35 milioni di euro di sanzione comminata a H&M per violazione del GDPR

L’Autorità data protection di Amburgo ha emesso un provvedimento sanzionatorio di Euro 35.258.707,95 nei confronti della società Hennes & Mauritz Online Shop A.B. & Co KG, nota come H&M.

Al centro dell’indagine dell’Autorità i “Welcome Back Talks” (colloqui di bentornato) svolti sui dipendenti dopo le assenze, come le ferie e le assenze per malattia – anche brevi – dai responsabili del team di supervisione.

Condotte vere e proprie attività di dossieraggio sui dipendenti

Nel comunicato stampa dell’Autorità tedesca dell’1 ottobre 2020 si apprende che durante questi colloqui veniva svolta una vera e propria attività di dossieraggio e raccolte informazioni sulla malattia (diagnosi e sintomi), sulle esperienze dei dipendenti in vacanza e, in generale, sulla vita privata e familiare, «da dettagli innocui a questioni religiose».

Tali informazioni venivano poi memorizzate, aggiornate nel tempo e messe a disposizione di altri dirigenti in tutta l’azienda per un utilizzo finalizzato a prendere decisioni relativamente al loro impiego.

L’attività di dossieraggio è stata resa nota nell’ottobre 2019, a seguito di un errore di configurazione che ha reso accessibili queste informazioni a tutta l’azienda per diverse ore.

L’Autorità data protection, che è venuta a conoscenza dei fatti attraverso la stampa, ha da subito ordinato la sospensione del trattamento, nonché la consegna, ai fini istruttori, dell’unità di rete utilizzata per memorizzare le informazioni.

Sull’unità di rete consegnata dalla società all’Autorità sono stati riscontrati circa 60 gigabyte di informazioni relative ai dipendenti raccolte tramite l’attività di dossieraggio.

L’Autorità ha sentito numero testimoni che hanno confermato le pratiche documentate.

H&M ha pagato un «considerevole importo» ai dipendenti per compensare la violazione

H&M ha già predisposto e reso noto all’Autorità un vero e proprio remediation plan da attuarsi per la compliance alla normativa data protection del trattamento oggetto del provvedimento e ha adottato diverse misure correttive.

Oltre alla sanzione amministrativa pecuniaria comminata dall’Autorità data protection, la società ha sostenuto un’ulteriore spesa a titolo di «risarcimento» dei dipendenti coinvolti nell’attività di dossieraggio.

Dopo essersi scusata con i dipendenti interessati, infatti, su suggerimento dell’Autorità data protection la società ha proceduto a compensare con un considerevole importo la violazione dei diritti civili dei dipendenti coinvolti.