergere come spesso la fase di registrazione e raccolta dei dati fosse portata avanti in maniera metodica e meticolosa, documentando ampiamente gli sviluppi delle situazioni personali che interessavano il dipendente nel corso di ampi lassi temporali. 

L’attività di raccolta e conservazione dei dati culminava con l’immagazzinare questi ultimi su un network drive, una porzione occulta del database aziendale, rendendoli così digitalmente disponibili ad un team di ben 50 manager della multinazionale.

Quali le finalità perseguite dall’azienda con questo illecito trattamento di dati?

Le testimonianze rese davanti alla Commissione hanno tutte confermato che la finalità principale era evidentemente quella di valutare come le vicende personali degli impiegati influenzassero la produttività lavorativa dei medesimi. In aggiunta, dato il graduale accrescimento del corredo di dati, essi iniziarono ad essere impiegati per creare un profilo dettagliato dei lavoratori, da cui poter attingere per effettuare scelte che avrebbero potuto influenzare la vita lavorativa di questi ultimi (si pensi all’avanzamento di carriera).

L’Autorità ha sottolineato come, nel caso di specie, le condotte di registrazione ed archiviazione dei dati personali dei dipendenti per finalità di valutazione e profilazione, oltre ad essere illecite, si presentino come una lesione intensa dei diritti civili di questi ultimi, soprattutto alla luce delle modalità (n.d.r. orwelliane) con cui le violazioni sono state perpetrate.

Ironia della sorte, l’archivio contenente le cartelle con i dati illecitamente trattati è stato accidentalmente scoperto proprio da alcuni dipendenti nell’ottobre del 2019, dopo che, probabilmente per un errore del manager addetto allo storing delle informazioni, i file erano stati salvati sulla porzione pubblica del network aziendale, restando così visibili a tutti per sette ore.

L’azienda, dopo essersi immediatamente attivata per segnalare il fatto alla Commissione, ha sin da subito ammesso le proprie colpe ed intrapreso una serie di misure correttive (data protection coordinator, implementazione dell’auditing, rafforzamento dei canali di whistleblowing) e, in base a quello che l’Autorità definisce un “riconoscimento della responsabilità d’impresa senza precedenti”, ha accordato un risarcimento economico verso tutti gli impiegati della sede coinvolta dallo scandalo ed a chiunque vi abbia lavorato per almeno un mese dall’entrata in vigore del GDPR (maggio 2018).

Nonostante le misure messe in campo dalla multinazionale siano state positivamente valutate dalla Commissione in sede di valutazione dell’ammontare quantitativo della sanzione, essa ha sottolineato come ciò non valga a neutralizzare lo sprezzo verso il diritto alla riservatezza dei dipendenti, ampiamente documentato dalle violazioni dell’azienda.

Tutto ciò considerato, l’Autorità conclude ritenendo che, date le circostanze, una sanzione di 35 milioni di euro sia pienamente rispettosa dei principi di efficacia ed adeguatezza, avendo tenuto in debito conto tutti gli elementi di cui all’art. 83 GDPR.