La AEPD ha impuesto a UNIQLO una sanción de 300.000 euros por infringir el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad) y otra sanción de 150.000 por vulnerar el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento). No obstante, ambas sanciones han sido reducidas a 270.000 euros por cuanto la compañía ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
En este caso, se presentó la reclamación debido a que el afectado, que solicitó su nómina a la entidad debido a la resolución de su contrato laboral, recibió de un miembro del departamento de recursos humanos de la compañía, por error, un documento pdf en el que constaba no sólo su nómina, sino también la información del resto de la plantilla (aproximadamente, 446 empleados) relativa a sus nombres y apellidos, DNI, el número de afiliación de la Seguridad Social, sus retribuciones o los números de sus cuentas bancarias.
Habida cuenta de la recepción de esta información, el afectado se puso en contacto con el empleado de recursos humanos informándole de esta circunstancias, así como de que no había descargado el documento y que lo había eliminado. Con motivo de esa respuesta, el trabajador del departamento que envió por error el archivo, creyendo que el problema había sido resuelto, no informó de esta cuestión a sus responsables, motivo por el que la brecha de seguridad no fue conocida por la entidad, no pudiendo actuar, en consecuencia, proactivamente.
Se afirma por UNIQLO que únicamente han tenido constancia de dicho incidente de seguridad cuando se dio traslado de la reclamación. De este modo, tan pronto fueron conocedores de ello, procedieron a efectuar las notificaciones (tanto a la AEPD, como a los afectados) que la normativa exige.
Respecto a las medidas que la compañía tenía implementadas, la reclamada indicó que contaba con los distintos documentos relativos a los procedimientos para la gestión de incidentes, códigos de conducta o reglamentos de seguridad, siendo estos enviados a los trabajadores, que recibían formación específica sobre estas cuestiones. En este sentido, se puso de manifiesto que, debido a que se consideró que el tratamiento de gestión de nóminas no tenía un riesgo elevado, no se realizó evaluación de impacto ninguna. Adicionalmente, se expuso que, con posterioridad al conocimiento de la brecha, se revisaron los protocolos internos, se implementó una herramienta de IA de amenazas y se formó nuevamente a los empleados sobre esta materia, entre otras acciones.
La AEPD ha declarado que, al no haberse podido garantizar la confidencialidad e integridad de los datos personales de los empleados, por cuanto se ha accedido a estos por un tercero no autorizado, se ha producido una vulneración del citado principio de confidencialidad, debiendo ser sancionado con un importe de 300.000 euros. A efectos de calcular el mismo, se ha tenido en consideración, como agravantes, que el envío de la información por correo supone un mayor riesgo “debido a las vulnerabilidad en materia de seguridad del correo electrónico, ya que, al no estar cifrados los datos, cualquier atacante […] podría acceder a los datos en tránsito” o que se filtraron datos de carácter financiero que, según la AEPD, merecen una especial protección.
Asimismo, la autoridad de control ha declarado que las medidas de seguridad que tenía implementadas la entidad no eran suficientes, por cuanto se permitió a un tercero no autorizado acceder a los datos personales. Así, afirma la AEPD que “la responsabilidad de UNIQLO viene determinada por la brecha de datos personales puesta de manifiesto en la reclamación […]. En este sentido, las medidas no eran apropiadas, independientemente de la brecha de datos personales producida”. Adicionalmente, se recoge en la resolución que la actuación negligente del empleado al gestionar las nóminas (argumento esgrimido por UNIQLO) no exime de responsabilidad a la entidad, tal y como se declara en la Sentencia del Tribunal Supremo número 188/2022.
Habida cuenta de esta infracción, se impone la sanción indicada de 150.000 euros, teniendo en consideración los agravantes indicados con anterioridad.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.