El pasado 1 de octubre, la Agencia de Protección de Datos y Libertad de Información de Hamburgo (“DPA Hamburgo”) impuso a la empresa Hennes & Mauritz Online Shop A.B. & Co KG sita en Núremberg (“H&M Núremberg”) una multa de 35.258.707,95 euros por la vigilancia ilegal de la vida privada de sus empleados, infringiendo el RGPD.

H&M Núremberg pertenece al grupo de la multinacional sueca Hennes & Mauritz A.B. (“Grupo H&M”) de tiendas de ropa. Según su informe anual de 2019, el Grupo H&M cuenta con 5.076 tiendas propias de ropa en 74 países y más de 126.000 empleados.

Hechos:

Desde el año 2014, los empleados de H&M Núremberg que se tomaban tiempo libre, tanto por vacaciones o por estar enfermos, eran entrevistados a su regreso por su supervisor.

En dichas entrevistas, se recogían las experiencias vacacionales de los empleados, o en su caso, las enfermedades y los síntomas que habían motivado su ausencia. Asimismo, los supervisores también obtenían información de sus empleados relativa a detalles familiares o creencias religiosas durante charlas informales. La información era a veces muy detallada, y recabada durante largos periodos de tiempo.

Parte de esta información era posteriormente almacenada digitalmente en el sistema de la empresa, siendo accesible por hasta 50 supervisores de la empresa.

Los datos recopilados se utilizaron para crear un perfil detallado de los empleados sobre el que basarse los supervisores a la hora de tomar decisiones laborales concernientes a cualquiera de los empleados.

Las prácticas de H&M Núremberg salieron a la luz como consecuencia de un error de configuración de la base de datos donde se guardaba la información de los empleados, permitiendo que esta fuera accesible por todos los empleados de la empresa durante varias horas en octubre de 2019. La DPA de Hamburgo tuvo conocimiento de estas prácticas a través de la prensa.

El Comisario de la DPA Hamburgo, Dr. Johannes Caspar, explicó en su comunicado: «Este caso demuestra un serio desprecio por la protección de datos de los empleados de la oficina H&M de Nuremberg. Por lo tanto, el importe de la multa impuesta es adecuado y eficaz para disuadir a las empresas de infringir la privacidad de sus empleados«.

En un comunicado, el Grupo H&M manifestó que: «El incidente reveló prácticas de tratamiento de datos personales de los empleados que no estaban en línea con las pautas e instrucciones de H&M. H&M asume toda la responsabilidad y desea pedir disculpas sin reservas a los empleados del centro de servicio en Nuremberg”.

Como resultado de la investigación, H&M Núremberg ha tomado numerosas medidas para mejorar sus prácticas de protección de datos, entre otras, la designación de un coordinador de protección de datos, cambios en el personal de supervisión, y formación adicional para los supervisores.

Asimismo, la empresa ha confirmado que pagará a sus empleados una compensación económica como consecuencia de la infracción de sus derechos de protección de datos personales.

Conclusión:

Si tal y como se indica en su comunicado, el Grupo H&M era en efecto consciente de la normativa del RGPD y tenía debidamente identificados los riesgos a prevenir, a priori, podría interpretarse que la presente infracción es consecuencia de dos fallos:

En primer lugar, la ausencia de medidas efectivas de formación y concienciación de los supervisores de H&M Núremberg en cuanto a materia de protección de datos personales.

En segundo lugar, la ausencia de controles adecuados para detectar la materialización del riesgo de incumplimiento del RGPD por las prácticas realizadas por los supervisores de H&M Núremberg.

La presente sanción es un recordatorio a las empresas de que no pueden incumplir los derechos de protección de datos personales de sus empleados solo por encontrarse estos en una posición vulnerable.

Por último, nos encontramos ante la segunda multa más alta impuesta hasta la fecha en Europa por incumplimiento del RGPD, únicamente por detrás de la multa en Francia a Google en el 2019 de 50 millones de euros.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.