Il fornitore non è sempre responsabile del trattamento

Ikea spia i suoi dipendenti: multa da 1.2 milioni di euro

Dopo 9 anni dall’inizio delle indagini, il Tribunale di Versailles è arrivato a condannare Ikea France al pagamento di 1.2 milioni di euro per aver svolto attività di sorveglianza indebita nei confronti dei lavoratori.

I fatti

La vicenda ha avuto inizio nel 2012, quando l’ex CEO francese ed altri direttori di filiale hanno collaborato insieme alla polizia per ottenere dati giudiziari o bancari su lavoratori o clienti coi quali, ad esempio, erano in corso controversie. Molti dei dati trafugati riguardavano criminali e vittime ed erano contenuti negli archivi della polizia francese i quali, previo pagamento, li consegnavano ad Ikea.

Questo ingegnoso sistema di sorveglianza comprendeva anche l’utilizzo di falsi dipendenti assunti specificatamente per spiare i colleghi e scrivere report sullo staff. Ancora, i conti correnti dei lavoratori venivano controllati ed esaminati a loro insaputa con la finalità di trarne informazioni. Pertanto, i capi d’imputazione si possono riassumere in:

  • raccolta di dati personali in file con mezzi fraudolenti;
  • distorsione della finalità del trattamento dei dati personali;
  • divulgazione illegale di dati personali;
  • violazione del segreto professionale.

Finalmente, dopo tanti anni di indagini, il Tribunale del primo grado ha emanato una sentenza a favore dei lavoratori i cui dati sono stati trafugati.

Ma Ikea France non è l’unica ad aver ottenuto una condanna per trattamento illecito di dati personali. Anche l’ex CEO francese, Jean-Louis Baillot, è stato incriminato e condannato a due anni di carcere con la condizionale ed al pagamento di una somma pari ad euro 50.000,00. Con lui, altre 15 persone, tra cui direttori ed agenti della polizia, sono stati accusati nel processo.

Perché entra in gioco il GDPR?

Uno dei principi cardine del GDPR (Regolamento (UE) 2016/679), se così si può dire, è il principio del consenso. Senza il consenso non è lecito trattare dati personali, proprio perché quello che viene garantito dal Regolamento è il diritto di controllo, in capo alle persone fisiche, dei propri dati. Da ciò deriva il potere del soggetto interessato di autorizzare il trattamento e il potere di revocarlo in ogni momento. Intuitivo è quindi il fatto che, nel momento in cui viene realizzata una «ricettazione di dati personali in modo fraudolento» come nel caso in questione, non solo non è stato ottenuto il consenso dei diretti interessati, ma vi è stata una più ampia violazione delle norme del GDPR.

Infatti, quello che i giudici hanno accertato, è stato un trattamento in violazione dell’art. 5.1 GDPR, lett. a) e b), laddove è disposto che ogni trattamento deve essere «lecito, corretto e trasparente nei confronti dell’interessato» e che le finalità devono essere «determinate, esplicite e legittime». Nessuno di questi principi è stato osservato né applicato, realizzandosi così gli estremi di un data breach in violazione delle norme del GDPR. Se lo scopo del Regolamento è quello di far sì che i dati personali vengano protetti e trattati in modo consono, nel rispetto dei diritti e delle libertà fondamentali di ogni singola persona, non v’è chi non veda come nel caso di specie questo obiettivo non sia stato raggiunto.

Concludendo

Il Tribunale di Versailles, avendo escluso l’imputazione più grave della sorveglianza di massa, ha quindi condannato il colosso svedese per aver creato un sistema di “monitoraggio” dei dipendenti, implicante la raccolta e divulgazione illecite di dati personali i quali non sono stati trattati nel rispetto dei principi del GDPR. Come tutti sappiamo, il pagamento di 1.2 milioni di euro che dovrà sostenere Ikea costituisce una cifra di poco rilievo (per non dire irrisoria) considerando il fatturato globale dell’impresa. Tuttavia, come sostengono i sindacati dei lavoratori, questa condanna rappresenta pur sempre un piccolo tassello nella lotta alla difesa dei dati personali.

Consulta l’infografica

Sara Donati – s.donati@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

Con provvedimento del 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021)...

Privacy

Il TAR detta regole restrittive per i DPO persone giuridiche

Con proprio provvedimento del 29 aprile scorso, il Garante privacy ha definitivamente approvato il ...

Privacy

Il fornitore non è sempre responsabile del trattamento

Fastweb sanzionata per oltre 4.5 milioni di euro. È assai utile analizzare il lungo e articolato...

Privacy

X