Protección de datos multa a una empresa con 450.000 euros, que filtró las 446 nóminas de la plantilla a una trabajadora que pidió la suya

Susana Zamora

Martes, 8 de octubre 2024, 11:59

Comenta

Pidió su nómina a la empresa y recibió un correo electrónico con un documento PDF adjunto, que incluía la suya y las de toda la plantilla. Exactamente 446, con los nombres y apellidos de todos sus compañeros, DNI, números de afiliación de la Seguridad Social y de las cuentas bancarias de todos sus compañeros. Un «error» que le ha costado a la empresa japonesa Uniqlo Europe, LTD, con sucursal en España y especializada en la venta de prendas de vestir, una sanción administrativa de la Agencia Española de Protección de Datos (AEPD) de 450.000 euros.

Según consta en la resolución a la que ha tenido acceso este periódico, la compañía admitió la brecha de seguridad. Aseguran que con motivo de la terminación del contrato laboral de la trabajadora, ésta solicitó su nómina de julio de 2022 al departamento de recursos humanos y en ese contexto de intercambio de información por correo electrónico, su departamento de recursos humanos envió el archivo con la información de toda la plantilla. Un hecho que atribuyen a un «error humano».

Sin embargo, lo realmente grave y por lo que la multa ha sido mayor es que este error no fue comunicado inmediatamente a la dirección de la empresa, lo que impidió una «reacción proactiva» y dejó a la empresa expuesta a riesgos legales y de seguridad adicionales. La brecha no fue detectada hasta que la AEPD recibió varias reclamaciones de los empleados afectados e informó a Uniqlo sobre el incidente.

Según la resolución, las comunicaciones intercambiadas entre la empresa y la trabajadora que recibió todas la nóminas, se desprende que esta última eliminaría el archivo («Para tu tranquilidad, te informo de que no llegué a descargarlo, lo abrí on line y en cuanto vi la primera página lo cerré, así que no te preocupes que no está en mis archivos»), hecho que pudo condicionar la actuación del personal de la empresa. Según manifiesta Uniqlo, el empleado de recursos humanos que remitió el archivo no informó de ello a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no trascendió ni se actuó ante ella. Únicamente tuvieron constancia, tal como manifiestan, cuando recibieron la notificación del traslado de la reclamación: «el pasado 18 de abril de 2023 Uniqlo recibió una notificación de la AEPD por la que se le daba traslado de la reclamación presentada y se le requería cierta información. Fue en este preciso instante en el que Uniqlo, como organización empresarial, pudo conocer el incidente de seguridad del pasado agosto, hasta entonces, desconocido».

Sin embargo, la AEPD considera que más allá del «error humano», lo sucedido ha demostrado que la empresa no tenía «las medidas apropiadas» para salvaguardar los datos más sensibles de sus trabajadores en España. Como responsable del tratamiento de los datos «es responsable de garantizar un nivel de seguridad adecuado al riesgo» y evitar que un suceso así pueda ocurrir y quedar oculto a los afectados durante ocho meses.

Por todo ello, Protección de Datos ha resuelto que la empresa vulneró el artículo 5.1.f) del RGPD, «principios relativos al tratamiento», al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado. «Este deber de confidencialidad e integridad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos», precisa la agencia. Por ello, Uniqlo ha sido sancionada con una multa administrativa de 300.000 euros.

Asimismo, debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó que un tercero no autorizado accediese a los datos personales de un gran número de trabajadores, la AEPD considera que también se ha vulnerado el artículo 32.1 del RGPD. En este caso, la AEPD recuerda que la actuación negligente del empleado en la gestión de los datos personales, como fueron las nóminas de los trabajadores no exime de responsabilidad a la empresa. Por ello, le impone otra sanción administrativa, esta vez, de 150.000 euros.