Este es un interesante artículo que sanciona a la empresa H&M de Núremberg por utilizar de forma muy inadecuada los datos de los trabajadores que contrata
Acerca de los trabajadores solo se pueden tratar los datos imprescindibles con la finalidad exclusiva de que los trabajadores puedan ser contratados y se pueda regular tal relación jurídico laboral (nóminas, cotizaciones, vacaciones, riesgos laborales, etc.). En el presente caso la empresa se extralimitó totalmente, captando datos personales que excedían con mucho las finalidades citadas, y utilizándolos para finalidades totalmente desconocidas por los afectados, con gravísima infracción de la normativa de protección de datos, lo que le ha supuesto que se le imponga una sanción de 35.258.707,95 euros.
El pasado 1 de octubre, la Agencia de Protección de Datos y Libertad de Información de Hamburgo (“DPA Hamburgo”) impuso a la empresa Hennes & Mauritz Online Shop A.B. & Co KG sita en Núremberg (“H&M Núremberg”) una multa de 35.258.707,95 euros por la vigilancia ilegal de la vida privada de sus empleados, infringiendo el RGPD.
H&M Núremberg pertenece al grupo de la multinacional sueca Hennes & Mauritz A.B. (“Grupo H&M”) de tiendas de ropa. Según su informe anual de 2019, el Grupo H&M cuenta con 5.076 tiendas propias de ropa en 74 países y más de 126.000 empleados.
Desde el año 2014, los empleados de H&M Núremberg que se tomaban tiempo libre, tanto por vacaciones o por estar enfermos, eran entrevistados a su regreso por su supervisor.
En dichas entrevistas, se recogían las experiencias vacacionales de los empleados, o en su caso, las enfermedades y los síntomas que habían motivado su ausencia. Asimismo, los supervisores también obtenían información de sus empleados relativa a detalles familiares o creencias religiosas durante charlas informales. La información era a veces muy detallada, y recabada durante largos periodos de tiempo.
Parte de esta información era posteriormente almacenada digitalmente en el sistema de la empresa, siendo accesible por hasta 50 supervisores de la empresa.
Los datos recopilados se utilizaron para crear un perfil detallado de los empleados sobre el que basarse los supervisores a la hora de tomar decisiones laborales concernientes a cualquiera de los empleados.
Las prácticas de H&M Núremberg salieron a la luz como consecuencia de un error de configuración de la base de datos donde se guardaba la información de los empleados, permitiendo que esta fuera accesible por todos los empleados de la empresa durante varias horas en octubre de 2019. La DPA de Hamburgo tuvo conocimiento de estas prácticas a través de la prensa.
El Comisario de la DPA Hamburgo, Dr. Johannes Caspar, explicó en su comunicado: “Este caso demuestra un serio desprecio por la protección de datos de los empleados de la oficina H&M de Nuremberg. Por lo tanto, el importe de la multa impuesta es adecuado y eficaz para disuadir a las empresas de infringir la privacidad de sus empleados“.
En un comunicado, el Grupo H&M manifestó que: “El incidente reveló prácticas de tratamiento de datos personales de los empleados que no estaban en línea con las pautas e instrucciones de H&M. H&M asume toda la responsabilidad y desea pedir disculpas sin reservas a los empleados del centro de servicio en Nuremberg”.
Como resultado de la investigación, H&M Núremberg ha tomado numerosas medidas para mejorar sus prácticas de protección de datos, entre otras, la designación de un coordinador de protección de datos, cambios en el personal de supervisión, y formación adicional para los supervisores.
Asimismo, la empresa ha confirmado que pagará a sus empleados una compensación económica como consecuencia de la infracción de sus derechos de protección de datos personales.
Si tal y como se indica en su comunicado, el Grupo H&M era en efecto consciente de la normativa del RGPD y tenía debidamente identificados los riesgos a prevenir, a priori, podría interpretarse que la presente infracción es consecuencia de dos fallos:
La presente sanción es un recordatorio a las empresas de que no pueden incumplir los derechos de protección de datos personales de sus empleados solo por encontrarse estos en una posición vulnerable.
Fuente: ABC Compliance.