El envío por error de un PDF con todas las nóminas y el retraso en avisar a la plantilla elevan la sanción impuesta por Protección de Datos.
La Agencia Española de Protección de Datos (AEPD) ha impuesto a Uniqlo Europe, LTD, con sucursal en España y especializada en la venta de prendas de vestir, una multa de 450.000 euros. El motivo: remitir a una empleada que pidió su nómina un archivo PDF con las 446 nóminas de toda la plantilla, con nombres, DNI, números de afiliación a la Seguridad Social y cuentas bancarias.
La compañía reconoció la brecha, atribuida a un “error humano”. La sanción se vio incrementada por no informar a los trabajadores hasta nueve meses después y porque la dirección no tuvo conocimiento del incidente hasta que la AEPD recibió reclamaciones de los afectados.
El caso: filtración masiva de nóminas y datos bancarios en Uniqlo España
Según la resolución, el origen está en la salida de la trabajadora y su solicitud de la nómina de julio de 2022 al departamento de recursos humanos. En ese intercambio de correos, la empresa envió por error un PDF que incluía toda la información retributiva de la plantilla.
La trabajadora afirmó que no conservó el archivo: “Para tu tranquilidad, te informo de que no llegué a descargarlo, lo abrí online y en cuanto vi la primera página lo cerré, así que no te preocupes que no está en mis archivos”. No obstante, el empleado que remitió el documento no informó a sus responsables y la brecha no trascendió internamente. La empresa sostiene que solo tuvo constancia cuando fue notificada por la AEPD el 18 de abril de 2023 y se le requirió información sobre la reclamación presentada.
El fallo de la AEPD y los artículos 5.1.f y 32.1 del RGPD
Para el regulador, más allá del “error humano”, lo sucedido demuestra que la compañía no contaba con “las medidas apropiadas” y, como responsable del tratamiento, debía “garantizar un nivel de seguridad adecuado al riesgo”. El organismo destaca, además, que el incidente quedó oculto a los afectados durante ocho meses.
Por vulnerar el artículo 5.1.f del RGPD, relativo a los “principios relativos al tratamiento”, al no asegurar la confidencialidad e integridad de los datos personales al haberse puesto en conocimiento de un tercero no autorizado, la AEPD impone 300.000 euros. La resolución recuerda que “este deber de confidencialidad e integridad, debe entenderse que tiene como finalidad evitar que se realicen filtraciones de datos no consentidas por los titulares de los mismos”.
Asimismo, por incumplir el artículo 32.1 del RGPD (falta de medidas técnicas y organizativas adecuadas) se añade otra sanción de 150.000 euros. La actuación negligente del empleado no exime de responsabilidad a la empresa, que suma así 450.000 euros.
Impacto en empresas y trabajadores ante brechas internas de seguridad laboral
La resolución subraya la necesidad de establecer controles y protocolos eficaces para evitar exposiciones masivas de datos, incluso cuando el origen sea un “error humano”. También resalta la importancia de escalar de inmediato cualquier incidente a la dirección para activar una respuesta proactiva.
Dado lo anterior, el caso sirve de aviso al sector: no basta con subsanar el fallo puntual. Es imprescindible impedir que hechos similares se repitan y, sobre todo, que permanezcan ocultos durante meses, especialmente cuando afectan a información laboral de alta sensibilidad como las nóminas.