Empresa multada con 450.000 euros por filtrar nóminas de 446 empleados debido a un error humano.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa administrativa de 450.000 euros a la empresa UNIQLO Europe, LTD, con sede en España, dedicada a la venta al por menor de prendas de vestir en tiendas especializadas.
La AEPD argumenta que la empresa no garantizó adecuadamente la confidencialidad e integridad de los datos personales de sus empleados, exponiéndolos a terceros no autorizados cuando un miembro del departamento de recursos humanos, por error, envió un correo electrónico a un trabajador con las nóminas de 446 empleados.
En la resolución emitida por la Agencia, disponible en el enlace de ‘descargar resolución’, se concluye que las medidas de seguridad aplicadas por la empresa para proteger los datos personales no eran suficientes para asegurar la confidencialidad y seguridad de la información de sus trabajadores. La sanción económica se decidió después de que el pasado 5 de julio la Directora de la AEPD, Mar España, iniciara un procedimiento sancionador contra UNIQLO Europe, LTD, tras encontrar evidencias claras de una infracción del Reglamento General de Protección de Datos (RGPD) por parte de la empresa.
Todo comenzó en marzo del año anterior, cuando la Agencia recibió dos reclamaciones contra la empresa. La primera fue presentada por un trabajador que informó que, al solicitar su nómina, recibió un correo electrónico con un archivo PDF que contenía no solo su nómina, sino también las de otros 446 empleados, incluyendo nombres, apellidos, DNI/NIE, número de la Seguridad Social, cuenta bancaria y salarios de cada uno.
La segunda reclamación provino de un miembro del Comité de Empresa, en respuesta a la comunicación de la brecha enviada por UNIQLO a los empleados afectados.
UNIQLO admitió los hechos ante la AEPD, explicando que la brecha se debió a un error humano en el departamento de recursos humanos, donde un empleado no siguió el procedimiento interno y envió por error el archivo mencionado. La empresa afirmó no haber tenido conocimiento de la brecha hasta que la AEPD los notificó, ya que el empleado responsable no informó a sus superiores ni a la empresa, lo que impidió una respuesta proactiva.
A pesar de ello, UNIQLO aseguró que informó a los trabajadores afectados pocos días después de conocer el incidente. La AEPD concluyó que la empresa violó el artículo 5.1.f) del RGPD, que obliga a garantizar la confidencialidad e integridad de los datos personales, al haber expuesto la información a un tercero no autorizado.
Dado la gravedad, duración, naturaleza y número de afectados por la infracción, UNIQLO ha sido multada con 300.000 euros. Adicionalmente, por no haber implementado medidas técnicas y organizativas adecuadas, lo que permitió que un tercero no autorizado accediera a los datos personales de un gran número de empleados, la AEPD también determinó la violación del artículo 32.1 del RGPD, imponiendo una sanción adicional de 150.000 euros.
La AEPD ha recalcado que la negligencia del empleado en la gestión de los datos personales no exime a la empresa de su responsabilidad, lo que justifica las sanciones impuestas.
