Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

Profilazione illecita dei dipendenti, lo scandalo H&M: quali insegnamenti per tutte le aziende

La società di moda svedese H&M è al centro di uno scandalo per una mega violazione della privacy dei propri dipendenti: sarebbe stato rinvenuto un database contenente oltre 60 gigabyte di loro dati personali e sensibili. L’Autorità per la protezione dei dati di Amburgo ha avviato un procedimento per profilazione illecita. Ecco i dettagli

03 Feb 2020
D
Federica Domenici

Data Protection & Compliance Consultant, Membro della sezione Privacy e Compliance del Centro Ricerche Economico Giuridiche - Università degli studi di Roma Tor Vergata


L’Autorità per la protezione dei dati di Amburgo ha avviato un procedimento nei confronti della società di moda H&M per profilazione illecita dei dipendenti. Il procedimento, secondo quanto riportato dal quotidiano tedesco F.A.Z., ha ad oggetto presunti trattamenti illeciti di dati, compiuti dalla stessa società, attraverso registrazioni occulte delle conversazioni dei propri dipendenti del Centro Clienti di Norimberga.

Profilazione illecita dei dipendenti H&M: i fatti

L’archivio dove erano archiviati i dati in questione è stato scoperto accidentalmente dagli stessi dipendenti, i quali si sono imbattuti in alcune cartelle contenenti dettagli sulla loro vita privata, sembrerebbe a causa di un errore di un manager che avrebbe inavvertitamente salvato i file in una cartella pubblica del DB, accessibile anche ai dipendenti stessi.

La storia avrebbe avuto inizio il 23 ottobre scorso quando tutti i dipendenti sono stati informati, di questo data breach, dallo stesso board di H&M, il quale il giorno seguente, secondo quanto poi dichiarato, avrebbe proceduto alla cancellazione dei file, all’adeguamento delle misure di sicurezza dei dati e provveduto alla notifica di data breach all’Autorità.

Secondo quanto riportato dal The Globe and Mail, Johannes Caspar, a capo dell’ Autorità Garante di Amburgo, ha affermato che i dati rinvenuti sarebbero oltre 60 gigabyte e riguarderebbero aspetti molto personali, ad esempio relativi alla salute ed alla vita privata dei dipendenti.

Questo archivio conterrebbe informazioni riguardanti ogni sfumatura possibile della vita dei dipendenti come ad esempio malattie, problemi familiari, racconti delle vacanze. I dati sarebbero stati registrati e archiviati in modo tale da garantirne l’accesso a tutti i manager, probabilmente per creare profili molto dettagliati dei dipendenti.

Da quanto riportato dal quotidiano tedesco F.A.Z., i file contenuti nell’archivio sono stati sottoposti a sequestro da parte dell’Autorità. Si presume che tale archivio contenga le trascrizioni delle conversazioni tra i dipendenti e tra questi e i loro superiori avvenute negli uffici e all’esterno durante le “pause sigaretta”: sembrerebbe quindi trattarsi di vere e proprio intercettazioni.

La società ha rilasciato un comunicato stampa nel quale ha dichiarato di prendere il caso molto seriamente ed ha inoltre espresso le sue scuse ai dipendenti coinvolti. La società ha, poi, dichiarato di collaborare pienamente con i funzionari dell’Autorità e di aver adottato una serie di misure in risposta all’incidente.

Dal canto suo, l’Autorità di Amburgo ha annunciato che procederà con le indagini e con una (alquanto) probabile sanzione e ha invitato tutti i soggetti potenzialmente coinvolti a contattarla in via riservata.

Le possibili conseguenze

Al momento le informazioni reperibili sulla profilazione illecita dei dipendenti H&M non sono molte, ma si può in ogni caso ipotizzare quali potranno essere le conseguenze a cui andrà in contro la società svedese nel futuro prossimo.

