La sucursal española de la firma de retail japonesa UNIQLO ha hecho frente al pago de una sanción de 270.000 euros debido a una brecha de datos originada en el trascurso del envío de la nómina de un antiguo empleado, y que contenía por error, la nómina de 446 trabajadores más de la entidad. 

La brecha de datos que propició el inicio de un procedimiento sancionador

En julio de 2024, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionador frente a la sucursal española UNIQLO EUROPE LTD tras tener conocimiento de una brecha de datos no comunicada por parte de la entidad en agosto de 2022. 

El hecho causante del procedimiento fue debido al envío por error de las nóminas de otros 446 empleados cuando un antiguo empleado solicitó el envío por correo de su última nómina al departamento de recursos humanos. En estos documentos constaban los datos identificativos de los empleados, así como número de seguridad social y su nómina salarial. 

El empleado de recursos humanos que envío el archivo no informó a los responsables ni comunicó la brecha de seguridad por lo que la brecha no trascendió ni la entidad pudo actuar de forma proactiva ante ella.

¿Qué artículos ha vulnerado UNIQLO? 

Los fundamentos de derecho que han causado una cuantía final de 270.000 euros (aplicadas las reducciones por asunción de responsabilidad y por pago voluntario) se ubican en la vulneración del artículo 5.1 (principio de integridad y confidencialidad de los datos) y 32 (Seguridad de los datos personales) del Reglamento General de Protección de Datos (RGPD).

  • El principio de integridad y confidencialidad

Quedó vulnerada la ntegridad y confidencialidad de los datos personales de los empleados al haber sido puestos en conocimiento de un tercero no autorizado. El objetivo de este principio es evitar la divulgación o filtración de datos no autorizados por el titular. Dicha vulneración se tipifica con una sanción económica de 20.000.000 de euros o la cuantía equivalente al 4 % del volumen de negocio anual global del ejercicio financiero anterior, que resultó en 360.000 euros por vulneración de este artículo. 

  • Seguridad del tratamiento

El RGPD así como la LOPD-GDD establecen la obligación para los responsables del tratamiento de ofrecer y garantizar una adecuada y efectiva seguridad del tratamiento.

Los documentos aportados evidenciaban la vulneración de la obligación debida a la falta de medidas técnicas y organizativas apropiadas que posibilitaron a un tercero no autorizado el acceso a los datos personales de los trabajadores de UNIQLO. Esta vulneración es sancionable con una multa administrativa que puede ascender hasta los 10.000.000 de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior. En este caso, quedó fijada una cuantía de 150.000 euros por la vulneración de este precepto. 


Las principales lecciones a tener en cuenta: 

  1. El 85% de las brechas de seguridad tienen origen en un error humano. Por ello es esencial crear una cultura de la seguridad de la información para todos los empleados para evitar esos errores tanto pequeños como grandes que pueden dar lugar a sanciones económicas cuantiosas. En este caso el error humano vino acompañado del agravante de no haber notificado la propia brecha de datos.
  2. ¿Sabías que UNIQLO aportó circulares informativas, así como protocolos internos de actuación? Estos documentos no fueron evidencia suficiente para evitar la imposición de la sanción. Debemos asegurarnos de que las medidas técnicas y organizativas que implementamos en forma de reglamentos y protocolos internos sean efectivamente aplicables y visibles en la actividad cotidiana de la empresa. Es por ello, que recomendamos una revisión periódica de los documentos y la formación constante a los empleados. 
  3. Si bien es cierto que muchas de las adversidades surgen sin poder ser previsibles como el caso de UNIQLO, en todo tratamiento de datos que se realiza de manera continua en la actividad de una empresa, y sobre todo cuando pueden afectar a los derechos y libertades de las personas, es necesario realizar un análisis del riesgo y una evaluación de impacto en protección de datos (EIPD). Este procedimiento permitirá que identifiques y mitigues aquellas vulnerabilidades y riesgos que pueden ocasionar tu tratamiento, evitando la pérdida reputacional y las sanciones económicas en la que cada vez recaen más empresas.
  4. Asignar un Delegado de Protección de Datos (DPO). No es una obligación legal para todas las entidades, pero es un atenuante a la hora de calcular la cuantía de la sanción.

LVS2

En LVS2 estamos especializados en el acompañamiento como DPO externos para multinacionales y pymes en crecimiento. Si quieres garantizar el efectivo cumplimiento de la normativa mientras continua la actividad propia de tu empresa, estaremos encantados de atenderte. Igualmente puedes suscribirte a nuestra newsletter para mantenerte al día con las últimas novedades y noticias en materia de protección de datos y ciberseguridad.