Menú Cerrar

450.000 euros de multa a una empresa porque un miembro de recursos humanos, por error, mandó a un trabajador las nóminas de 446 empleados

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 450.000 euros de multa administrativa a la empresa UNIQLO Europe, LTD, con sucursal en España, dedicada al comercio al por menor de prendas de vestir en establecimientos especializados.

La AEPD ha razonado que la empresa no garantizó debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, poniendo los mismos en disposición de un tercero no autorizado cuando uno de los empleados del departamento de recursos humanos, por error, envió un correo electrónico a un trabajador con las nóminas de 446 miembros de la plantilla.

Asimismo, la resolución dictada por la Agencia, y disponible en el botón ‘descargar resolución, considera que las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales de sus empleados.

Los hechos

La sanción económica llega a raíz de que el pasado 5 de julio la Directora de la Agencia Española de Protección de Datos, Mar España, acordara iniciar un procedimiento sancionador a la empresa UNIQLO Europe, LTD, con sucursal en España, tras tener indicios evidentes que de la mercantil habría cometido una infracción del Reglamento General de Protección de Datos.

Pues, en marzo del año pasado la Agencia registró dos reclamaciones interpuestas contra la empresa. La primera de ellas de un trabajador que prestaba servicios para la entidad y que informaba que, tras solicitar su nómina a la entidad, recibió un correo electrónico con un documento PDF adjunto que incluía su nómina y la de 446 trabajadores más de la plantilla, constando el nombre, apellido, DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y la retribución percibida por cada empleado.

La segunda reclamación se origina a partir de recibir la comunicación informativa de la brecha, enviada por UNIQLO a los empleados afectados mediante correo electrónico. La parte reclamante de esta segunda reclamación se trata de un miembro del Comité de Empresa.

UNIQLO admitió los hechos ante la AEPD pero alegaba la brecha fue causada por un error del personal del departamento de recursos humanos (error humano) que no siguió el proceso interno y envió por error el archivo indicado.

Asimismo, la empresa manifestó que no tuvieron constancia de la brecha hasta que no recibieron la notificación de la AEPD, ya que el empleado de recursos humanos que remitió el archivo por error no informó de ellos a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no trascendió ni se actuó de forma proactiva ante ella, y, por consiguiente, tampoco pudo noticiar a la Agencia.

No obstante, UNIQLO afirmaba que informó del incidente a los trabajadores afectados a los pocos días de que se tuviera constancia del mismo.

450.000 euros de multa

Por los hechos descritos, la AEPD ha resuelto que la empresa vulneró el artículo 5.1.f) del RGPD, “principios relativos al tratamiento”, al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado.

“Este deber de confidencialidad e integridad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos”, recuerda la Agencia.

En consecuencia de dicha vulneración y las circunstancias de la misma (la gravedad, duración, naturaleza y número de afectados), UNIQLO ha sido sancionada con una multa administrativa de 300.000 euros.

Asimismo, debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó que un tercero no autorizado accediese a los datos personales de un gran número de trabajadores, la AEPD considera que también se ha vulnerado el artículo 32.1 del RGPD, pues en el presente caso queda evidenciado que “las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales en el momento de producirse la quiebra”.

En este sentido, la Agencia Española de Protección de Datos ha recordado que la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de los trabajadores no exime de responsabilidad a la empresa. Por ello, le impone otra sanción administrativa, esta vez, de 150.000 euros.

Fuente Original: economistjurist

Contactar ahora