Come affermato dalla stessa Autorità di Amburgo, e riportato dal quotidiano F.A.Z., l’estensione qualitativa e quantitativa dei trattamenti dei dati dei dipendenti, accessibili a tutto il livello di management dell’azienda, mostra una profilazione completa dei dipendenti non paragonabile a nessun’altra avvenuta negli ultimi anni.

Appare quasi superfluo cercare di individuare quali norme del GDPR siano state violate in questo caso: si può iniziare dalla mancata osservanza di praticamente tutti i principi generali di cui all’art. 5 (è evidente la totale assenza di liceità del trattamento, di proporzionalità, di limitazione di finalità, correttezza e trasparenza) e giungere alla violazione dei diritti dell’interessato (art. 13 sulle informazioni da fornire all’interessato) e degli obblighi generali del titolare di cui al capitolo IV del Regolamento.

Riguardo l’entità della sanzione, al momento non ci sono ancora indicazioni. Volendo prendere quale metro di giudizio i parametri dell’art. 83 par. 2, assumono nella fattispecie rilevanza i seguenti profili:

  1. è ben evidente l’elevata gravità della condotta posta in essere dal management, si tratta di trattamenti posti in essere illecitamente, con finalità di profilazione di dati aventi anche natura particolare; resta da comprendere quale sia stata la durata dei trattamenti, ovvero per quanto tempo si sia estesa la registrazione ed i conseguenti trattamenti;
  2. non dovrebbero esserci molti dubbi sul carattere doloso della violazione, frutto di una serie di azioni preordinate ad un fine specifico;
  3. per quanto ciò che attiene la valutazione delle misure di sicurezza adottate dal titolare per attenuare il danno, al momento non è dato sapere molto, se non quanto riportato dalle dichiarazioni rese da H&M, secondo la quale a seguito dell’esposizione dei dati avrebbe posto in essere adeguate misure di sicurezza, ma il punto focale della questione non è l’adozione delle misure e l’esposizione dei dati nella cartella pubblica ma è la natura illecita del trattamento stesso;
  4. la particolare natura dei dati oggetto della violazione, come già osservato, la quale potenzialmente riguarda qualsivoglia tipologia di dati, da quelli personali a quelli appartenenti a particolari categorie, in considerazione del fatto che la profilazione è avvenuta grazie alla registrazione occulta di conversazioni dei dipendenti, avvenute anche in momenti di pausa durante l’orario di lavoro.

L’Autorità Garante terrà in considerazione anche possibili circostanze attenuanti?

Ci si può interrogare se l’avvenuta notificazione della violazione dei dati verrà in qualche modo presa in considerazione dell’Autorità nel valutare dell’entità della sanzione.

Al fine di valutare la possibilità di ricorrere all’aggravante della larga scala, è necessario determinare il numero di soggetti interessati, ovvero se questa pratica di profilazione dei dipendenti è stata posta in essere unicamente a Norimberga oppure avviene anche in altre unità della famosa catena di moda, la quale, ricordiamo, ha sedi in quasi tutti i paesi del Mondo.

Quali insegnamenti per le aziende

Se la sanzione appare inevitabile c’è da domandarsi se i dipendenti proporranno azioni per il risarcimento di eventuali dati subiti.

Il Regolamento riconosce agli interessati il diritto al risarcimento di danni materiali o immateriali derivanti dalla violazione del Regolamento stesso; di conseguenza i dipendenti, forti anche della imminente e probabile sanzione che sarà erogata dal Garante di Amburgo, potranno agire nei confronti della Società.

Il danno immateriale causato nei loro confronti è rafforzato dalla tipologia di dati trattati: secondo il quotidiano F.A.Z., nei database sarebbero presenti informazioni anche circa malattie molto gravi dei dipendenti.

Attendiamo ulteriori sviluppi della vicenda per poter effettuare un’analisi più approfondita: anche se la sua conclusione sembra già scritta, sarà interessante leggere come l’Autorità quantificherà l’eventuale sanzione, se i dipendenti proporranno azioni per il risarcimento del danno e quale sarà l’entità di questi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5