NEWS

La vicenda H&M fotografa un radicale disprezzo per i princìpi fondamentali della privacy dei lavoratori

Il Garante privacy di Amburgo ha condannato H&M, la nota multinazionale dell’abbigliamento, per una grave violazione della privacy dei dipendenti verificatasi presso la sede di Norimberga, in Germania (il comunicato stampa in lingua inglese è disponibile nel sito web dell’Autorità. Il provvedimento integrale non risulta, allo stato, disponibile, ma da quello che emerge dal comunicato stampa si comprende che il management del centro servizi di Norimberga, dal 2014 al 2019, ha monitorato diverse centinaia di dipendenti, violando – come dichiarato dalla multinazionale nel proprio sito internet – le istruzioni e le line guida aziendali.

Calpestata la privacy dei lavoratori nel caso in cui H&M è stata multata per 35 milioni di euro


L’azienda, sul punto, riferisce di aver scoperto, nell’ottobre 2019, una violazione della sicurezza nel suo centro servizi di Norimberga.

La violazione era legata alla conservazione dei dati personali dei dipendenti presso il centro servizi; H&M dichiara di aver immediatamente segnalato la violazione all’Autorità per la protezione dei dati di Amburgo e di aver “collaborato pienamente con l’autorità durante il procedimento”.

Questi i fatti: la direzione del locale centro servizi aveva instaurato la prassi di un “colloquio di bentornato” con i dipendenti di rientro dalle ferie o da malattie, anche brevi. Questi incontri avevano l’apparenza di una calorosa accoglienza dopo l’assenza.

In realtà, i colloqui venivano spesso registrati, o comunque, venivano redatte delle “note”, salvate in modo permanente all’interno di un’unità di rete, dove si dava atto dell’esito dei colloqui, registrando condizioni di vita private dei lavoratori, le esperienze di ferie specifiche, sintomi di malattie e diagnosi.

Con la scusa di questi colloqui i superiori acquisivano un’ampia conoscenza della vita privata dei propri dipendenti che spaziava da dettagli innocui a problematiche familiari e credenze religiose; le informazioni raccolte venivano registrate, anche monitorando conversazioni private e discussioni di corridoio, e archiviate digitalmente.

L’archivio era accessibile ad un certo numero di manager, veniva mantenuto aggiornato e consentiva una profilazione individuale dei lavoratori, fornendo una valutazione meticolosa delle prestazioni lavorative individuali.

Le informazioni ottenute dai supervisori davano luogo, dunque, ad un monitoraggio “sistematico e dettagliato” dei dipendenti che veniva poi utilizzato per ricavare un profilo individuale in vista di misure e decisioni riguardanti il rapporto di lavoro.

Il tutto è stato scoperto per caso, a seguito di un errore di configurazione che ha reso accessibili a tutta l’azienda, per alcune ore, le note contenenti tutti i dati raccolti, per un totale di circa 60 gigabyte.

L’azienda, a seguito dell’accertamento e della condanna, ha deciso di implementare la protezione dei dati riguardanti i propri lavoratori con una serie di azioni come la sostituzione del personale a livello manageriale presso il centro servizi di Norimberga, la previsione di corsi aggiuntivi in materia di privacy e diritto del lavoro per i manager, la creazione di un nuovo ruolo con specifiche responsabilità per seguire e migliorare continuamente le operazioni di trattamento dei dati personali, un rafforzamento delle procedure di pulizia dei dati, un miglioramento delle soluzioni di archiviazione conforme dei dati, la formazione e la leadership.

Quello che emerge dalle poche informazioni disponibili in relazione a questa vicenda è la fotografia di un caso da manuale di violazione di ogni più elementare regola in materia di “privacy” nell’ambito della gestione dei rapporti di lavoro.

Si coglie, in particolare, un radicale disprezzo per i principi fondamentali di trasparenza, informativa, legittimità e liceità, da sempre posti alla base della disciplina europea in materia di trattamento dei dati personali, ed una evidente lesione dei diritti di protezione della vita privata e familiare, garantiti dal diritto europeo in coordinamento con la convenzione europea dei diritti dell’uomo (art. 8) e dalla carta dei diritti fondamentali dell’UE (art. 7).

La quantità di norme violate è quasi imbarazzante: il regolamento 679/2016/UE è stato interamente violato, sotto tutti i profili di disciplina, dalla scorrettezza al difetto di trasparenza, dalla violazione del principio di finalità a quello di minimizzazione; il trattamento, operato in modo totalmente occulto al di fuori di una qualsivoglia ragione difensiva, sembra porsi in contrasto addirittura con l’art. 22 del regolamento.

Il comunicato stampa non chiarisce, sul punto, con quali modalità venisse implementata la profilazione, che è peraltro menzionata: non si comprende se le analisi e i profili dei dipendenti avvenissero in modo automatizzato. Non sappiamo, dunque, se ci sia stata una violazione anche dell’art. 22 del regolamento perché non è chiaro il funzionamento del modello di profilazione adottato.

