Il Garante Privacy sanziona H&M per illecito trattamento di dati dei dipendenti
Nel maggio del 2022 è stato effettuato da parte del GPDP (Garante per la Protezione dei Dati Personali) un accertamento presso la sede della società H&M in relazione al trattamento dei dati dei dipendenti attraverso i sistemi di videosorveglianza. La società, leader nel settore dell’abbigliamento, è titolare del trattamento dei dati dei propri lavoratori, oltre 4.000 dipendenti dislocati in 166 negozi sul territorio nazionale.
A seguito dell’ispezione, il Garante ha riscontrato la violazione da parte della società, degli artt. 5 (par 1, lett. A), 88 e 114 del Regolamento Ue n. 679/2016 (GDPR), che si occupano del trattamento dei dati nell’ambito dei rapporti di lavoro e delle garanzie in materia di controllo a distanza. All’esito dell’esame è, infatti, risultato che la H&M, in alcuni dei suoi punti vendita, aveva installato e utilizzato dei sistemi di videosorveglianza idonei a riprendere i lavoratori durante le proprie mansioni, il tutto in assenza di accordo sindacale o autorizzazione rilasciata da parte dell’ispettorato del lavoro ai sensi dell’art. 4 L. n. 300 del 1970.
Con riferimento ad alcuni dei punti vendita, erano stati stipulati degli accordi sindacali che però avevano data successiva rispetto all’installazione ed all’attivazione delle videocamere di sorveglianza.
In base a quanto predisposto dalla normativa sopra citata, gli apparati di videosorveglianza, qualora dagli stessi derivi la possibilità di controllo a distanza dell'attività dei dipendenti, possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale, e la relativa installazione deve, in ogni caso, essere eseguita previa stipulazione di un accordo collettivo con la rappresentanza o, ove non sia stato possibile raggiungere tale accordo, deve essere preceduta dal rilascio di apposita autorizzazione da parte dell'Ispettorato del lavoro. Tale procedura è prevista nell’ottica di una tutela di interessi collettivi e superindividuali che non devono essere lesi da parte del datore di lavoro e, proprio a causa della loro natura, il suddetto iter ha natura obbligatoria e inderogabile. Nel caso di specie, risultava infatti che la società H&M avesse previamente informato i propri lavoratori dell’installazione delle videocamere, ma ciò non poteva essere considerato come esimente della responsabilità aziendale.
H&M ha tentato di difendere la propria posizione affermando di avere installato le telecamere in una zona di passaggio e non di attività lavorativa, ma il Garante a tal proposito ha ribadito come anche le aree in cui i dipendenti transitano o sostano sono soggette alla piena applicazione della disciplina in materia di protezione dei dati personali. Nel caso di specie, poi, i sistemi di videoripresa erano posizionati in modo tale da riprendere zone in cui i dipendenti erano obbligati a passare per svolgere le proprie mansioni lavorative.
A ciò si aggiunga che, presso un negozio di Milano, erano state conservate delle immagini per un tempo superiore a quanto stabilito nell’accordo sindacale, pari a 24 ore, con conseguente aggravio della posizione della Società di abbigliamento.
Per le ragioni esposte, il Garante ha condannato la H&M per violazione degli artt. 5, 88 e 114 del GDPR alla sanzione amministrativa pecuniaria pari ad € 50.000,00.
