Enrique Ortega Burgos

La sanción a H&M

El pasado mes de octubre recibimos la noticia de la segunda mayor sanción impuesta por infracción de la normativa de protección de datos en Europa desde la entrada en vigor del Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos o Reglamento General de Protección de Datos (la primera fue la de la CNIL francesa a Google, de 50 millones de euros).

En esta ocasión, sin embargo, no se trata de ninguna empresa tecnológica, sino del gigante del retail textil Hennes & Mauritz AB, más conocido como H&M -para ser exacto su sede de Nuremberg desde donde se tratan datos de los empleados de Alemania y Austria- a la que la autoridad de control de Hamburgo ha impuesto una sanción de 35,3 millones de euros.

Aparentemente, y saltándose la política de protección de datos implementada en la organización, los directivos de esta sede mantenían registros «detallados y sistemáticos» sobre la salud, la vida privada y las experiencias vacacionales de los empleados. En concreto, cuando los empleados se reincorporaban de alguna ausencia laboral, bien por vacaciones, bien por motivos de salud, eran sometidos a entrevistas “de bienvenida” por las que los supervisores obtenían información sobre los motivos de la ausencia, destinos vacacionales o síntomas de enfermedades, que volcaban en una base de datos a la que accedían los directivos y supervisores, que iban alimentando con otros datos obtenidos en charlas informales como detalles familiares, creencias religiosas, y cualquier otra información que pudiera servir para elaborar un perfil de empleado, que luego era tenido en cuenta para la toma de decisiones laborales.

 

Pero el destino quiso que esta ilícita base de datos sufriera un incidente de seguridad y por un error de configuración durante unas horas fue accesible a todos los empleados de H&M, lo que hizo saltar todas las alarmas. La autoridad de control competente de protección de datos (DPA en sus siglas en inglés), en este caso la DPA de Hamburgo, tuvo conocimiento de este incidente por la prensa, lo que dio lugar al inicio de una investigación (hasta 60 gigas de información) que derivó en el procedimiento sancionador que ha concluido con la imposición de la millonaria sanción.

 

Según el comunicado oficial de H&M, donde reconocen el error y entonan el mea culpa, se han puesto las pilas y han aplicado varias medidas, entre ellas: formación adicional para directivos en relación con la privacidad de los datos y la legislación laboral; instrucciones revisadas para los supervisores; creación de un nuevo puesto con responsabilidades específicas de auditoría, seguimiento, concienciación y mejora continua de los procesos de privacidad y protección de datos; mejora de los procedimientos de depuración de datos y soluciones informáticas mejoradas que apoyan el almacenamiento de datos personales, la formación y el liderazgo.

Además, y con un claro objetivo de minimizar el daño reputacional, ha anunciado una indemnización a todos los trabajadores que hayan trabajado en la sede de Nuremberg al menos un mes desde mayo de 2018, lo cual no deja de ser sorprendente porque esta indemnización no es consecuencia de la sanción, sino que se trata de una iniciativa voluntaria de H&M y, por tanto, no debería estar condicionada por la entrada en vigor del RGPD sino que debería servir para compensar a todos los empleados que sufrieran las mismas prácticas ilícitas, con independencia del momento en el que prestaron sus servicios para la empresa.

En este caso, además, es particularmente llamativo el argumento de defensa de H&M por el que venían a afirmar que se trataba de unos directivos “díscolos” que actuaban al margen de la política de grupo. Es evidente que esa política no estaba bien diseñada, porque la práctica ilícita llevada a cabo por los directivos de Nuremberg pasó desapercibida hasta que acaeció la brecha de seguridad, por lo tanto, fallaron los controles que debieron detectar estos tratamientos. ¿Qué habría pasado de no haberse producido el incidente de seguridad?

Sirva esta sanción para darnos cuenta de que ningún sector es ajeno al riesgo de un incorrecto tratamiento de los datos, y que las multas multimillonarias no son exclusivas de empresas tecnológicas con sofisticados sistemas de información que sufren ciberataques. A veces, muchas, se debe a la desinformación y falta de concienciación de los empleados o directivos que son quienes manejan la información.

 

Salir de la versión móvil