Tuttavia, giova in ogni caso ricordare che il regolamento europeo afferma il generale divieto di sottoporre le persone fisiche a decisioni basate unicamente su trattamenti automatizzati e richiede la previsione di misure appropriate, comprensive, quantomeno, del “diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”. Si tratta di una frontiera essenziale del c.d. human-in-command approach, finalizzata alla conservazione del controllo umano su quanto svolto dalle macchine.

Andrea Sitzia

(Nella foto: Andrea Sitzia, Professore Associato di Diritto del Lavoro dell’Università di Padova e Avvocato)

Interamente violata è, poi, tutta la disciplina giuslavoristica di protezione. Nel caso di specie, ovviamente, rileva il diritto tedesco, di cui non è il caso di dar conto in questa sede.

Per il lettore italiano, infatti, e soprattutto per il “privacysta”, l’affaire H&M può essere un paradigmatico richiamo all’esigenza di coordinare sempre la normativa generale sulla protezione dei dati personali con quella, speciale, rilevante in materia di lavoro.

Nel cinquantesimo dello Statuto dei Lavoratori, dunque, è doveroso ricordare che il principio di “legittimità” del trattamento (art. 5, par. 1, lett. b), Reg. 679/2016/UE) impone il rispetto delle discipline di settore che stabiliscono, come nel caso del lavoro, limiti più stringenti relativi a fattispecie per le quali l’ordinamento interno ritenga giustificata una compressione più intensa dei poteri del titolare del trattamento.

Nel caso del lavoro subordinato è la debolezza contrattuale del lavoratore ad imporre, come noto, una disciplina più rigida, e gli Stati membri hanno ampio margine di manovra.

Non si dimentichi, al riguardo, che l’art. 88 del regolamento, al paragrafo 2, permette agli Stati membri di intervenire con norme che includano “misure appropriate e specifiche a salvaguardia della dignità umana, degli interessi legittimi e dei diritti fondamentali degli interessati, in particolare per quanto riguarda la trasparenza del trattamento, il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune e i sistemi di monitoraggio sul posto di lavoro”.

La liaison tra l’apparato di protezione generale “privacy” e il diritto del lavoro, nel nostro ordinamento, è espressamente dichiarata dall’art. 113 del d.lgs. 196/2003, che a tutt’oggi dispone che “resta fermo quanto disposto dall’art. 8 della legge 20 maggio 1970, n. 300, nonché dall’articolo 10 del decreto legislativo 10 settembre 2003, n. 276”.
Il caso H&M dimostra che alcuni principi fondamentali, pur considerati ormai alla stregua di acquisizioni generalizzate, divenute parte della cultura giuridica, quantomeno nel nostro paese, devono essere costantemente riportati all’attenzione con sempre rinnovata sottolineatura.

Per limitarsi all’essenziale, si può dire che il comportamento dei manager implicati dalla vicenda bavarese deve richiamare all’attenzione dell’operatore italiano la centralità di almeno due principi fondamentali del nostro ordinamento:

a) il divieto di controlli occulti. L’art. 3 dello Statuto dei lavoratori, a questo riguardo dispone che “i nominativi e le mansioni specifiche del personale addetto alla vigilanza dell’attività lavorativa debbono essere comunicati ai lavoratori interessati”.

Questa norma (che si applica ai controlli umani, laddove ai controlli “tecnologici” trova applicazione l’art. 4 dello Statuto) è sempre attuale, come dimostrano i fatti di Norimberga: l’apparente calorosa accoglienza sarebbe stata, verosimilmente, molto meno apparente se i lavoratori avessero saputo dell’incarico di controllo assegnato ai colleghi autori dei “colloqui di bentornato”.

b) Il principio della rilevanza ed accessibilità, da parte del datore di lavoro, delle sole informazioni relative a “fatti rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore” (art. 8 St. lav.).

L’art. 8 dello Statuto dei lavoratori fornisce il criterio per qualificare la legittimità della base giuridica del trattamento in materia di lavoro ed è perfettamente collimante con quanto affermato dall’opinion 2/2017 del WP Art. 29, a mente della quale il datore di lavoro può indagare informazioni relative al lavoratore solamente se “necessary and relevant to the performance of the job”.

Note Autore

Andrea Sitzia Andrea Sitzia

Professore associato di Diritto del lavoro dell'Università di Padova, dove insegna diritto comunitario del lavoro. Avvocato presso lo Studio Legale Barraco, Commissario d'esami TÜV Italia per la certificazione di Privacy Officer. Socio membro di Federprivacy. Email: andrea.sitzia@unipd.it

Prev Garante per l'infanzia: consenso al trattamento dei dati personali a 16 anni
Next I cookie e la profilazione: il lupo perde il pelo ma non il vizio

Il Data Protection Officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy