El Comisionado de Hamburgo para la Protección de Datos y Libertad de Información (HmbBfDI) ha impuesto a H&M una multa de 35 millones de euros por infringir la normativa de protección de datos.
H&M se enfrenta a una multa impuesta por el Comisionado de Hamburgo para la Protección de Datos y Libertad de Información (HmbBfDI). H&M (Hennes & Mauritz), la popular empresa de ropa, registrada en Hamburgo, con un centro de servicio en Nuremberg y tiendas a lo largo de toda Europa y Norteamérica, se ha convertido en el foco de una controversia en relación a una brecha de seguridad, que le ha costado a la marca 35 millones de euros, como informa el CEPD.
H&M interrogaba a sus trabajadores sobre sus vidas personales, y grababa y almacenaba excesivas cantidades de datos al respecto.
La empresa de ropa H&M ha llevado a cabo esta práctica durante más de seis años hasta la fecha en Nuremberg. Interrogaban de manera extensa a sus trabajadores sobre sus vidas personales y registraban toda la información obtenida, que pasaba a ser almacenada en las redes y archivos internos de la compañía. Esta actividad se daba en concreto tras ausencias como vacaciones o bajas por enfermedad, aunque estas fueses breves, de modo que mantenían charlas denominadas “Charlas de bienvenida”. En tales reuniones, investigaban cada detalle de la vida de los empleados durante su ausencia, lo cual era registrado en los sistemas, incluyendo experiencias vacacionales, síntomas de enfermedad y diagnósticos.
Además, los supervisores también almacenaban información que extraían de conversaciones casuales con sus empleados en los pasillos o cualquier lugar de las instalaciones, lo cual incluían problemas personales o creencias políticas o religiosas. Parte de esta información era entonces usada para evaluar el desempeño del trabajador, así como su eficiencia.
Esta práctica, que suponía un gran riesgo para la privacidad de los empleados, salió a la luz cuando los datos se hicieron accesibles para toda la compañía durante varias horas en octubre de 2019 debido a un error de configuración.
Los detalles de los documentos que contenían información personal sobre los empleados quedaron accesibles al personal de la compañía durante varias horas en octubre de 2019, debido a un error interno de configuración en los sistemas de la empresa, lo cual directamente violaba los derechos civiles de los trabajadores al poner su información personal y privada en riesgo. El Comisionado de Hamburgo para la Protección de Datos y Libertad de Información (HmbBfDI) inició una investigación sobre los hechos tan pronto como descubrió la brecha a través de los informes de prensa, y solicitó que se congelase el contenido de los documentos archivados en los sistemas internos y se le fuese remitido después. El Comisionado entrevistó a varios testigos que confirmaron dicha práctica. Los registros de H&M contenían alrededor de 60 gigabytes de datos que fueron presentados para evaluación.
Tras la elevada multa, H&M se ha responsabilizado del incidente, se ha disculpado por ello y ha implementado medidas correctivas.
La multa impuesta asciende en concreto a 35,258,707.95 euros. Prof. Dr. Johannes Caspar, el presidente del Comisionado de Hamburgo para la Protección de Datos y Libertad de Información (HmbBfDI), ha afirmado que “Este caso supone una importante falta de observancia sobre la privacidad de los empleados de H&M en Nuremberg. La cantidad impuesta como multa es por tanto adecuada y efectiva para disuadir a las empresas de violar la privacidad de sus trabajadores”. Así por tanto, se espera que esta multa sea ejemplificativa y sirva como referencia para mostrar a otras empresas cómo debe tratarse y proteger la información privada de los empleados.
La empresa entregó al Comisionado un plan detallado sobre cómo se gestionará la protección de datos en las oficinas y tiendas de Nuremberg a partir de ahora. La dirección también se ha disculpado frente a los afectados, y les ha ofrecido importantes compensaciones por los hechos. El nuevo plan de protección de datos incluye la designación de un nuevo coordinador de protección de datos, actualizaciones mensuales sobre protección de datos, un canal de denuncias con la debido a protección y políticas detalladas para atender solicitudes de acceso de los interesados.
Cristina Contero Almagro, Socia de Aphaia, afirma que “Cualquier tratamiento de datos debería estar sujeto al menos a una de las bases legítimas recogidas en el artículo 6 del RGPD. Los registros sobre las creencias religiosas y los diagnósticos medicos merecen incluso una mayor protección, porque son categorías especiales de datos cuyo tratamiento está restringido. Esta multa debería servir como ejemplo para otras empresas, pues demuestra que ninguna actividad de tratamiento está exenta de cumplir con la normativa de protección de datos, ni siquiera aquellas que se limitan a los sistemas internos”.
