La firma japonesa filtró los salarios, nombres completos, DNI, números de la Seguridad Social y cuentas bancarias de 446 trabajadores, a los que no informó hasta 9 meses después
250.000 euros de sanción a Cetelem por cargar 10 recibos de una deuda sin cobrar en la cuenta de un total desconocido
Pedir tu nómina y recibir la de toda la plantilla. Hasta 446 trabajadores afectados, con sus salarios desglosados, nombres completos, DNI, números de afiliación a la seguridad social y cuentas bancarias. Una enorme brecha de seguridad por la que Agencia Española de Protección de Datos (AEPD) impuso una multa de 450.000 euros a la firma de moda japonesa Uniqlo, que ahora ha admitido la responsabilidad del fallo y ha renunciado a recurrir para reducir la cuantía de la sanción.
Los hechos se remontan a agosto de 2022. Entonces una empleada se puso en contacto con el departamento de recursos humanos de Uniqlo para solicitar su nómina ante el fin de su relación laboral con la empresa, que se había producido el mes anterior. Lo que recibió fue un archivo PDF con las nóminas de todos sus compañeros correspondientes al mes de julio, incluidas las de aquellos que habían tenido más de una por sus diferentes relaciones laborales con la empresa. Un total de 471.
“La parte reclamada admite los hechos reclamados”, recoge la AEPD: “Manifiestan que, en el contexto del intercambio de información por correo electrónico, su departamento de recursos humanos envió por error el archivo indicado, con la información de toda la plantilla. Atribuyen este hecho a un error humano”, desglosa la resolución.
Pese a la gravedad de la brecha, Uniqlo no informó de ello a los afectados de lo sucedido. La bomba de relojería siguió contando hasta marzo de 2023, cuando la empleada que recibió los datos interpuso una reclamación ante la AEPD e informó de ello al comité de empresa, que presentó otra reclamación en mayo. Fue cuando el regulador de la privacidad se puso en contacto con Uniqlo cuando esta lo comunicó a la plantilla.
La marca asegura “reitera que no se tuvo constancia a nivel de dirección hasta que se comunicó por la AEPD, justificando así el decalaje de varios meses entre los hechos y la comunicación”, recoge la resolución. Para el momento de la comunicación, 160 personas ya no continuaban en la firma.
No obstante, la AEPD ha considerado que más allá del “error humano” en el que Uniqlo encuadra los hechos, lo sucedido ha demostrado que la empresa no tenía “las medidas apropiadas” para salvaguardar los datos más sensibles de sus trabajadores en España. Como responsable del tratamiento de los datos de sus trabajadores, la compañía es responsable de “garantizar un nivel de seguridad adecuado al riesgo” y evitar que un suceso así pueda ocurrir y quedar oculto a los afectados durante ocho meses.
Por tanto, la AEPD ha ordenado a Uniqlo que adopte medidas para evitar que se repitan incidentes similares en el futuro y la considera responsable de dos violaciones de la normativa de privacidad, una por no garantizar la seguridad de los datos de sus empleados y otra por no aplicar las medidas correctas para ello. Las dos suman 450.000 euros.
Uniqlo se ha acogido una reducción del 20% de la sanción por asunción de responsabilidad y a otra por pronto pago, que le permite rebajarla otro 20%. Por tanto, el importe de la multa se queda en 270.000 euros. elDiario.es se ha puesto en contacto con la firma japonesa para incluir su postura en esta información, pero no ha contestado al requerimiento.
