H&M sanzionata dal Garante Privacy di Amburgo: 35 milioni di euro di sanzione
Perché H&M è stata sanzionata?
Il caso ha ad oggetto il trattamento illecito dei dati personali di centinaia di dipendenti da parte della società H&M Hennes & Mauritz Online Shop A.B. & Co con sede nella città di Norimberga.
Tale società, secondo il provvedimento del Garante Privacy di Amburgo, ha provveduto alla raccolta di una gran mole di dati inerenti alla vita personale dei propri dipendenti.
In particolare, tali dati avevano ad oggetto:
- a seguito di assenza dei dipendenti per ferie o malattia, informazioni relative alle vacanze dei propri dipendenti nonché sintomi/diagnosi delle malattie;
- dettagli della vita privata dei dipendenti, quali informazioni circa la situazione familiare o il credo religioso.
L’accesso ad una parte di tali dati era consentito ad un elevato numero di manager all’interno dell’azienda. Lo scopo della raccolta di tali dati era la valutazione delle prestazioni lavorative dei dipendenti nonché la creazione di profili dettagliati dei dipendenti e l’utilizzo di tali profili per decisioni relative alla carriera dei dipendenti.
Quali sono le azioni che ha posto in essere H&M per tutelare gli interessati?
A seguito della scoperta delle violazioni privacy, la direzione dell’azienda:
- si è scusata espressamente con i soggetti interessati provvedendo altresì al pagamento di un indennizzo;
- ha nominato un nuovo coordinatore per la protezione dei dati;
- ha adottato un sistema di aggiornamenti mensili in materia privacy;
- ha potenziato il sistema di whisteblowing e le procedure per il riscontro dei diritti degli interessati.
Cosa fare per tutelare i dati dei propri dipendenti e non incorrere in sanzioni?
Al fine di non trovarsi impreparati di fronte ad una possibile ispezione avente ad oggetto il trattamento dei dati dei dipendenti si suggerisce di:
- effettuare un’attività di audit relativa al trattamento dei dati dei dipendenti;
- individuare/verificare la corretta base giuridica per il trattamento dei dati dei dipendenti;
- verificare che il trattamento dei dati dei dipendenti rispetti il principio di minimizzazione;
- predisporre una deletion policy per garantire la cancellazione dei dati dei dipendenti;
- sensibilizzare il personale circa tale tematica anche con corsi di formazione.
