Trattamento dati dei dipendenti: quali accorgimenti per il titolare del trattamento - Cyber Security 360

GUIDA NORMATIVA

Trattamento dati dei dipendenti: quali accorgimenti per il titolare del trattamento

La multa inflitta alla società di moda svedese H&M per profilazione illecita dei dipendenti è l’occasione per ribadire la necessità di usare particolari accorgimenti nel trattamento di dati personali. Ecco quali

20 Ott 2020
C
Elisa Costantino

Legal Consultant P4I – Partners4Innovation

R
Andrea Reghelin

Associate Partner P4I – Partners4Innovation


Il recente provvedimento sanzionatorio dell’Autorità per la protezione dei dati di Amburgo ha ribadito la necessità per le organizzazioni di prestare molta attenzione ai trattamenti di dati personali relativi ai propri dipendenti.

L’Autorità tedesca ha infatti imposto al noto brand di abbigliamento H&M una sanzione di 35,2 milioni di euro, la seconda più alta per importo sinora inflitta nell’Unione Europea (dopo Google France, multata per 50 milioni di euro) per violazione delle disposizioni normative in materia di trattamento di dati del proprio personale.

Trattamento dati dei dipendenti: il caso H&M

Le contestazioni effettuate dall’Autorità (secondo quanto riportato nel comunicato stampa condiviso sul proprio sito ufficiale) rilevano l’effettuazione da parte di H&M di una raccolta di dati comuni e particolari relativi ai dipendenti, della loro conservazione e della loro combinazione finalizzata alla creazione di profili, attività effettuate in assenza di un’appropriata base giuridica e per un ampio periodo di tempo (sin dal 2014).

I contenuti e le modalità di attuazione del trattamento posto in essere, in mancanza di presupposti legittimanti, erano tali da comportare un rischio notevole per diritti e libertà degli interessati, potendo causare conseguenze anche gravi sul percorso professionale dei soggetti coinvolti.

Più specificamente, dalle informazioni per ora disponibili, si rileva che la società effettuava uno stretto monitoraggio sui dipendenti del proprio centro di Norimberga, controllo che aveva per oggetto dettagli relativi alle esperienze di svago e vacanza del personale, dati relativi alla salute (come sintomi di patologie o diagnosi) e altri aspetti personalissimi della vita privata, come informazioni relative a problemi familiari e a credenze religiose, raccolti all’insaputa degli interessati attraverso conversazioni informali.

Le informazioni acquisite erano poi conservate permanentemente su un network drive e mantenute aggiornate, nella parziale disponibilità di circa 50 manager della società. Infine, i profili ottenuti combinando i dati raccolti venivano utilizzati per prendere decisioni in merito al rapporto lavorativo dei dipendenti con H&M.

La sanzione comminata dall’Autorità, che ammonta circa all’1% delle vendite nette del 2019 di H&M in Germania[1], va a sommarsi al duro colpo inflitto al colosso svedese dell’abbigliamento dalla crisi legata al Covid, che ha causato perdite al gruppo per oltre 400 milioni di euro.

La società ha reso noto di aver avviato un serrato piano d’azione[2] per porre rimedio alla violazione e attenuarne i possibili effetti negativi, ad esempio attraverso miglioramenti delle pratiche di internal audit, iniziative di formazione volte a rafforzare le conoscenze sulla data protection dei dirigenti e del personale dipendente e previsione di una considerevole compensazione economica nei confronti dei propri lavoratori ed ex lavoratori del centro interessato.

Trattamento dati dei dipendenti e disciplina italiana

Nella disciplina italiana, l’effettuazione di trattamenti di categorie particolari di dati personali in assenza di una finalità legittima – oltre a risultare in contrasto con le disposizioni in materia di trattamento dei dati – comporterebbe una potenziale violazione della disciplina giuslavoristica.

In primo luogo, la richiesta di informazioni di dettaglio sullo stato di salute dei dipendenti violerebbe quanto previsto all’art. 5 della l. n. 300/1970 (Statuto dei Lavoratori), che dispone il divieto per il datore di lavoro di effettuare accertamenti sulla idoneità e sulla infermità per malattia o infortunio del lavoratore dipendente.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Anche le indagini su aspetti privati quali opinioni politiche, religiose e sindacali del lavoratore, nonché su tutti i fatti non rilevanti ai fini della valutazione della sua attitudine professionale, sono interdette al datore di lavoro.

Quest’ultimo divieto, sancito all’art. 8 dello Statuto, è esplicitamente richiamato dal novellato codice privacy, nel titolo relativo ai trattamenti sul luogo di lavoro (d.lgs. 196/2003, art. 113, rubricato “Raccolta dati e pertinenza”), insieme all’art. 10 del d.lgs. 276/2003, che vieta ad agenzie per il lavoro ed altri soggetti autorizzati l’effettuazione di indagini, trattamenti o preselezioni sulla base di determinate tipologie di dati particolari, nella misura in cui queste non incidano sull’idoneità allo svolgimento dell’attività lavorativa.

È infine esclusa anche dal richiamato d.lgs. 276/2003 la liceità del trattamento di tutti i dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

Per accertarsi della legittimità dei trattamenti di dati personali relativi ai propri dipendenti e per documentare la propria compliance in ottica di accountability, sarebbe opportuno quindi che ogni azienda verificasse con costanza la propria conformità ai principi generali del trattamento (quali liceità, trasparenza, limitazione delle finalità e minimizzazione), e alle disposizioni in materia di diritto del lavoro, effettuando ove opportuno un riesame integrale del proprio operato.

Questa valutazione può essere condotta attraverso l’analisi approfondita dei singoli trattamenti in atto, l’accertamento della loro liceità anche in relazione alle finalità individuate e la conferma della pertinenza dei dati raccolti, sempre tenendo conto della finalità del trattamento.

Altri strumenti a supporto del titolare per ridurre i rischi sanzionatori potrebbero inoltre ravvisarsi nella redazione di documentazione volta a fornire, al proprio personale incaricato di trattare dati, precise indicazioni in merito alle modalità e ai limiti dei trattamenti consentiti (nomine ad autorizzato), nonché nelle iniziative di formazione del personale dipendente e dirigenziale sulle previsioni da rispettare nell’effettuazione di un trattamento di dati personali.

Conclusioni

La vicenda che ha interessato H&M porta a riflettere sul fatto che il rischio di violazione delle normative in materia di protezione dei dati personali è presente non solo nei trattamenti legati al core business (ad esempio, trattamento dei dati personali dei consumatori per finalità di marketing), ma anche nei trattamenti legati alla gestione del personale, la cui disciplina è complessa e fortemente integrata ad aspetti di natura giuslavoristica.

NOTE

  1. Le vendite nette totali di H&M Germania nel 2019 sono state di 33,540 milioni di corone svedesi (3.226 milioni di euro), secondo quanto riportato dal report annuale del gruppo, mentre il totale worldwide risulta dalla stessa fonte di 232.755 milioni di corone svedesi (circa 22387 milioni di euro).
  2. Comunicato stampa su H&M group.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5