Estratto SIG – Monitoraggio dei lavoratori e sanzioni

 In Editoriale - Rss, Puntate 2019 - Rss
Print Friendly, PDF & Email

La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti.

La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con l’autorità privacy di Amburgo ma questo non le è valso il contenimento della sanzione di 35 milioni di euro, una delle più alte sinora inflitte a livello UE.

Sintesi 

Per circa quattro anni, a partire almeno dal 2014, il dipartimento per il servizio clienti di Norimberga della H&M era solito registrare ed archiviare sistematicamente conversazioni di centinaia di dipendenti, sia con i propri superiori sia tra di loro durante la pausa caffè. Alle registrazioni avevano accesso una cinquantina di manager al fine di costruire profili anche su dati altamente personali e anche a scopo di valutazione professionale e «per ottenere un profilo dettagliato dei dipendenti per misure e decisioni riguardanti il ​​loro impiego».

L’attività illecita viene scoperta dagli stessi dipendenti a seguito, nell’ottobre 2019, dell’errata archiviazione di alcuni file nella cartella pubblica dell’intranet aziendale da parte di un manager; da qui la notizia viene ripresa dai media e innesca l’intervento dell’autorità e la conclusiva sanzione di 35 milioni di euro.

Violazioni

Non essendo pubblicamente disponibile la decisione del Commissario di Amburgo per la protezione dei dati e la libertà di informazione, si può tentare di individuare le violazioni cui è incorsa l’azienda traendo spunto dalle notizie diffuse sulle circostanze di fatto.

Come è stato detto da altri commentatori, è persino difficile elencare tutte le infrazioni cui sarebbe incorsa l’azienda svedese a seguito di questa vicenda.

Violazione dei principi

Di sicuro sono stati violati quasi tutti i principi dell’articolo 5 del GDPR

  • La condotta è caratterizzata da comportamenti illeciti, scorretti e occulti, in contrasto con i principi di liceità e trasparenza [art. 5.1 a)].
  • Le finalità perseguite con i dati raccolti si sono dimostrate occulte e illegittime, violando in tal modo il principio di finalità [art. 5.1 b)].
  • I dati raccolti non erano nè pertinenti all’attività lavorativa nè limitati all’ordinaria gestione del rapporto, disattendendo il principio di minimizzazione dei dati [art. 5.1 c)]
  • La conservazione dei dati, ancorchè acquisiti illegittimamente e per finalità illecite, è avvenuta per un arco di tempo di durata ingiustificabile, in contrasto col principio di limitazione della conservazione [art. 5.1 e)]
  • Il trattamento è risultato carente anche sotto il profilo della sicurezza, in quanto i dati sono stati divulgati all’intera popolazione aziendale per un certo arco temporale, in violazione del principio di integrità e riservatezza [art. 5.1 f)]
  • Il tutto a dimostrazione di una diffusa e vasta disapplicazione della norma, in contrasto col principio di responsabilizzazione.
Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0