L’ignaro personale del centro servizi H&M di Norimberga veniva accuratamente profilato da zelanti team supervisor avidi di dettagli extra lavorativi. Il Gruppo svedese si scusa e pagherà anche una compensazione al personale coinvolto.

La Repubblica Federale di Germania – ancora segnata da oltre mezzo secolo di sorveglianza di massa con cui il regime nazista, prima, e gli apparati dalla DDR, poi, hanno capillarmente spiato la vita dei cittadini – è oggi nota come nazione che mal sopporta le indebite intrusioni nella sfera privata degli individui sia in ambito domestico che lavorativo.

Il 1 ottobre 2020 la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (HmbBfDI) ha inflitto una pesante sanzione pecuniaria (35.258.707 euro) alla subsidiary tedesca di H&M – famigerata azienda svedese di abbigliamento low cost, colosso del fashion retail con migliaia di punti vendita sparsi per il mondo – colpevole di aver lungamente spiato i dipendenti di un centro servizi di Norimberga dando luogo ad una schedatura colma di informazioni strettamente personali.

Trattasi di un provvedimento importante perché commina la multa più alta mai inflitta per violazione della privacy dei lavoratori.

L’autorità ha appurato che, a partire quantomeno dal 2014, una parte della forza lavoro della sede operativa bavarese è stata sottoposta a un’ampia attività di registrazione dei dettagli della propria vita privata con tanto di relativi appunti memorizzati in un drive della rete informatica aziendale. La società, oltre ad una meticolosa valutazione delle prestazioni lavorative, era dedita ad un’opera di profilazione individuale tanto profonda quanto insolita. Dopo le assenze, per ferie o malattia, anche di breve durata, i responsabili del team di supervisione sottoponevano i dipendenti a dei colloqui di bentornato al lavoro in cui costoro erano indotti a raccontare i dettagli della loro vacanza o i sintomi, la diagnosi e il decorso di una malattia. Non mancavano affondi sulle relazioni sentimentali e familiari, sul credo religioso e su altre abitudini o inclinazioni personali. Al termine dei colloqui, le informazioni raccolte venivano riversate in una sorta di scheda del lavoratore che nel tempo veniva integrata con ulteriori annotazioni, dettagli e aggiornamenti utili a raffinare la profilazione. L’intera schedatura era resa accessibile in rete ad almeno 50 manager dell’azienda.

I lavoratori di Norimberga erano, ovviamente, all’oscuro di tutto finché nell’ottobre 2019 un errore di configurazione del sistema informatico finiva per rendere l’archivio consultabile a tutto il personale e la notizia giungeva velocemente alla stampa. La Commissione privacy di Amburgo è a quel punto intervenuta, disponendo il congelamento del contenuto dell’unità di rete e poi il sequestro. Seguiva l’analisi del record di dati di circa 60 gigabyte e l’interrogatorio di numerosi testimoni che confermavano le pratiche documentate nel database. Agli occhi degli investigatori si è presto palesato come la durata e il carattere continuativo della raccolta dati, nonché il livello di dettaglio delle informazioni extra lavorative registrate, rappresentasse un’invasione particolarmente intensa dei diritti dei dipendenti.

Lo HmbBfDI ha ritenuto dover sanzionare la condotta pervasiva in modo esemplare con l’imposizione di una multa da oltre 35 milioni di euro per violazione del GDPR e l’obbligo di immediata introduzione di diverse misure correttive a tutela della privacy e della protezione dei dati.

La società si riserva di analizzare il provvedimento. Ma va detto che H&M, che ha sostenuto ignorasse a livello corporate le pratiche in uso centro servizi di Norimberga difformi alle policy aziendali, non solo ha cooperato fin da principio alle indagini ma anche mostrato una reazione apprezzabile nelle immediatezze di un verdetto comunque oneroso (tenuto conto del periodo non propriamente florido del gruppo: le restrizioni per il contenimento del Covid-19 hanno indotto alla chiusura definitiva di 166 negozi ed è pianificata l’eliminazione di altri 250 punti vendita entro il 2021 improduttivi a fronte della crescita esponenziale degli acquisti online).

In un comunicato sul proprio sito, l’azienda si è scusata – espressamente e senza riserve – con i dipendenti interessati e si è impegnata a versare una considerevole somma a titolo risarcitorio a favore del personale in forza o assunto dopo il 25 maggio 2018 (ossia in vigenza applicativa del GDPR). Un gesto, questo di H&M, che – come notato dallo stesso HmbBfDI – rappresenta un segno senza precedenti quanto ad ammissione e concreto riconoscimento della responsabilità aziendale per una violazione della privacy dei lavoratori. Quello di H&M può costituire un antecedente importante per le aziende che in futuro saranno imputate responsabili di lesioni alla sfera privata degli interessati: proporre velocemente una compensazione prima che gli aventi diritto avanzino in sede giudiziale le proprie pretese risarcitorie (magari associandosi e facendole promuovere in modo più efficace), può rivelarsi una mossa anticipata utile sia a quietare gli animi dei soggetti coinvolti sia a mostrarsi consapevoli ed accountable agli occhi delle Data Protection Authority.

Oltre a ciò, il gruppo svedese ha annunciato un remediation plan che comprenderà:

  • cambiamenti di personale a livello dirigenziale presso il centro servizi di Norimberga;
  • formazione supplementare e nuove istruzioni per i dirigenti in relazione alla privacy dei dati e al diritto del lavoro;
  • creazione di un nuovo ruolo con responsabilità specifiche per la verifica, il follow-up, l’educazione e il miglioramento continuo dei processi di riservatezza dei dati;
  • introduzione di soluzioni IT per una conforme archiviazione dei dati personali, anche con riguardo ai processi di formazione e valutazione del personale.

 

Il data protection commissioner di Amburgo, Johannes Caspar, ha mostrato gradimento per il riscontro di H&M alla sentenza avversa concretizzatosi in fatti che “dimostrano l’intenzione di dare ai dipendenti il rispetto e l’apprezzamento che meritano, compensando le persone colpite e ripristinando la fiducia nell’azienda “.

Per chiudere, una nota sull’organo giudicante rappresentato dal testé menzionato Caspar. Benché le violazioni siano avvenute nel customer service center ubicato in Baviera, il procedimento è stato condotto e concluso dal commissioner di Amburgo quale autorità competente considerato che H&M Germania (H&M Hennes & Mauritz Online Shop A.B. & Co KG.) è impresa registrata proprio nella città anseatica. La Germania, bene ricordalo, non dispone di un’unica autorità centrale per la protezione dei dati (una sola Data Protection Authority nazionale come il nostro Garante) ma di tante autorità quanti sono i Länder tedeschi, che ammontano a 16, ognuna con la propria competenza territoriale sul rispetto delle leggi e dei regolamenti in materia di protezione dei dati. Fa eccezione il Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) che è “federalmente” competente in materia di protezione dati nei servizi di telecomunicazione e che, inoltre, rappresenta la Germania in seno all’European Data Protection Board (EDPB). Le autorità dei Lander sono invece parte di un consesso denominato Datenschutzkonferenz (DSK) atto a garantire che le diverse commissioni territoriali siano allineate, anche a livello interpretativo, tra loro secondo un principio di coordinamento che ricorda il meccanismo di coerenza previsto dal GDPR in riferimento al rapporto tra normativa UE e normative nazionali.